Co to jest głęboka inspekcja pakietów?

Głęboka inspekcja pakietów (DPI) odnosi się do metody badania pełnej zawartości pakietów danych podczas ich przemieszczania się przez monitorowany punkt kontrolny sieci. Podczas gdy konwencjonalne formy stateful packet inspection oceniają jedynie informacje zawarte w nagłówkach pakietów, takie jak źródłowy adres IP, docelowy adres IP i numer portu, deep packet inspection analizuje pełniejszy zakres danych i metadanych związanych z poszczególnymi pakietami. Głęboka inspekcja pakietów analizuje nie tylko informacje zawarte w nagłówku pakietu, ale również zawartość zawartą w ładunku pakietu.

Bogate dane oceniane przez głęboką inspekcję pakietów zapewniają solidniejszy mechanizm egzekwowania filtrowania pakietów sieciowych, ponieważ DPI może być wykorzystywana do dokładniejszego identyfikowania i blokowania szeregu złożonych zagrożeń ukrywających się w strumieniach danych sieciowych, w tym:

• Malware
• Próby eksfiltracji danych
• Naruszenia polityki treści
• Kryminalna komunikacja dowodzenia i kontroli

Możliwości głębokiej inspekcji pakietów ewoluowały w celu przezwyciężenia ograniczeń tradycyjnych zapór ogniowych, które opierają się na stanowej inspekcji pakietów. Aby zrozumieć postęp oferowany przez głęboką inspekcję pakietów, należy pomyśleć o niej w kategoriach bezpieczeństwa na lotnisku.

Stateful packet filtering byłby jak sprawdzanie bezpieczeństwa bagażu poprzez sprawdzanie przywieszek bagażowych, aby upewnić się, że lotniska początkowe i docelowe pasują do zarejestrowanych numerów lotów. W przeciwieństwie do tego, filtrowanie przy użyciu głębokiej inspekcji pakietów byłoby bardziej jak prześwietlanie toreb przez rentgen, aby upewnić się, że w środku nie ma nic niebezpiecznego przed skierowaniem ich do właściwych lotów.

Przypadki użycia głębokiej inspekcji pakietów

Analiza przepływów ruchu poprzez głęboką inspekcję pakietów otwiera szereg nowych i ulepszonych przypadków użycia bezpieczeństwa.

Blokowanie złośliwego oprogramowania

Połączona z algorytmami wykrywania zagrożeń, głęboka inspekcja pakietów może być wykorzystywana do blokowania złośliwego oprogramowania, zanim naruszy ono punkty końcowe i inne zasoby sieciowe. Oznacza to, że może pomóc odfiltrować aktywność ransomware, wirusów, programów szpiegujących i robaków. W szerszym zakresie, zapewnia również widoczność w całej sieci, która może być analizowana za pomocą heurystyki w celu identyfikacji nietypowych wzorców ruchu i ostrzegania zespołów bezpieczeństwa o złośliwym zachowaniu wskazującym na istniejące zagrożenia.

Zatrzymywanie wycieków danych

Głęboka inspekcja pakietów może być wykorzystywana nie tylko do ruchu przychodzącego, ale również do aktywności sieciowej wychodzącej. Oznacza to, że organizacje mogą wykorzystywać tę analizę do ustawiania filtrów w celu powstrzymania prób eksfiltracji danych przez zewnętrznych napastników lub potencjalnych wycieków danych spowodowanych zarówno przez złośliwych, jak i niedbałych użytkowników wewnętrznych.

Wykonanie polityki dotyczącej treści

Dodatkowa widoczność aplikacji zapewniana przez głęboką inspekcję pakietów pozwala organizacjom blokować lub dławić dostęp do ryzykownych lub nieautoryzowanych aplikacji, takich jak programy do pobierania plików peer-to-peer. Podobnie, głębsza analiza DPI otwiera organizacjom drogę do blokowania wzorców użytkowania naruszających zasady lub zapobiegania nieautoryzowanemu dostępowi do danych w ramach aplikacji zatwierdzonych przez firmę

Korzyści i wyzwania związane z DPI

Dodatkowa widoczność zapewniana przez analizę sondowania DPI pomaga zespołom IT egzekwować bardziej kompleksowe i szczegółowe polityki bezpieczeństwa cybernetycznego. Z tego powodu wielu producentów zapór sieciowych od lat dodaje je do swoich list funkcji.

Jednakże wiele organizacji odkryło, że włączenie funkcji DPI w urządzeniach zaporowych często wprowadza niedopuszczalne wąskie gardła sieciowe i pogorszenie wydajności. Przede wszystkim, urządzenia te są podłączone do sieci korporacyjnych i wymagają od organizacji przesyłania ruchu od użytkowników zdalnych przez tę infrastrukturę, aby pakiety mogły przejść przez punkty kontrolne DPI. Wprowadza to ogromne opóźnienia dla rosnącej liczby użytkowników i jest coraz bardziej niewykonalne, ponieważ wiele firm zostało zmuszonych do wspierania całkowicie rozproszonych pracowników. Co więcej, te problemy z wydajnością mogą skłonić wielu użytkowników i wiele działów do całkowitego pominięcia inspekcji. Kiedy ci użytkownicy łączą się z zasobami w chmurze i online bezpośrednio, bez połączenia VPN, w końcu całkowicie omijają zabezpieczenia perymetryczne sieci.

Następnie pojawia się wyzwanie związane z ruchem szyfrowanym. Podczas gdy niektóre zapory sieciowe twierdzą, że przeprowadzają głęboką inspekcję pakietów na ruchu HTTPS, proces odszyfrowywania danych i sprawdzania ich w linii z przepływem ruchu jest czynnością wymagającą dużej mocy procesora, która przerasta możliwości wielu sprzętowych urządzeń zabezpieczających. W odpowiedzi na to, administratorzy często decydują się na wyłączenie tej funkcji w swoich firewallach.

Pozostawia to ogromny problem z widocznością sieci w miarę wzrostu popularności TLS/SSL w Internecie. Według szacunków branży, aż 95% aktywności w sieci odbywa się obecnie za pośrednictwem szyfrowanych kanałów. Atakujący zdają sobie sprawę z wyzwań, jakie stoją przed ich potencjalnymi ofiarami w związku z rozszerzeniem kontroli DPI na ten ruch, dlatego około dwie trzecie złośliwego oprogramowania ukrywa się obecnie pod osłoną HTTPS.

W rezultacie organizacje, które chcą czerpać korzyści z DPI, szukają dodatkowych środków technicznych, aby włączyć tę funkcjonalność.

Jak bezpieczne bramy internetowe oferują funkcjonalność DPI

Uznając, że zapory sieciowe nadal służą wartościowemu celowi na granicy sieci, wiele organizacji zwraca się ku opartym na chmurze bezpiecznym bramom internetowym, aby pomóc im zdjąć z tych urządzeń ciężar wydajności związany z głęboką inspekcją pakietów. Te filtry internetowe chronią ruch wychodzący użytkowników, najlepiej poprzez wykorzystanie funkcji DPI, która może badać zarówno ruch HTTP jak i HTTPS generowany przez użytkowników niezależnie od ich lokalizacji. Odciążając zaszyfrowany i zdalny ruch użytkowników poprzez opartą na chmurze bezpieczną bramę internetową, organizacje mogą skalować dogłębną analizę ruchu DPI bez obciążania istniejących urządzeń sprzętowych.

W tym samym duchu, architektura ta upraszcza również przeprowadzanie dogłębnej inspekcji pakietów poza granicami sieci korporacyjnej. Oferuje to organizacjom bardziej spójną ścieżkę egzekwowania zasad, gdy zarządzają one zasadami bezpieczeństwa w wielu lokalizacjach i rozległą bazą zdalnych użytkowników, którzy łączą się bezpośrednio z Internetem i zasobami w chmurze.

.