Test QNAP ADRA NDR - system zabezpieczeń sieciowych klasy NDR. Co to jest, jakie oferuje możliwości i jak działa w praktyce?

Test QNAP ADRA NDR – Oprogramowanie ADRA NDR

Przyszedł wreszcie czas na danie główne, a więc moduł ADRA NDR do QNAP QNE. To w końcu on odpowiada za najważniejszą funkcjonalność całego rozwiązania, czyli za skanowanie sieci, wykrywanie i powiadamianie o znalezionych zagrożeniach. No i ewentualne blokowanie ich źródeł, ale o tym za chwilę. Muszę przyznać, że oczekiwania miałem dość duże co do możliwości dostosowania oferowanych opcji konfiguracyjnych do wcześniej ustalonych wymagań. Wdrażamy bowiem w naszej sieci rozwiązanie, które ma wspomóc w skutecznym neutralizowaniu niepożądanych wewnątrz niej działań. Wewnątrz, gdyż tak, jak wspomniałem wcześniej – systemy klasy NDR mają za zadanie monitorować właśnie sieć LAN, gdy z jakiegoś powodu inne zabezpieczenia (w zamyśle – te na styku LAN i WAN) nie zadziałają. Zobaczmy zatem co ADRA NDR ma do zaoferowania administratorowi.

Wersja ADRA NDR, jaką miałem okazję testować, oznaczona była numerem 2.0.0.q182. Główny widok prezentowany po uruchomieniu modułu prezentuje podsumowanie tego, co ADRA w naszej sieci wykryła. Dostaniemy zatem takie informacje, jak ocena potencjalnego narażenia naszej sieci na działanie w niej intruzów, wizualizację natężenia przeskanowanego ruchu sieciowego oraz stan portów switcha – czy nie zostały czasem wdrożone polityki blokowania podłączonych do nich maszyn.

Idąc dalej od góry w menu dostępnych opcji trafiamy na zakładkę Security Operations, a w niej – pozycję Risk Management. Widok ten pokaże nam zgrupowane pod konkretnymi adresami IP działania maszyn, jakie NDR wykrył. Dostajemy informacje na temat zgrubnego oszacowania ryzyka w trójstopniowej skali (Low, Medium i High), statusu wskazującego sposób postrzegania danej maszyny (czy stanowi potencjalne zagrożenie, czy też nie) oraz przypisanie do zestawu reguł i akcji zgrupowanych pod postacią polisy. Po zaznaczeniu wybranego wiersza możemy zmienić domyślną klasyfikację danej maszyny. Znaczy to tyle, że w przypadku rozpoznania przez NDR jej jako zagrożenia lub podjęcia decyzji o blokadzie mamy możliwość wstrzymania stosowania polisy w tym konkretnym przypadku. I na odwrót – jeśli jednak podejrzewamy, że ADRA zbyt łagodnie potraktowała jakiś komputer, możemy przenieść go do kwarantanny, co zablokuje mu dostęp do sieci.

Threat Analysis jest z kolei widokiem prezentującym już nieco więcej detali o wynikach skanowania. Prezentowana jest nam bowiem lista podejmowanych przez poszczególne maszyny działań, jakie wyzwoliły reakcję mechanizmów ADRA NDR wraz z ich ogólnym opisem. Z tego poziomu możemy dodać wybraną pozycję do wykluczeń skanowania.

Ostatnia zakładka w niniejszej grupie listuje wszystkie wykryte urządzenia. Jeśli uznamy, że czegoś na tej liście brakuje, z poziomu przycisku Add będziemy mogli taką maszynę dodać. Albo usunąć jakieś nieaktualne wpisy.

Dochodzimy w końcu do grupy menu, gdzie powinno dziać się najwięcej – Policy Management oraz pierwszej pozycji podmenu, czyli Rules. Spodziewałem się, że znajdę tu możliwie najwięcej ustawień dotyczących konfiguracji tego, co ADRA NDR wykrywać powinna – rodzaje ataków, rekonesans sieci przy pomocy różnych metod (zarówno samych maszyn, jak i działających na nich aplikacji) lub czegoś pokroju przydziału konkretnych reguł – i reakcji ADRA NDR – na wybrane przeze mnie i rozpoznane przez NDR zagrożenia. Skoro QNE ADRA NDR posługuje się mechanizmami AI do wspomagania wykrywania chciałbym w jakiś sposób móc wpływać na zakres tej pomocy. Plus takie „oczywistości”, jak przydział danej polisy wg adresacji IP (pojedyncze adresy, ich zakresy czy całe grupy CIDR). Okazuje się, że z tego wszystkiego dostajemy jedynie punkt ostatni oraz opcję zwaną Protection Policy, która pozwala wskazać, jak ADRA ma zareagować w razie zakwalifikowania ruchu sieciowego do jednej ze wcześniej wspomnianych poziomów zagrożeń (Low, Medium i High). Reakcje mogą być dwie – albo blokada, albo poinformowanie użytkownika o zaistniałym problemie bezpieczeństwa w sieci. Fajnie by było zobaczyć takich opcji reakcji nieco więcej, nieco bardziej urozmaiconych. Przykładowo, zamiast wycinania całego ruchu sieciowego dla maszyny atakującego zablokować mu dostęp jedynie do konkretnej usługi. Albo celowo odrzucać niektóre pakiety tak, by utrudnić zorientowanie się intruza, że w sieci działa jakiś strażnik.

QNAP ADRA NDR daje możliwość utworzenia pewnego rodzaju honeypotów, które mają przywabić atakującego i tym samym ułatwić jego rozpoznanie i udaremnienie przeprowadzania ataków. Zwane są tu one pułapkami (Traps). Działają one jako kontenery Dockera i są dość… prymitywne. Chodzi o to, że o ile utworzyć można kilka instancji takich pułapek, to jest to – poza ustawieniami sieciowymi – jedyna możliwość wpływu użytkownika na ich konfigurację.

Wszystkie symulowane usługi są predefiniowane „na sztywno” bez opcji ich zmiany. Ponadto wrzucono tam bardzo mocno zróżnicowane aplikacje otwierające swoje porty na powitanie skanerów typu nmap. Z tego powodu atakujący raczej dość szybko zorientuje się, że z taką pułapką ma do czynienia.

Zakładka Advanced z opcjami zaawansowanymi ma trochę mało wspólnego. Z tego poziomu da się zarządzać bowiem ustawionymi wykluczeniami oraz tym, które porty przełącznika QNAP QGD biorą udział w skanowaniu.

Notifications, a więc – powiadomienia – pozwala na sprawdzenie zdefiniowanych powiadomień w Notifications Center. I tyle.

Ostatnią pozycją w menu aplikacji ANDRA NDR jest zakładka System. Ustawienia, jakie tu znajdziemy, obejmują ogólne aspekty działania oprogramowania takie, jak ustawienia licencji, weryfikacja poszczególnych aktualności poszczególnych modułów wykonawczych i opcje związane z wysyłką logów. Przydatną funkcją jest możliwość uruchomienia podglądu pakietów na zakładce Packet Capture, realizowanej zapewne przez działający pod spodem tcpdump lub coś w jego rodzaju.

• « pierwsza
• ‹ poprzednia
• 1
• 2
• 3
• 4
• 5
• 6
• 7
• następna ›
• ostatnia »