Ce este inspecția profundă a pachetelor?

Inspecția profundă a pachetelor (DPI) se referă la metoda de examinare a întregului conținut al pachetelor de date pe măsură ce acestea traversează un punct de control al rețelei monitorizate. În timp ce formele convenționale de inspecție statică a pachetelor evaluează doar informațiile din antetul pachetelor, cum ar fi adresa IP sursă, adresa IP destinație și numărul portului, inspecția aprofundată a pachetelor analizează o gamă mai completă de date și metadate asociate pachetelor individuale. Inspecția în profunzime a pachetelor nu va examina doar informațiile din antetul pachetului, ci și conținutul cuprins în sarcina utilă a pachetului.

Datele bogate evaluate de inspecția în profunzime a pachetelor oferă un mecanism mai robust pentru aplicarea filtrării pachetelor de rețea, deoarece DPI poate fi utilizat pentru a identifica și bloca cu mai multă acuratețe o serie de amenințări complexe care se ascund în fluxurile de date din rețea, inclusiv:

  • Malware
  • Tentative de exfiltrare a datelor
  • Încălcări ale politicii de conținut
  • Comunicații criminale de comandă și control

Capacitățile de inspecție aprofundată a pachetelor au evoluat pentru a depăși limitările firewall-urilor tradiționale care se bazează pe inspecția pachetelor cu stare. Pentru a înțelege avansul oferit de inspecția profundă a pachetelor, gândiți-vă la aceasta în termeni de securitate aeroportuară.

Filtrarea statică a pachetelor ar fi ca și cum ați valida siguranța bagajelor prin verificarea etichetelor bagajelor pentru a vă asigura că aeroporturile de origine și de destinație se potrivesc cu numerele de zbor înregistrate. În schimb, filtrarea cu ajutorul inspecției profunde a pachetelor ar fi mai mult ca examinarea bagajelor cu raze X pentru a se asigura că nu există nimic periculos în interior înainte de a le direcționa către zborurile corespunzătoare.

Cazuri de utilizare pentru inspecția profundă a pachetelor

Analiza fluxurilor de trafic prin inspecția profundă a pachetelor deschide o serie de cazuri de utilizare a securității noi și îmbunătățite.

Blocarea programelor malware

Când este asociată cu algoritmi de detectare a amenințărilor, inspecția aprofundată a pachetelor poate fi utilizată pentru a bloca programele malware înainte ca acestea să compromită punctele finale și alte active de rețea. Acest lucru înseamnă că poate ajuta la filtrarea activității de ransomware, viruși, spyware și viermi. În sens mai larg, oferă, de asemenea, vizibilitate în întreaga rețea, care poate fi analizată prin euristică pentru a identifica tipare de trafic anormale și pentru a alerta echipele de securitate cu privire la comportamente malițioase care indică compromisuri existente.

Stoparea scurgerilor de date

Inspecția aprofundată a pachetelor poate fi utilizată nu numai pentru traficul de intrare, ci și pentru activitatea de ieșire din rețea. Acest lucru înseamnă că organizațiile pot folosi această analiză pentru a seta filtre pentru a opri încercările de exfiltrare a datelor de către atacatori externi sau potențiale scurgeri de date cauzate atât de persoane din interior rău intenționate, cât și neglijente.

Punerea în aplicare a politicii de conținut

Vizibilitatea suplimentară a aplicațiilor oferită de inspecția profundă a pachetelor permite organizațiilor să blocheze sau să restricționeze accesul la aplicații riscante sau neautorizate, cum ar fi descărcătoarele peer-to-peer. În mod similar, analiza mai profundă oferită de DPI deschide calea pentru ca organizațiile să blocheze tiparele de utilizare care încalcă politicile sau să împiedice accesul neautorizat la date în cadrul aplicațiilor aprobate de corporație

Serviciu de gateway web securizat

Securitate web și internet complet gestionată pentru SD-WAN, mobilitate și cloud.

Aflați mai multe

Beneficii și provocări ale DPI

Vizibilitatea suplimentară oferită de analiza de sondare a DPI ajută echipele IT să aplice politici de securitate cibernetică mai cuprinzătoare și mai detaliate. Acesta este motivul pentru care mulți furnizori de firewall-uri au trecut la adăugarea acestuia la listele lor de caracteristici de-a lungul anilor.

Cu toate acestea, multe organizații au constatat că activarea DPI în dispozitivele de firewall introduce adesea blocaje inacceptabile în rețea și o degradare a performanței. În primul rând, aceste aparate on-premise sunt legate de rețelele corporative și necesită ca organizațiile să redirecționeze traficul de la utilizatorii de la distanță prin această infrastructură pentru ca pachetele să treacă prin punctele de control ale inspecției DPI. Acest lucru introduce o latență enormă pentru acest număr tot mai mare de utilizatori și este din ce în ce mai greu de realizat, deoarece atât de multe companii au fost forțate să susțină forțe de muncă complet distribuite. Mai mult, aceste probleme de performanță sunt de natură să stimuleze mulți utilizatori și departamente să sară complet peste inspecție. Atunci când acești utilizatori se conectează direct la resursele cloud și online fără o conexiune VPN, ajung să ocolească complet protecțiile perimetrului rețelei.

Și mai există și provocarea traficului criptat. În timp ce unele firewall-uri pretind că efectuează o inspecție profundă a pachetelor pe traficul HTTPS, procesul de decriptare a datelor și inspectarea lor în linie cu fluxurile de trafic este o activitate care necesită un procesor intensiv și care copleșește multe dispozitive de securitate bazate pe hardware. Ca răspuns, administratorii aleg adesea să dezactiveze această capabilitate în cadrul firewall-urilor lor.

Aceasta lasă un imens unghi mort în ceea ce privește vizibilitatea rețelei, pe măsură ce crește prevalența TLS/SSL pe web. Estimările actuale ale industriei arată că până la 95% din activitatea web de astăzi are loc prin canale criptate. Atacatorii recunosc provocările cu care se confruntă potențialele lor victime în ceea ce privește extinderea controlului DPI asupra acestui trafic, motiv pentru care aproximativ două treimi din programele malware se ascund acum sub acoperirea HTTPS.

Ca urmare, organizațiile care doresc să profite de avantajele DPI tind să caute mijloace tehnice suplimentare pentru a activa această funcționalitate.

Cum oferă gateway-urile web securizate funcționalitatea DPI

Recunoscând că firewall-urile continuă să servească în primul rând un scop valoros în perimetrul rețelei, multe organizații apelează la gateway-uri web securizate bazate pe cloud pentru a le ajuta să elimine povara de performanță a inspecției profunde a pachetelor de la aceste dispozitive. Aceste filtre web protejează traficul de ieșire al utilizatorilor, în mod ideal prin utilizarea funcționalității DPI care poate examina atât traficul HTTP, cât și HTTPS generat de utilizatori, indiferent de locația acestora. Prin descărcarea traficului criptat și de la distanță al utilizatorilor prin intermediul unui gateway web securizat bazat pe cloud, organizațiile pot extinde analiza profundă a traficului DPI fără a pune presiune asupra dispozitivelor existente bazate pe hardware.

În aceeași ordine de idei, această arhitectură face, de asemenea, mai simplă efectuarea inspecției profunde a pachetelor în afara limitelor rețelei corporative. Acest lucru oferă organizațiilor o cale mai coerentă de aplicare a politicilor atunci când gestionează politicile de securitate în mai multe locații și o bază de utilizatori la distanță foarte răspândită care se conectează direct la internet și la resursele cloud.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.