Stundenlang über Sicherheitsprotokollen zu brüten, ist keine Art, einen Nachmittag zu verbringen, aber es ist die einzige Möglichkeit, wirklich zu verstehen, was während eines Sicherheitsvorfalls passiert ist. Wir müssen uns nur bei jeweils einem Gerät anmelden, um herauszufinden, warum und wie der Datenverkehr irgendwo im Netzwerk blockiert wurde, aber ich würde den Ergebnissen nicht vertrauen.
Protokollinformationen, Netzwerkerkennung und ein Echtzeit-Verständnis des Netzwerkstatus sind so wichtig für Netzwerk-Sicherheit dass wir riesige Datenmengen von vielen unserer Systeme sammeln, um alles zu verfolgen und zu speichern, was in unseren Netzwerken vor sich geht. Es zu sammeln ist eine Sache, aber es nützlich zu machen, ist eine ganz andere Sache.
Das Konfigurieren von SNMP-Traps und Syslog-Servern ist nicht besonders schwierig. Die sprichwörtliche Nadel im Heuhaufen zu finden, kann jedoch so mühsam und teuer sein, dass IT-Abteilungen oft ganz auf Netzwerk-Forensik verzichten. Wir wollen umfangreiche Protokolle, und oft sind wir das auch falls angefordert umfangreiche Protokolle zu haben. Aber genauso oft bleiben diese Protokolle ungenutzt, ungenutzt und daher bedeutungslos.
Ein typischer Workflow für einen Sicherheitsvorfall könnte darin bestehen, den Vorfall im Ticketsystem zu erstellen, die relevante E-Mail-Kette an das Ticket anzuhängen, einen Link zum Protokollserver zu kopieren und dann das Ticket zu schließen. Es gibt kaum etwas, das jemand tun kann, und wenig Zeit, um irgendetwas zu tun. Zumindest ist es so im System und die IT-Abteilung ist konform.
Netzwerk-Forensik ist äußerst wichtig, aber aufgrund der erforderlichen Fähigkeiten und des Zeitaufwands äußerst kostspielig. Wie erfassen wir spezifische Daten von jedem einzelnen Gerät unabhängig von der Plattform? Wie stellen wir sicher, dass es sich um genaue Informationen handelt? Und was machen wir mit all diesen Daten, nachdem wir sie gesammelt haben? Netzwerksicherheit ist wichtig, aber Netzwerksicherheit ist keine Switch-Konfiguration oder ein Firewall-Modell. Es ist ein ganzer Prozess, und es ist nicht einfach.
Ich erinnere mich, dass mich ein Anbieter fragte, wer unser IT-Sicherheitsteam leite. Ich warf ihm einen leeren Blick zu. Meiner Erfahrung nach hatten nur sehr große Organisationen engagiertes IT-Sicherheitspersonal, geschweige denn ganze Teams davon. Ich antwortete, dass wir eine Abteilung mit ein paar Dutzend Mitarbeitern hätten und die Sicherheit hauptsächlich von den Netzwerkleuten verwaltet werde, da es für uns bei Sicherheit um Firewalls, IPS-Appliances, 802.1x und andere Netzwerktechnologien gehe.
Aber wir wissen, dass Netzwerksicherheit viel mehr ist als das. Es geht um Sichtbarkeit. Es geht um die Fähigkeit, anomales Verhalten zu erkennen, und um die Fähigkeit, schnell zu verfolgen, wo und wie der Datenverkehr in einem Produktionsnetzwerk blockiert wird. Netzwerktechniker kennen möglicherweise alle Befehle zum Konfigurieren der Protokollierung auf jeder Plattform in ihrer Umgebung, und wir wissen möglicherweise, wie eine ACL im Ruhezustand konfiguriert wird. Der Prozess, dieses Wissen und diese Informationen in großem Umfang zu nutzen, kann jedoch kostspieliger sein als der Sicherheitsvorfall selbst.
Hier haben wir ein sehr praktisches Beispiel dafür, wie aktuelle Trends in der Netzwerkautomatisierung das Endergebnis einer typischen IT-Abteilung verbessern können, die mit Budgets, Personal und der täglichen Brandbekämpfung zu kämpfen hat. Ich kenne ein wenig grundlegendes Linux-Scripting und ein wenig Python. Das würde helfen, und das sind sicherlich gute Fähigkeiten, die jeder lernen kann. Aber die Realität ist, dass ich schon immer ein Router-Jockey war. ich bin kein DevOps Guru, und ich vermute, die meisten Netzwerkingenieure sind es auch nicht. Wie können wir also Aspekte der DevOps Paradigmen wie Automatisierung von Prozessen, schnellere Mean Time to Recovery, Qualitätssicherung und Continuous Delivery?
Der einfachste und schnellste Weg dorthin führt über die Abstraktion von Scripting- und Automatisierungsprozessen hinter intuitiver Software. Auf diese Weise können Netzwerkingenieure mit minimalen Skriptkenntnissen die Erfassung aller Arten von Informationen automatisieren, die häufig eine individuelle Anmeldung bei den Geräten und die Ausführung der entsprechenden Befehle erfordern würden.
Beispielsweise möchte ich für eine Netzwerksicherheitsanalyse für einen Kunden genau wissen, welche Arten von ACLs im gesamten Netzwerk eingesetzt werden. Das bedeutet, dass ich mir jede Layer-3-Schnittstelle ansehen müsste, die sie haben. In einem großen Netzwerk gibt es wahrscheinlich viele Geräte mit Layer-3-Terminierungen, daher würde dies so lange dauern und so fehleranfällig sein, dass die Ergebnisse unzuverlässig sind.
Ausgereifte Software, die diesen Prozess abstrahiert, wäre ein unglaubliches Werkzeug in den Händen eines jeden Sicherheitsingenieurs. Solange es einigermaßen anpassbar ist und mit einer Vielzahl wichtiger Plattformen funktioniert, würde dies den Zeit- und Kostenaufwand für die Durchführung eines Sicherheitsaudits und einer Post-Portem-Analyse verringern. Die Zuordnung aller Layer-3-Schnittstellen und der darauf konfigurierten ACLs wäre eine Sache weniger Mausklicks.
Neben der Fähigkeit, Schicht-3-Topologien dynamisch zuzuordnen, muss diese Art von Software Schicht 2 visuell abbilden, um durch Spanning Tree blockierte Ports zu identifizieren und ARP- und MAC-Tabellen zu durchsuchen. Dies ist unglaublich mühsam und zeitaufwändig, wenn es manuell durchgeführt wird, und es sei denn, ein Netzwerkteam hat den Luxus, Zeit und mehr zu haben DevOps Ingenieure, würde es wahrscheinlich nicht einmal in einer typischen Netzwerksicherheits-Forensik versucht werden.
Sich über Sicherheitsprotokolle zu brüten und sich manuell bei jedem Gerät in einem Netzwerk anzumelden, ist keine Art, einen Nachmittag zu verbringen, aber es gibt einen besseren Weg. Software, die alle schwierigen Teile der Netzwerkautomatisierung abstrahiert, kann riesige Mengen von Protokolldateien schnell in aussagekräftige, umsetzbare Daten umwandeln und die Problembereiche in einem Meer von Ethernet dynamisch lokalisieren. Heute ist die sprichwörtliche Nadel im Heuhaufen viel einfacher zu finden, ohne Ihr IT-Budget für das nächste Jahr zu ruinieren.