自動化技術とおそらくAI(人工知能)の使用への言及は、複雑なシステムの将来の振る舞いに関する情報を引き出すための多くのデータ分析の問題に対処する上で一般的な慣行になっています。
実際には、動作を標準化するためにシステムが特定のイベントに自律的に反応する可能性は、しばらくの間多くのデバイスに存在していたものです。 これらのメモでは、エンタープライズネットワークの一部のノードで利用可能な機能の例を検討します(これまでのところ、すべてIPプロトコルに基づいています)。
特定のイベントの認識
問題のイベントが発生した場合に適用されるポリシーの作成
システムへのポリシーの適用。その動作は次のように変更されます。
IPネットワークデバイスのすべての主要ベンダー(Cisco Systems、Juniper Networks、Arista Networksなど)は、さまざまな名前でそのような機能を提供しています。
各システムの詳細に立ち入ることなく、ノードの動作の自動化を可能にするネットワークデバイス、ツール、および機能の分野でさえ、どのように存在するかについてのアイデアを提供するための動作原理を簡単に説明したいと思います特定のイベントに直面して。
これらのツールの普及は、AIベースのセキュリティ技術との相乗効果で(記事を読む)脅威または侵害の試みが最終的なシステム(サーバーまたは個々のワークステーション)に到達することを回避して、特定の問題に直面したときに効果的に介入できるようにします。
したがって、架空のネットワークデバイスについて説明します。 問題のノードは、自動化機能の実装に焦点を合わせた開発環境を提供します。
多くの場合、この環境は、ネットワークノード内の「補助」プロセッサで実行するように最適化されたLinuxシステムに基づいて開発されています。 このようなソリューションの大きな利点は、Linuxで利用可能なライブラリと言語の多く(すべてではありませんが)を活用できることにあります。 これに加えて、ネットワークノードのメーカーが提供する、このLinux環境からノード自体の使用の主な機能にアクセスする可能性を追加する必要があります。
したがって、ライブラリ(製造元が提供)を介してインターフェイスの特定のパラメータにアクセスできます。これにより、たとえば、特定のポートからの入出力で転送されたパケットの数を把握したり、不正な形式のパケット(大きすぎる、または小さすぎるかエラーがある、...)。 これらの機能は、インターフェースの特性に限定されませんが、ルーティングレベルやシステムの物理的特性(温度、ファンの状態など)の一部など、ノードの他のサブシステムに影響を与える可能性があります。
したがって、ポートでのCRCエラーの数の超過、ルーティングテーブルの変更、システム温度、CPUの負荷、またはメモリ占有に関するしきい値の超過など、事前に決定された条件の発生に基づいて特定のイベントを定義できます。
この時点で、このように定義されたイベントは、特定のアクション(ポリシー)のトリガーとして使用できます。ドアを無効にし、システム管理者にメッセージを(さまざまな方法で)送信し、構成に介入してルートのデフォルトを変更します。オン。
すべてのアクションは、スクリプトまたは実行可能プログラムを介して実行できます。通常、システムは主要言語、つまりPython、Perl、Ruby、および独自のコマンドインターフェイスに基づくネイティブ環境を使用する可能性を提供します。
この機能は、ネットワークセキュリティの観点からも、一連の非常に興味深い影響をもたらす可能性があります。
システムの外部のAIに基づくツールを使用して、前述の記事で定義された観点から、システムに対して特定された可能性のある脅威の存在を適切に指示および伝達することが可能であれば、すぐに介入することができます(または非常に短い時間で)。 したがって、仮定された介入は、特定の接続をブロックすると同時に、以前に定義された特定のポリシーを実装し、システム自体の構成に介入します。
このようにして、たとえば、グローバルレベルでの接続の維持を確保しながら、信頼できないと見なされる特定のドメインを分離することが可能になる可能性があります。
当然のことながら、ネットワーク機器とセキュリティシステム間の相乗効果は、サイバー脅威を特定して封じ込めるためのツールを提供できるすべての主要ベンダーによる分析と開発の対象となります。これらのツールは、適切に構成および使用すると非常に効果的です。
