Vad är djup paketinspektion?

Djup paketinspektion (DPI) är en metod för att undersöka hela innehållet i datapaket när de passerar en övervakad nätverkskontrollpunkt. Medan konventionella former av stateful packet inspection endast utvärderar paketets headerinformation, t.ex. källans IP-adress, destinations-IP-adress och portnummer, tittar deep packet inspection på ett större antal data och metadata som är kopplade till enskilda paket. Deep Packet Inspection granskar inte bara informationen i pakethuvudet utan även innehållet i paketets nyttolast.

Den rika data som utvärderas av deep packet inspection ger en mer robust mekanism för att upprätthålla nätverkspaketfiltrering, eftersom DPI kan användas för att mer exakt identifiera och blockera en rad komplexa hot som gömmer sig i nätverksdataströmmar, bland annat:

• Malware
• Dataexfiltrationsförsök
• Innehållspolicyöverträdelser
• Kriminell kommando- och kontrollkommunikation

Funktionerna för djup paketinspektion har utvecklats för att övervinna begränsningarna hos traditionella brandväggar som förlitar sig på stateful packet inspection. För att förstå de framsteg som Deep Packet Inspection erbjuder kan man tänka sig i termer av flygplatssäkerhet.

Stateful packet filtering skulle vara som att validera bagagets säkerhet genom att kontrollera bagageetiketter för att se till att ursprungs- och destinationsflygplatserna stämmer överens med de flygnummer som finns registrerade. Filtrering med hjälp av djup paketinspektion skulle däremot vara mer som att undersöka väskor genom röntgen för att se till att det inte finns något farligt i dem innan de dirigeras till rätt flyg.

Användningsområden för djup paketinspektion

Analys av trafikflöden med hjälp av djup paketinspektion öppnar upp för en rad nya och förbättrade användningsområden för säkerhet.

Blockera skadlig kod

När den kombineras med algoritmer för upptäckt av hot kan djup paketinspektion användas för att blockera skadlig kod innan den äventyrar slutpunkter och andra nätverkstillgångar. Det innebär att den kan hjälpa till att filtrera bort aktivitet från utpressningstrojaner, virus, spionprogram och maskar. Mer allmänt ger det också synlighet i nätverket som kan analyseras med hjälp av heuristik för att identifiera onormala trafikmönster och varna säkerhetsteam för skadligt beteende som indikerar befintliga kompromisser.

Stoppa dataläckage

Djup paketinspektion kan användas inte bara för inkommande trafik, utan även för utgående nätverksaktivitet. Detta innebär att organisationer kan använda den analysen för att ställa in filter för att stoppa dataexfiltrationsförsök av externa angripare eller potentiella dataläckor orsakade av både illvilliga och försumliga insiders.

Innehållspolicygenomdrivning

Den extra applikationssynlighet som Deep Packet Inspection ger organisationer möjlighet att blockera eller strypa åtkomsten till riskabla eller obehöriga applikationer, som t.ex. peer-to-peer-downloaders. På samma sätt öppnar den djupare analysen från DPI vägen för organisationer att blockera policyvidriga användningsmönster eller förhindra obehörig dataåtkomst inom företagsgodkända applikationer

Fördelar och utmaningar med DPI

Den extra synlighet som DPI:s sonderande analys ger hjälper IT-teamen att tillämpa mer omfattande och detaljerade cybersäkerhetsprinciper. Detta är anledningen till att många brandväggsleverantörer har flyttat för att lägga till det i sina funktionslistor under årens lopp.

Många organisationer har dock upptäckt att aktivering av DPI i brandväggsapparater ofta introducerar oacceptabla nätverksflaskhalsar och prestandadegradation. För det första är dessa enheter på plats knutna till företagsnätverken och kräver att organisationerna skickar trafik från fjärranvändare genom denna infrastruktur för att paketen ska kunna passera DPI-inspektionskontrollpunkterna. Detta medför en enorm latens för denna växande grupp användare och är alltmer ogenomförbart eftersom så många företag har tvingats stödja helt distribuerade arbetsstyrkor. Dessutom kommer dessa prestandaproblem sannolikt att få många användare och avdelningar att hoppa över inspektionen helt och hållet. När dessa användare ansluter till moln- och online-resurser direkt utan en VPN-anslutning slutar det med att de helt och hållet kringgår nätverksområdesskyddet.

Och så har vi utmaningen med krypterad trafik. Även om vissa brandväggar hävdar att de utför djup paketinspektion av HTTPS-trafik, är processen med att dekryptera data och inspektera dem i linje med trafikflöden en processorkrävande aktivitet som överväldigar många hårdvarubaserade säkerhetsenheter. Därför väljer administratörer ofta att stänga av funktionen i sina brandväggar.

Detta lämnar en stor blind fläck i nätverkets synlighet i takt med att TLS/SSL blir allt vanligare på webben. Aktuella branschberäkningar visar att så mycket som 95 % av webbaktiviteten i dag sker via krypterade kanaler. Angripare är medvetna om de utmaningar som deras potentiella offer står inför när det gäller att utvidga DPI-undersökningen till att omfatta denna trafik, vilket är anledningen till att cirka två tredjedelar av skadlig kod nu gömmer sig under HTTPS.

Som ett resultat av detta tenderar organisationer som vill utnyttja fördelarna med DPI att leta efter ytterligare tekniska medel för att aktivera funktionaliteten.

Hur säkra webb-gateways erbjuder DPI-funktionalitet

Med tanke på att brandväggar fortfarande fyller ett värdefullt syfte i första hand vid nätverksperimetern, vänder sig många organisationer till molnbaserade säkra webb-gateways för att hjälpa dem att avlägsna prestandabördan av djup paketinspektion från dessa enheter. Dessa webbfilter skyddar utgående användartrafik, helst med hjälp av DPI-funktionalitet som kan undersöka både HTTP- och HTTPS-trafik som genereras av användare oberoende av deras plats. Genom att avlasta krypterad och fjärranvändartrafik via en molnbaserad säker webbgateway kan organisationer skala upp DPI:s djupa analys av trafiken utan att pressa befintliga hårdvarubaserade enheter.

I samma anda gör den arkitekturen det också enklare att utföra djup paketinspektion utanför företagsnätverkets gränser. Detta ger organisationer en mer konsekvent väg till policygenomförandet när de hanterar säkerhetspolicyer på flera platser och en utbredd fjärranvändarbas som ansluter direkt till internet och molnresurser.