Вам действительно нужен DPI для повышения кибербезопасности вашего подвижного состава?
Когда мы обсуждаем безопасность со многими операторами поездов, они часто сразу переходят к глубокой проверке пакетов и брандмауэрам. Это хорошо изученная технология, но когда мы углубимся в их требования, мы обнаружим, что на самом деле им вообще не нужен DPI, или то, что они думают, что они получают от DPI, сильно отличается от реальности.
Понятно, как это произошло, в течение многих лет производители межсетевых экранов следующего поколения говорили о преимуществах DPI в корпоративных средах, где обычно они обнаруживают только те угрозы, которые проходят через участки сети, где они установлены.
Когда мы обсуждаем это с клиентами, мы часто начинаем с вопроса: «Чего вы надеетесь достичь, добавляя DPI в свою сеть?». Ответы сильно различаются, но чаще всего они сводятся к трем вещам:
- Обнаружение сети и активов
- Маршруты сетевого трафика
- Обнаружение новых устройств в сети
Отсюда и возникает недоразумение: технология, необходимая для доставки, включает в себя проверку пакета, но на самом деле это не глубокая проверка пакета.
DPI — это методология, используемая при анализе пакета, проходящего через сеть, при прохождении через точку проверки. Он предназначен для того, чтобы позволить сети проверять данные, переносимые пакетом, и сканировать данные, которые могут указывать на наличие вредоносных программ или вторжений. Затем пакет будет пропущен, заблокирован или перенаправлен в зависимости от того, как ваша система запрограммирована на взаимодействие с ним, используя набор скомпилированных предопределенных правил.
Когда мы смотрим на анатомию пакета, по сути, есть два основных компонента: заголовок пакета и полезная нагрузка. Когда мы рассматриваем DPI как технологию, она в основном фокусируется на полезной нагрузке, которая содержит фактически передаваемые данные. Если злоумышленник доставляет вредоносное ПО, именно там оно и будет находиться.
Проблемы с глубокой проверкой пакетов для кибербезопасности
Существует большая проблема с попыткой обнаружить вредоносное ПО в полезной нагрузке в тех средах, в которых мы работаем.
В хостинг-центре этот подход работает, потому что есть группы аналитиков, генерирующих сигнатуры атак по всему миру. Новые атаки обнаруживаются быстро, и сигнатуры распространяются на брандмауэры, коммутаторы и другие сетевые устройства. Когда DPI используется для проверки и оценки содержимого пакета, проходящего через точки проверки, он основан на правилах и политиках, определенных людьми. Это обнаружение на основе сигнатур тщательно проверяет трафик на основе шаблона или строки, которая соответствует известной атаке. Это означает, что метод ограничен только обнаружением известных атак из ранее проанализированных событий. Поэтому важно помнить, что в железнодорожной отрасли отсутствует соответствующая информация об угрозах из-за ее уникальных проблем по сравнению с более часто задокументированными атаками на коммерческие помещения. Подписи также легко нейтрализуются повторным шифрованием атаки или с трудом применяются к зашифрованному трафику.
Поскольку глубокая проверка пакетов определяет, что делать с этими пакетами в режиме реального времени, это означает, что вычислительная мощность должна увеличиваться с увеличением пропускной способности. Таким образом, глубокая проверка пакетов может замедлить вашу сеть, выделив ресурсы для вашего брандмауэра, чтобы он мог справиться с вычислительной нагрузкой.
Мы также обнаружили, что промышленные поставщики часто не желают делиться своими протоколами декодирования, используемыми в технологиях стиля DPI. Они считают, что неясность их промышленных протоколов дает им элемент безопасности, мы позволим вам сделать собственное суждение о мудрости такого мышления.
Итак, что насчет остальной части пакета? Ну, это большой объем данных, которые исключительно важны для промышленной среды. Заголовок пакета содержит всю информацию о том, как передается пакет, об источнике, получателе, портах, длине полезной нагрузки, протоколах, флагах пакетов и многом другом! Эти данные исключительно ценны для поведенческой аналитики, и когда мы оглядываемся назад на три потребности, которые предъявляют клиенты, все они исходят из информации заголовка пакета.
Обнаружение аномального поведения с помощью неглубокой проверки пакетов
В RazorSecure мы приняли сознательное решение не использовать глубокую проверку пакетов в нашей базовой технологии. Мы не верим, что это работает хорошо, поэтому сосредоточились на поверхностной проверке пакетов, просматривая только заголовок пакета и используя доступные данные.
Следствием этого решения является то, что мы фокусируемся на поведенческих данных, а не на сигнатурах, это лучшая информация, доступная нам как защитникам. Это также гарантирует, что мы сможем обнаруживать как известные, так и неизвестные атаки. Подходы к обнаружению поведенческих угроз будут обнаруживать ошибочные данные в системе, обнаруживая аномальное поведение, а не просто анализируя пакетные данные. В промышленной среде эти поведенческие данные, как правило, вполне согласуются и могут использоваться для точной характеристики сетей, особенно когда мы рассматриваем активы с длительным сроком службы, такие как подвижной состав.
Поверхностная проверка пакетов может применяться к различным активам, даже при ограниченной вычислительной мощности, что позволяет нам находить скрытые угрозы безопасности, действующие в тех областях вашей инфраструктуры, которые недоступны традиционным подходам. Нам удалось интегрировать нашу технологию мелких пакетов в одноядерные устройства с чипсетами, которым более 10 лет, и которые все еще могут обрабатывать более 100 Мбит трафика.
Возвращаясь к нашим основным технологическим принципам, мы видим случаи, когда DPI можно успешно использовать для применения поведенческой аналитики и базовых показателей, но это не общий подход. Он работает лучше всего, когда применяется целенаправленно и с учетом конкретной конечной цели.
По сути, для нас это сводится к тому, что нужно клиенту, и хотя они думают, что им нужен DPI, на самом деле есть лучшие альтернативы, которые дают им то, что они действительно хотели с самого начала.
