對大多數 IT 組織而言,網路監控是不可或缺的工具,甚至可說是全套 IT 工具的核心。網路監控工具發揮著重要作用,因為這項工具能讓 IT 專業人員在接獲報修申請之前及早發現問題,也能讓 IT 團隊掌握服務、網路、應用程式效能以及其他諸多方面的錯誤。
不過,IT 工具雖如 IT 人員必備的瑞士萬用刀,仍有一個領域還未能將這項工具利用得淋漓盡致:那就是安全防護。
這一點非常可惜,因為,只要稍加靈活運用,就能充分結合網路監控工具能在資訊、警示以及報告等各方面發揮的優勢,將安全防護措施做得更臻完善。
不妨這樣想:既然網路監控工具能夠監控網路健康狀態,也能監控攻擊或破壞網路健全狀態的惡意軟體,那麼,網路監控工具理當也能監控資安事件。
再者,由於這些都是既有工具,只要花相對低的成本,就能讓這些工具在安全防護方面發揮價值。
我並不是說光靠網路監控軟體就能解決您在安全防護方面的需求、慾望及問題。那並不符合設計網路監控軟體的初衷,也不是這類軟體原本的用途。我只能說,只要設定得當,優秀的網路監控解決方案也能成為輔助進行安全防護定期控管機制的利器。此外,若組織缺乏發展成熟的 SIEM 和 SOC 資源,以下秘訣不失為良好的臨時因應解決方案,能夠幫助您警覺某些重大問題。
網路探索是設定網路監控系統的第一步,也是運用既有設定發揮安全防護價值的重要工具。
原因在於,安全防護計劃絕對少不了網路裝置目錄及這些目錄的一般設定檔。網路探索和目錄可以讓您在發生災難之後進行復原,也能協助您瞭解資料發生問題之處,同時,也能讓您進一步瞭解性質較為敏感的區域,例如用於存放或傳輸受監管資訊的伺服器。
功能完善的網路監控工具能夠設定以 SNMP 為準或以特定系統為目標的定期探索排程,讓您隨時掌握環境中的各項變化,也能找到網路中的新裝置。如果發現狀況有異,您也可以執行即時探索。若使用 WhatsUp Gold,您甚至可以設定通知和警示,一旦探索功能找到非預期的裝置,就會透過電子郵件或 Slack 提醒您。
就像舞曲一樣,好的基準絕對不可少。您必須先知道網路出錯時可能會發生的狀況,才能判斷網路究竟有沒有發生問題。
最好的做法是建立基準,而且指標越多越好。以監控效能而言,您可以追蹤 CPU、記憶體、磁碟或介面使用情形之類的指標,可以建立基準,也可以設定超出這些基準閾值時所發出的警示。這麼做就能及早掌握許多安全防護問題。
例如,加密貨幣挖礦相當佔用資源,因此,挖礦專用電腦的指標會特別引人注目。在晚上或週末等非上班時段,這種現象特別明顯,因為,此時大多數裝置的使用率較低,但安裝了加密貨幣挖礦軟體的電腦仍會繼續大量利用資源。同樣地,假設行銷部門的電腦通常使用 30% 的 CPU,某天,這台電腦一整天的使用率卻高達 100%,您就該知道出問題了。
使用現代化的網路監控工具能夠監控 CPU 使用率驟增現象,也能設定在 CPU 使用率超出 90% (或您想要設定的任何其他閾值) 時發出警示。這種方式能讓您輕鬆追蹤電腦,充分瞭解是否發生任何異常情形。
監控 CPU 使用率驟增情形是 WhatsUp Gold 的預設設定,如有需要,也可以運用停機原則,限制只在下班時段進行監控。
任何一項網路監控工具,最明顯的跳接安全防護功能就是網路流量分析,這項功能會分析 NetFlow、NSEL、sFlow、J-Flow 和 IPFIX 記錄,提供鉅細靡遺的分析資料,讓您清楚是誰 (或是什麼) 在消耗您的頻寬。這項功能可以提醒您注意許多異常行為,不論是 24 小時狂播 Netflix 節目的荒誕行徑,或是殭屍網路入侵電腦,又或是駭客盜用資料,全都在您的掌握之中。
網路流量分析能夠對照即時頻寬使用率與歷來頻寬趨勢記錄並進行監控,因此甚至可以識別諸如 DDoS 攻擊之類的安全防護問題。至於安全防護鑑識方面,NTA 能夠自動識別傳入非監控連接埠的較高流量,找出未經授權的應用程式,也能監控來源和目的地之間的流量,因此會是您的最佳助手。
WhatsUp Gold 2018 甚至可以提醒管理員有使用者在存取暗網 (Tor),這項功能會監控所有網路流量分析程式來源,一旦有任何主機在既定期間內連至已知 Tor 連接埠的連線數超出既定數量 (這個數量是可以設定的),就會通知管理員。因此,管理員可以運用這項功能控制使用者存取暗網的情形。
在竊取網路存取權限的過程中,攻擊者往往會運用能夠重新設定服務或主機的技術,這類技術甚至可以暫時使服務或主機癱瘓。幸好,網路監控正是用來追查並針對這類情況發出警示的工具。
現代化的網路監控工具可以讓您設定電子郵件通知及警示,隨時掌握網路裝置設定變更情形,也能根據既定原則稽查設定。WhatsUp Gold 也能讓使用者查看及比較裝置內容頁中的裝置設定,倘若遺失設定,只要裝置支援 Telnet 或 SSH,您就能自動備份網路裝置設定。
當然,若警示系統不夠穩定,無法讓您和您的同事及早發現狀況有異,一切都是枉然。如上所述,大多數的網路監控工具都能針對異常行為、資源使用情形或頻寬使用情形設定閾值警示,不過,倘若無法將警示發送給正確的對象,再好的功能也無用武之地。
要是需要收到警示的人不在辦公桌前,應用程式就算發出一千則警示也徒勞無功。因此,警示功能一定要提供多種選項,例如電子郵件或 Slack 訊息,如此一來,無論您的團隊身在何處,警示都能發揮正常功能。
Get our latest blog posts delivered in a weekly email.