Network Forensic Cihazları
Alınan tüm network güvenlik önlemlerine rağmen, hesap edilmeyen senaryolar ile karşılaşılır. Bu işin doğasında vardır ve gayet normaldir. Böyle bir olay yaşandığında bunu tespit edip, önlem almak çok kritik bir süreçtir. Network forensic cihazları olmadığı durumda olayların tespiti çok uzun sürer (1-6 ay) ve çok maliyetli bir hal alır.
Network forensic cihazları aşağıdaki özelliklere sahiptir. • Veri ihlal durumlarında hızlı aksiyon, enfekte olan sistemlerin nokta atış tespiti. • Tanımlanabilecek harici IOC’ler ile (Usom, Sans v.b) ağ üzerinde zararlı aktivite tespiti. • Ağ trafiği anomali tespiti • Network performans durum analizleri • Güvenlik bakış açısında, olmaması gereken durumların (basit şifre kullanımı, tünelleme trafikleri, zayıf algoritma erişimleri v.b.) sürekli tespiti • Pivot Entegrasyonlar ile Api ve Icap ile Universal Sandbox entegrasyonu.
Bu cihazlar temel olarak ağ trafiğinin bir kopyasını kaydeder ve eş zamanlı analiz imkânı verir. Pasif bir cihazdır, aktif koruma sağlamasa da problemlerin hızlı çözümü için gereklidir. Meta ve Raw olarak datayı 2 şekilde tutar. Meta kısmında, bir pcap dosyasından parse edilebilecek birçok veri vardır. Ve bu veriler uzun süreler tutulabilir (1-12 ay) ancak Raw data doğal olarak daha kısa süre tutulur (1-2 hafta) ideal değerlerdir.
Trafiğin analiz için bu cihazlara clear text (http, ftp, smb v.b) gelmesi gerekir. Eğer encrypted (https, ftps, smtps v.b.) gelirse analiz edilemez. Dolayısıyla doğru yerden trafiğin alınması önemli olmakla birlikte, network’de yer alan cihazların doğru konumlandırılması gerekmektedir. Örneğin One arm konumlandırılan bir LTM cihazının arkasından alınan http trafiğinin bir kopyasında source ip olarak maalesef LTM ip’si gözükür. Xff üzerinde ilgili ip aranır ancak bu durumda bu bir saldırgan ise ve bu trafiğin analizi gerekiyorsa kolerasyon neredeyse imkansız hale gelir veya çok uzun süreç alır.