Lidé, kteří se zabývají informační bezpečností, jsou často přetíženi informacemi. Přicházejí síťové informace jako zprávy o skenech, virech, červech a spamech. Přicházejí zprávy od hostitelských a autentizačních systémů – uživatelé, kteří si nezměnili heslo a měli, uživatelé, kteří nebyli vpuštěni do systému, a uživatelé, kteří jsou prostě jen podezřelí. V současné době si musíme pozorně všímat i zálohovacích systémů – zálohují skutečně data a jsou tato zálohovaná data zašifrována?
Jedním z nejzákladnějších způsobů, jak pomoci lidem zvládat toto informační přetížení, je jeho vizualizace – to znamená například nakreslit je jako graf, vynést je do mapy nebo použít tato data k vytvoření nějakého typu diagramu. Bohužel řada vizualizací poskytovaných dnešními bezpečnostními nástroji a prodejci zahrnuje prakticky jen sloupcové grafy a koláče vytvořené z informací, které je snadné shromáždit, ale nemá smysl je dále analyzovat.
Například jedna taková vizualizace, která je oblíbená mezi prodejci antispamů, je mapa světa s kruhovými diagramy nebo zeměmi vyznačenými v různých barvách, které ukazují množství spamů, jež ta či ona část světa produkuje. Spojené státy jsou rudé, protože většina současného spamu pochází z počítačů, které byly zkompromitovány a staly se součástí hackerských botnetů. Evropa, Brazílie a Čína se řadí hned za USA. Afrika je poslední – ne že by Afričané byli mistry v počítačové bezpečnosti, ale protože tento kontinent se nevyznačuje takovým množstvím počítačů a takovou mírou konektivity. Ano, tato informace je docela zajímavá. Ale je naprosto bezcenná a nijak vám nepomůže, pokud je vaším úkolem vypracovat antispamovou strategii. Co tedy má takový CIO dělat – zablokovat veškeré e-maily, které přicházejí z USA?
Jednoduché tabulky a grafy mohou snad potěšit oko ve výroční zprávě nebo na zasedání správní rady, ale pro bezpečnostní management jsou k ničemu, neboť bezpečnostním profesionálům neposkytují žádný hlubší vhled do jejich problémů. Pro účely plánování je vcelku lhostejné, kolik spamu přichází z Ruska.
Praktičtější aplikace
Změnit shromážděná data v informace, které mohou být použity pro vizualizaci, není jednoduché. Je daleko snazší data shromažďovat než je analyzovat. Prodejci antispamu někdy předkládají grafy, jak se množství spamu mění z týdne na týden. Důležitější ale je, jak se množství spamu mění v souvislosti s nějakou další proměnnou, například množstvím legitimní pošty, která je doručována. Dalším důležitým měřítkem je, nakolik spam doručování legitimní pošty zpožďuje a na kolik to přijde podnik ve smyslu nákladů na výpočetní a lidské zdroje. Graf, který ukazuje využití prostředků určených k zachytávání spamu dané organizace, lze použít k předpovídání toho, kdy bude zapotřebí koupit nové takovéto zařízení.
Vizualizace ale může být daleko užitečnější než jen pro plánování kapacit. Vizualizace, pokud jsou vhodně prezentovány, by měly dokázat organizacím pomoci při vyhledávání bezpečnostních hrozeb a incidentů, které by jinak mohly být přehlédnuty. Tu a tam se objevují náznaky něčeho slibného, například v balících pro management bezpečnostních incidentů. Celkově ale bohužel zatím to nejlepší z vizualizačních technologií zůstává bez užitku ve výzkumných laboratořích a na regálech prodejců.
Vizualizace dlouho byla účinným nástrojem síťového a počítačového managementu. Zobrazení šířky pásma sítě nebo využití CPU umožňuje administrátorovi na první pohled zjistit stav systému, trendy a náhlé odchylky od definovaných norem. Administrátoři brzy zjistí, že specifické vzorce na jejich obrazovkách odpovídají specifickým problémům, které je třeba řešit. Vizualizace se v podstatě stává vysokorychlostním rozhraním, které umožňuje, aby lidský mozek a počítačový systém spolupracovaly na řešení složitého problému.
Tato symbióza mezi mozkem a strojem využívá na jedné straně schopnosti počítače zpracovávat velké objemy numerických dat, na druhé schopnosti mozku nalézat význam v jinak chaotických vzorcích. Zraková kůra je vyladěna na rychlé pochopení a vyhodnocení změti informací. Dobrá vizualizace tak zapojuje neurony, které se vyvíjely po tisíciletí, aby umožnily detekovat leopardy plížící se houštinami, a využívá je třeba k nalezení zhrouceného routeru nebo RAIDu, na kterém k něčemu došlo. I když dosažení schopnosti odhalovat korelaci mezi vzorci a problémy může vyžadovat určitý trénink, zas tak dlouho to netrvá.
Zatímco kvalitní vizualizace se staly významnou součástí síťového managementu, na každodenní praxi síťové bezpečnosti - nebo jakýkoliv jiný druh síťové bezpečnosti - mají vizualizace tohoto typu jen malý dopad. Na akademické půdě probíhá v posledních letech výzkum zaměřený na vývoj vizualizačních technik pro detekci nepřátelského skenování sítí nebo dalšího abnormálního chování.
Ben Schneiderman, profesor na Marylandské univerzitě, který se zkoumáním vizualizace dat zabývá již přes 20 let, s oblibou říká, že obrázek může mít cenu tisíce slov, ale obrázek s možností ovládání má cenu tisíce obrázků. Vizuální prezentace informací musí být interaktivní. Touto radou se dnes řídí ty nejlepší vizualizační systémy, které jsou v současné době vyvíjeny.
Co se skrývá v laboratořích
Například tým vedený profesorem Kwan Liu Ma na Kalifornské univerzitě v Davisu vyvinul program nazvaný PortVis, který analytikovi do značné míry usnadňuje odhalení různých druhů skenování sítě. Tento program může zobrazit časové osy aktivit hostitele nebo portu, mřížkovou vizualizaci, ve které se veškerá aktivita sítě za určitou dobu zobrazí na jediné mřížce, objemovou vizualizaci, která tuto mřížku rozšíří na trojrozměrný objem, a vizualizaci portu, která ukazuje aktivity na konkrétních TCP/IP portech v určitém čase. Když se na různé druhy skenování sítě podíváte pomocí tohoto nástroje, mají velice odlišné vzorce. Lze doufat, že analytik tyto vzorce bude schopen rozeznat i tehdy, když budou superponovány na běžné aktivity středně vytížené sítě.
Další práce týmu profesora Ma byla zaměřena na využití pokročilých metod zpracování signálu s cílem zvýraznění zřetelnosti těchto útočných vzorců. Podobné skeny mají také podobné histogramy, zatímco u odlišných se výrazně liší. Jiné vizualizace v tomto referátu ukazují, jak hostitelé v síti mohou být sdruženi do skvrn, cestiček a hadovitých vzorců v závislosti na tom, jakým způsobem je útočník skenoval.
Wiliam Yurcik v National Center for Supercomputing Applications vyvíjí nástroje pro vizualizaci dat NetFlow pro bezpečnostní účely. Yurcikův nástroj NVisionIP má "galaktický" záběr, kdy blok desetitisíců IP adres může být zobrazen na jediné stránce: tmavší oblasti přitom vyznačují větší aktivitu na síti. Analytik může zaostřit až na jednotlivé stroje. Jiný nástroj umožňuje analytikovi, aby zjistil, které stroje jsou zdroji a které příjemci provozu.
Skutečná hodnota vizualizace je v tom, že umožňuje hledat věci, které jsou nové a nečekané - vzorce, které jsou podivně vyšinuté. Najdete něco, co vypadá divně, a snažíte se to vysvětlit. Některá vysvětlení jsou nevinná, jindy se může jednat o zákeřný útok.
Před několika měsíci jsem pracoval s kolegou na výzkumu nové vizualizace v oblasti síťové bezpečnosti. Měli jsme systém, který kreslil na obrazovce počítače šipky, jež měly symbolizovat internetová spojení v síti v průběhu určitého času. Při pohledu na displej jsem viděl, jak několik set šipek vytváří diagonálu. "To je divné," napadlo mě. Ukázalo se, že to, na co jsem se díval, bylo skenování portu. Jinde na obrazovce jsme viděli řadu šipek ubíhající v jednom směru, aniž by jim v odpověď šly jakékoliv balíky dat. O pár sekund později se tento vzorec opakoval, pak znovu. Zkoumání odhalilo, že jsme sledovali dotazy adresované DNS serveru, který neodpovídal.
Řada vizualizačních nástrojů vyžaduje analytika znalého věci, který má čas a motivaci používat tento nástroj k vyhledávání anomálií a událostí na síti. Bohužel, takto je tomu zřídkakdy. Což vede nakonec k tomu, že mnoho výzkumných pracovníků vyvinulo užitečné vizualizace, které skončily v regálech, protože analytikové prostě nemají čas je spustit.
V důsledku toho se jiná oblast výzkumu pokouší použít tyto vizualizace jako vstupy pro algoritmy strojového učení. Tyto algoritmy se pak naučí, co je normální a co ne, a jsou naprogramovány, aby na abnormálnosti upozorňovaly lidské operátory.
Spojením vizualizace se strojovým učením se dosahuje výsledků, z nichž mnohé jsou totožné s těmi, jakých by mohl dosáhnout dobrý algoritmus pro data mining. Vlastně by se to dalo považovat za určitý speciální druh data miningu. Klíčový rozdíl je, že data mining na vizualizaci závisí, takže je možné, aby člověk skočil doprostřed systému a podíval se na stejný obrázek. Stačí přidat pár ovládacích prvků, a z vizualizace se stane interaktivní aplikace, kterou lze použít k přiblížení, k získání doplňujících informací a k rychlému rozhodnutí o případném incidentu.
Pochopit, jak je vizualizace pro provoz na síti užitečná, je snadné, tato technologie se ale také dá využít pro forenzní problematiku v oblasti počítačů, pro správu záplat, a dokonce prosazování ochrany dat. Tuto technologii však na trhu nenalezneme, dokud firmy nezačnou požadovat vizualizace, které by dodávaly informace, jež budou užitečné a zároveň budou mít nějaký význam. Efektní barvičky, které lahodí oku, patří do počítačových her, nikoliv do zasedačky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU