Hvad er deep packet inspection?

Deep packet inspection (DPI) henviser til metoden til at undersøge det fulde indhold af datapakker, mens de passerer et overvåget netværkskontrolpunkt. Mens konventionelle former for stateful packet inspection kun evaluerer pakkehovedoplysninger, f.eks. kilde-IP-adresse, destinations-IP-adresse og portnummer, ser deep packet inspection på et mere omfattende udvalg af data og metadata, der er knyttet til de enkelte pakker. Deep Packet Inspection undersøger ikke kun oplysningerne i pakkens header, men også indholdet i pakkens nyttelast.

De rige data, der evalueres af den dybe pakkeinspektion, giver en mere robust mekanisme til håndhævelse af netværkspakkefiltrering, da DPI kan bruges til mere præcist at identificere og blokere en række komplekse trusler, der gemmer sig i netværksdatastrømme, herunder:

• Malware
• Dataekfiltreringsforsøg
• Indholdspolitikovertrædelser
• Kriminel kommando og kontrolkommunikation

Dybe pakkeinspektionsfunktioner har udviklet sig for at overvinde begrænsningerne i traditionelle firewalls, der er afhængige af stateful packet inspection. For at forstå de fremskridt, som deep packet inspection giver, kan man tænke på det som lufthavnssikkerhed.

Stateful packet filtering ville svare til at validere bagagens sikkerhed ved at kontrollere bagagemærkerne for at sikre sig, at oprindelses- og destinationslufthavnene stemmer overens med de registrerede flynumre. I modsætning hertil ville filtrering ved hjælp af deep packet inspection være mere som at undersøge tasker gennem en røntgenundersøgelse for at sikre, at der ikke er noget farligt i dem, før de dirigeres til de rigtige flyvninger.

Anvendelsesområder for deep packet inspection

Analyse af trafikstrømme gennem deep packet inspection åbner op for en række nye og forbedrede anvendelsesområder for sikkerhed.

Blokering af malware

Når det kombineres med algoritmer til trusselsdetektion, kan deep packet inspection bruges til at blokere malware, før den kompromitterer slutpunkter og andre netværksaktiver. Det betyder, at det kan hjælpe med at filtrere aktivitet fra ransomware, vira, spyware og orme fra. Mere generelt giver det også synlighed på tværs af netværket, som kan analyseres via heuristik for at identificere unormale trafikmønstre og advare sikkerhedsteams om skadelig adfærd, der indikerer eksisterende kompromitteringer.

Stopper datalækager

Deep packet inspection kan ikke kun bruges til indgående trafik, men også til udgående netværksaktivitet. Det betyder, at organisationer kan bruge denne analyse til at indstille filtre til at stoppe dataekfiltreringsforsøg fra eksterne angribere eller potentielle datalækager forårsaget af både ondsindede og uagtsomme insidere.

Indholdspolitikhåndhævelse

Den ekstra programsynlighed, som deep packet inspection giver organisationer mulighed for at blokere eller drosle adgangen til risikable eller uautoriserede programmer, såsom peer-to-peer-downloadere. På samme måde åbner den dybere analyse fra DPI vejen for organisationer til at blokere politikovertrædende brugsmønstre eller forhindre uautoriseret dataadgang inden for virksomhedsgodkendte applikationer

Fordele og udfordringer ved DPI

Den ekstra synlighed, som DPI’s sonderende analyse giver, hjælper it-teams til at håndhæve mere omfattende og detaljerede cybersikkerhedspolitikker. Det er derfor, at mange firewallleverandører har flyttet sig for at tilføje det til deres funktionslister i årenes løb.

Men mange organisationer har imidlertid fundet ud af, at aktivering af DPI i firewall-apparater ofte introducerer uacceptable netværksflaskehalse og ydelsesforringelser. For det første er disse enheder på stedet bundet til virksomhedsnetværk og kræver, at organisationerne skal sende trafik fra fjernbrugere gennem denne infrastruktur for at få pakkerne til at køre gennem DPI-inspektionskontrolpunkter. Dette medfører en enorm latenstid for denne voksende gruppe af brugere og er i stigende grad uanvendeligt, da så mange virksomheder er blevet tvunget til at understøtte helt distribuerede arbejdsstyrker. Desuden vil disse problemer med ydeevnen sandsynligvis få mange brugere og afdelinger til at springe inspektionen helt over. Når disse brugere opretter direkte forbindelse til cloud- og onlineressourcer uden en VPN-forbindelse, ender de med at omgå netværksperimeterbeskyttelsen helt og holdent.

Og så er der udfordringen med krypteret trafik. Mens nogle firewalls hævder at udføre dyb pakkeinspektion af HTTPS-trafik, er processen med at dekryptere data og inspicere dem inline med trafikstrømme en processorkrævende aktivitet, som overvælder mange hardwarebaserede sikkerhedsenheder. Som reaktion herpå vælger administratorer ofte at slå denne funktion fra i deres firewalls.

Dette efterlader et stort blindt punkt i netværkets synlighed, efterhånden som TLS/SSL bliver mere og mere udbredt på internettet. Aktuelle brancheskøn viser, at så meget som 95 % af webaktiviteten i dag foregår gennem krypterede kanaler. Angribere er klar over de udfordringer, som deres potentielle ofre står over for, når de skal udvide DPI-undersøgelsen til at omfatte denne trafik, hvilket er grunden til, at omkring to tredjedele af malware nu gemmer sig under HTTPS.

Som følge heraf har organisationer, der ønsker at høste fordelene ved DPI, tendens til at søge efter yderligere tekniske midler til at aktivere funktionaliteten.

Hvordan sikre webgateways tilbyder DPI-funktionalitet

I erkendelse af, at firewalls stadig primært tjener et værdifuldt formål ved netværksperimeteren, vender mange organisationer sig mod cloud-baserede sikre webgateways for at hjælpe dem med at fjerne ydelsesbyrden ved deep packet inspection fra disse enheder. Disse webfiltre beskytter udgående brugertrafik, ideelt set ved hjælp af DPI-funktionalitet, der kan undersøge både HTTP- og HTTPS-trafik, der genereres af brugere uanset deres placering. Ved at aflaste krypteret og ekstern brugertrafik gennem en cloud-baseret sikker webgateway kan organisationer opskalere DPI’s dybe analyse af trafikken uden at belaste eksisterende hardwarebaserede enheder.

Denne arkitektur gør det også enklere at udføre deep packet inspection uden for virksomhedsnetværkets grænser. Dette giver organisationer en mere konsekvent vej til håndhævelse af politikker, når de administrerer sikkerhedspolitikker på tværs af flere lokationer og en udbredt fjernbrugerbase, der har direkte forbindelse til internettet og cloudressourcer.