W obszarze związanym z bezpieczeństwem sieciowym spotyka się często termin Deep Packet Inspection (DPI), mimo tego, że metoda ta na stałe się przyjęła w nowoczesnych rozwiązaniach, to wciąż nie brakuje pytań oraz odpowiedzi, co to właściwie oznacza i do czego się przydaje.
Wielu ludzi kojarzy DPI z filtrowaniem treści lub z bardziej zaawansowanym wykrywaniem ataków. Prawda leży gdzieś pośrodku, warto ją znać, aby poszerzyć swoją świadomość dotyczącą tego typu rozwiązań.
Czym jest Deep Packet Inspection?
W ogromnym skrócie, DPI to zaawansowana technika analizy ruchu sieciowego, która potrafi zajrzeć głębiej niż typowe mechanizmy powszechnych firewalli/routerów. Klasyczny firewall potrafi spojrzeć na nagłówki pakietów (czyli kto, dokąd, jaki port), natomiast DPI analizuje również zawartość samego pakietu (payload), czyli to, co w rzeczywistości niesie dane żądanie lub odpowiedź.
DPI potrafi np.:
Jak to działa w praktyce?
System z funkcją DPI analizuje osobno każdy pakiet i porównuje jego zawartość z zestawem znanych wzorców i reguł. Działa to podobnie jak IDS/IPS, ale bardziej kontekstowo.
DPI może więc wykryć np. próbę przesłania poufnych danych przez niezabezpieczone połączenie lub próbę ukrycia malware w zaszyfrowanym pliku.
DPI to zresztą jedna z podstawowych technologii wykorzystywanych w rozwiązaniach klasy UTM. To m.in dzięki niej możliwa jest dokładna analiza i filtrowanie ruchu sieciowego, z rozróżnieniem na dane nieszkodliwe i te potencjalnie złośliwe.
W bardziej zaawansowanych wdrożeniach, DPI można integrować z systemami typu NAC, czy dodatkami sandboxowymi, tworząc kompleksową ochronę nie tylko na poziomie ataków z zewnątrz, ale i przed nadużyciami wewnątrz danej organizacji (bardzo ważne jest jednak, by DPI było wdrażane z głową, z jasną polityką prywatności i transparentnością wobec użytkowników sieci i pracowników).
Kiedy warto używać DPI?
Przede wszystkim, w organizacjach o wysokim poziomie ryzyka ataku – mowa tutaj głównie o jednostkach podlegających pod wymogi ustawy o Krajowym Systemie Cyberbezpieczeństwa tj. np. sektor medyczny, przemysłowy, energetyczny.
Lecz tak naprawdę w każdej organizacji gdzie istnieje realna potrzeba kontroli aplikacji i ruchu – czyli we wszystkich, ponieważ żadna organizacja nie chce, aby nastąpił u niej wyciek danych.
DPI należy traktować jako element wielowarstwowego ekosystemu cyberbezpieczeństwa, który świetnie uzupełni klasycznego firewalla oraz pakiety antywirusowe.
Doświadczenie Grupy E
Nasza firma – Grupa E posiada doświadczenie, specjalistów i niezbędne narzędzia potrzebne do wdrożeń z zakresu bezpieczeństwa sieciowego. Wszystko to jest potwierdzone referencjami.
Jeśli planują Państwo modernizację swojej infrastruktury IT, to zapraszamy do kontaktu.
Wróć
