Vad är onormalt?

Alla har väl någon gång haft en misstanke att det försiggår något onormalt i nätverket. En misstanke grundad på en känsla av att något avviker från det normala. Kanske förstärkt av något indicium som eventuellt kan relateras till det onormala. Allt för sällan finns det något konkret att ta fasta på utan det stannar vid en misstanke baserad på en känsla. En misstanke som lätt accentuerar i tankarna och som leder till ett irrationellt sökande efter en källa till det onormala.

För att underlätta, och kanske förhindra att ovanstående scenario blir en realitet, är det av största vikt att definiera ett normaltillstånd. Hur skall man annars kunna anse att något är onormalt? Detta är det egentliga grundproblemet. Faktum är att allt för få har vetskap om allt från vad som verkligen försiggår i nätverket till vad som egentligen är anslutet till nätverket. Det är hög tid att lära känna det nätverk du ansvarar för.

Första steget är att studera vilka trafikslag och aktiviteter som existerar i nätverket. Det räcker dock inte att konstatera att ett visst trafikslag existerar utan det är av vikt att identifiera vad som ger upphov till trafikslaget. Det krävs att inventeringen pågår en tid för att få en heltäckande bild. Det är inte ovanligt att vissa aktiviteter är kortlivade och återkommer med långa tidsintervall, men trots allt existerar de och bör rymmas i inventeringen.

Nästa steg är att jämföra de trafikslag och aktiviteter som identifierats med säkerhetspolicyn. Troligtvis finns det identifierat trafikslag som varken har stöd i säkerhetspolicyn eller kan relateras till den verksamhet som företaget, myndigheten eller kommunen bedriver. Detta måste gallras bort från nätverket. Det är inte ovanligt att detta är en grogrund till betydligt allvarligare aktiviteter i nätverket. Den metod som används för att reglera de trafikslag som skall tillåtas varierar från fall till fall och är till stor del beroende av vilka befintliga möjligheter till reglering som erbjuds. Eventuellt kan det vara nödvändigt att investera i ytterligare utrustning för att ge större möjlighet att reglera nätverket.

När ni nu lärt känna ert nätverk, inventerat det och gallrat det så är det betydligt enklare att notera när något avviker från det normala. Förslagsvis införs nu ett antal kontrollpunkter i nätverket som löpande övervakas och som kan larma när något utöver det vanliga inträffar. Tyvärr börjar många i denna ände och införskaffar verktyg som skall identifiera avvikelser utan att ha klart för sig vad som är normalt och onormalt. Det är betydligt bättre att investera i tid för att genomföra de två inledande stegen till att återta kontrollen av nätverket. Först därefter vet man vilka eventuella verktyg som behövs för den löpande övervakningen, vad de skall reagera på och vad de inte skall reagera på.

© 2005 Thomas Nilsson, Certezza AB