تم إنشاء تحليل حركة مرور الشبكة (NTA) وتعريفه لأول مرة بواسطة (Gartner) كفئة ناشئة من حلول الأمان التي تستخدم اتصالات الشبكة كمصدر بيانات أساسي؛ لاكتشاف والتحقيق في التهديدات الأمنية والسلوكيات الشاذة أو الضارة داخل تلك الشبكة.
أساسيات نظام تحليل حركة مرور الشبكة NTA
تم اختيار (NTA) كواحدة من أفضل 11 تقنية ناشئة في عام 2017م من قبل (Gartner)، ومع نضوج التكنولوجيا يقدم بائعو الأمن مجموعة متنوعة من الحلول، والتي تستخدم (NTA) بشكل مباشر أو تدمج (NTA) كجزء من نظام أساسي شامل للحماية من التهديدات.
تقنية (NTA) نفسها كانت موجودة منذ فترة ولقد تم استخدامه على نطاق واسع في مراقبة الشبكة وتحليل حركة المرور، كما يمكن أن يساعد في توفير رؤية شاملة للشبكة بأكملها لاكتساب رؤى حول عمليات الشبكة وأدائها ومن بين أشياء أخرى، كما يستخدم مجرمو الإنترنت والمتسللون العاديون أو المحترفون والمنظمات الأخرى المدعومة المزيد والمزيد من التقنيات والأدوات المتقدمة لشن هجمات إلكترونية.
وكذلك تعد هذه الهجمات أكثر استهدافاً واستمراراً وتعقيداً، وغالباً ما تتضمن أهدافها سرقة بيانات اعتماد المستخدم المفيدة وبيانات الأعمال الهامة وغيرها من المعلومات للأغراض النقدية، كما أصبحت آليات وتقنيات الكشف عن هجمات التهديدات ومنعها القديمة، والتي يتم نشرها عادةً في محيط الشبكة باستخدام الآليات المستندة إلى قواعد التوقيع الثابتة غير كافية لدرء هذه الهجمات المعقدة.
مع التقدم في الحوسبة السحابية بالإضافة إلى التنقيب عن البيانات والتقنيات التحليلية التي يقودها الذكاء الاصطناعي والتعلم الآلي، تظهر مجموعة واسعة من تقنيات أمان الشبكة الجديدة التي أثبتت أنها أكثر فاعلية، وبالاقتران مع تقنيات الأمان القديمة الأخرى للكشف عن منع هجمات التهديد الأكثر تقدماً والرد عليها واحد منهم هو (NTA).
بدلاً من التحقق من توقيعات الأنماط الثابتة وقواعد السياسة تراقب (NTA) وتجمع باستمرار حركة مرور الشبكة ومعلومات حزم البيانات الأخرى، وعلى مدار فترة زمنية يمكن أن يشكل خطاً أساسياً لحركة المرور ويستخدم خط الأساس لتمثيل أنماط حركة المرور العادية، وسلوكيات التطبيقات والخدمات داخل شبكة الشركة، والأهم من ذلك أنّها تمثل أيضاً السلوكيات العادية للمستخدمين الذين يصلون إلى هذه التطبيقات والخدمات.
كما ترتبط حركة مرور الشبكة ارتباطاً وثيقاً بسلوك المستخدم الذي يولد أنماط حركة المرور هذه، وبمجرد إنشاء خطوط الأساس، يتم فحص حركة المرور الجديدة من نفس تدفقات حركة المرور مقابل خط الأساس ويتم تحليل حركة مرور الشبكة بناءً على خوارزميات التعلم الرياضي أو الآلي، وبالتالي يمكن اكتشاف أنماط خدمات التطبيقات والحركة غير الطبيعية والتي تشير إلى السلوك غير الطبيعي للمستخدمين المطابقين، ويمكن تقديم تحليل شامل بصرياً لمحللي ومسؤولي الأمن ويمكن اتخاذ الإجراءات المناسبة لإزالة أو تخفيف أي أضرار محتملة.
تُعد تقنية (NTA) ضرورية للأمن السيبراني، بحيث يوفر أداة فعالة وقوية لاكتساب رؤى لحركة مرور التطبيقات والشبكات في الوقت الفعلي، وخاصة حركة مرور الشبكة في الشرق والغرب والتي غالباً ما ترتبط بحركة المرور الجانبية واستخراج البيانات بعد اختراق المهاجم لشبكة الشركة، كما يُعد هذا أمراً بالغ الأهمية في اكتشاف تهديدات ما بعد الاختراق، بالإضافة إلى تلك الأنشطة غير المصرح بها من داخل شبكة الشركة سواء تم القيام بها عن قصد أو عن غير قصد من قبل موظفي الشركة.
- “NTA” هي اختصار لـ “Network Traffic Analysis”.
كيف يختلف تحليل حركة مرور الشبكة
تركز حلول تحليل حركة مرور الشبكة على جميع الاتصالات سواء كانت هذه حزم نمط (TCP / IP) التقليدية و”حركة مرور الشبكة الافتراضية” التي تعبر مفتاحاً افتراضياً أو “vSwitch”، وحركة المرور من وداخل أحمال العمل السحابية واستدعاءات (API) لتطبيقات (SaaS) أو حالات الحوسبة بدون خادم، تركز هذه الحلول أيضاً على التكنولوجيا التشغيلية وشبكات إنترنت الأشياء (IoT) التي تكون غير مرئية تماماً لفريق الأمن وتعتبر أدوات (NTA) المتقدمة فعالة حتى عند تشفير حركة مرور الشبكة.
ركز الجيل الأول من هذه التقنية على إنشاء خط أساس لما هو “طبيعي” أو “جيد” ثم تحديد الحالات الشاذة التي يمكن أن تكون “غير منتظمة” أو “سيئة”، وعلى سبيل المثال تحاول هذه الحلول اكتشاف الحالات الشاذة مثل عنوان (IP) هذا لا يرى عادة اتصالات.
كما تنبيه في حالة حدوث أي اتصال ” وهذا النهج له جانب سلبي يتمثل في كونه صاخباً، حيث تتطور الأعمال وتكنولوجيا المعلومات طوال الوقت لأسباب مشروعة للغاية، كما تعمل أدوات (NTA) المتقدمة بطريقة أكثر ذكاءً من خلال المقارنة ليس فقط بالسلوك السابق ولكن أيضاً بالكيانات الأخرى في البيئة.
- “IP” هي اختصار لـ “Internet Protocol”.
- “IoT” هي اختصار لـ “Internet of things”.
- “SaaS” هي اختصار لـ “Software as a service”.
- “TCP / IP” هي اختصار لـ “Transmission Control Protocol/Internet Protocol”.
- “API” هي اختصار لـ “Application Programming Interface”.
عناصر نظام تحليل حركة مرور الشبكة NTA
1- جامع حركة المرور
يتم جمع أنواع مختلفة من حركة مرور الشبكة مثل سجلات حركة المرور وأجهزة الكمبيوتر الشخصية وتحليلها وتطبيعها وإعادة توجيهها إلى وحدة تخزين البيانات، وعادةً ما توجد وظائف بروتوكول فك التشفير في وحدات المجمع، ويمكن أن تكون أدوات التجميع عبارة عن أجهزة مادية أو وكلاء برامج مثبتة على أجهزة المستخدم النهائي، وعادةً ما يتم نشر المُجمِّعين في وضع النقر لتقليل التأثير على عمليات الأعمال العادية.
2- تخزين بيانات المرور
يتم تخزين بيانات حركة المرور الرسمية في قاعدة بيانات واحدة أو عدة قواعد بيانات إما بطريقة مركزية أو موزعة، كما يمكن الاستعلام عن سجلات المرور أو البيانات الوصفية والبحث فيها بمرونة وفعالية، وعادةً ما يتم تخزين البيانات لفترة طويلة من الوقت والتي يمكن استخدامها لاكتشاف التهديدات والبحث عن التهديدات ولأغراض أدلة الطب الشرعي.
نظراً لأنّ كمية سجلات حركة المرور عادةً ما تكون كبيرة جداً فهناك متطلبات لقدرات قاعدة البيانات وكفاءة الاستعلام، حيث تُستخدم التقنيات الحديثة مثل أكوام (Hadoop) و(Elasticsearch) بشكل شائع لتخزين واسترداد بيانات حركة المرور في البنية الموزعة، ولكي تكون (NTA) فعالة من الضروري جمع سجلات حركة المرور للشبكة المحمية بأكملها على مدى فترات زمنية كافية، وهذا أمر بالغ الأهمية في تحليل ارتباط حركة المرور وأيضاً لإمكانيات البحث عن التهديدات الشاملة.
3- محرك تحليل حركة المرور
هذه هي خيول العمل الخاصة بـ (NTA)، وهناك العديد من التقنيات التحليلية التي يمكن تطبيقها بدءًا من التحليل الإحصائي البسيط إلى الخوارزميات الأكثر تعقيداً القائمة على التعلم الآلي، كما أنّ الهدف هو تحديد التطبيقات والخدمات التي تتجاوز أنماط حركة المرور فيها عتبات الاشتقاق من خطوط الأساس المحددة.
4- وحدة الإخراج
نظراً لأنّ نتائج تحليل حركة المرور والسجلات والتنبيهات يتم إنشاؤها يتم تقديمها بشكل مرئي في واجهة المستخدم لمحللي الأمان والمسؤولين لاتخاذ إجراءات التخفيف، مثل دفع سياسات جدار الحماية أو حظر المضيفين المشتبه بهم أو إجراء التحكم في حركة المرور المرتبطة بالمضيفين المخترقين.
