- Гэта аналітычнае рашэнне ў галіне ИБ, якое забяспечвае ўсебаковы маніторынг пагроз у размеркаванай сетцы. У аснове працы StealthWatch ляжыць збор NetFlow і IPFIX з маршрутызатараў, камутатараў і іншых сеткавых прылад. У выніку сетка становіцца адчувальным сэнсарам і дазваляе адміністратару зазірнуць туды, куды не могуць дабрацца традыцыйныя метады абароны сеткі, напрыклад, Next Generation Firewall.
У мінулых артыкулах я ўжо пісаў аб StealthWatch: , а таксама . Цяпер прапаную рухацца далей і абмеркаваць, як трэба працаваць з алармамі і расследаваць інцыдэнты бяспекі, якія генеруе рашэнне. Будзе прыведзена 6 прыкладаў, якія, я спадзяюся, дадуць добрае ўяўленне аб карыснасці прадукта.
Перш варта сказаць, што ў StealthWatch прысутнічае некаторае размеркаванне спрацоўванняў на алгарытмы і фіды. Першыя - гэта рознага роду алармы (апавяшчэнні), пры спрацоўванні якіх, можна выявіць падазроныя рэчы ў сеткі. Другія - гэта інцыдэнты бяспекі. У дадзеным артыкуле будуць разгледжаны 4 прыклады спрацоўванняў алгарытмаў і 2 прыклады фідаў.
1. Аналіз самых аб'ёмных узаемадзеянняў унутры сеткі
Першапачатковым крокам налады StealthWatch з'яўляецца вызначэнне хастоў і сетак па групах. У вэб-інтэрфейсе ўкладка Configure > Host Group Management варта разнесці сеткі, хасты, серверы па адпаведных групах. Гурты можна ствараць і свае. Дарэчы, аналіз узаемадзеянняў паміж хастамі ў Cisco StealthWatch даволі зручны, бо можна не толькі захоўваць фільтры пошуку па струменях, але і самі вынікі.
Для пачатку ў вэб-інтэрфейсе варта зайсці ва ўкладку Analyze > Flow Search. Затым варта ўсталяваць наступныя параметры:
- Search Type - Top Conversations (самыя папулярныя ўзаемадзеяння)
- Time Range - 24 hours (прамежак часу, можна выкарыстоўваць іншы)
- Search Name - Top Conversations Inside-Inside (любое зразумелае імя)
- Subject - Host Groups → Inside Hosts (крыніца - група ўнутраных вузлоў)
- Connection (можна пазначыць парты, прыкладанні)
- Peer - Host Groups → Inside Hosts (прызначэнне - група ўнутраных вузлоў)
- У Advanced Options дадаткова можна паказаць калектар, з якога глядзяцца дадзеныя, сартаванне высновы (па байтах, струменям і іншае). Я пакіну па змаўчанні.
Пасля націску на кнопку пошук выдаецца спіс узаемадзеянняў, якія ўжо адсартаваны па аб'ёме перададзеных дадзеных.
У маім прыкладзе хост 10.150.1.201 (сервер) у рамках толькі аднаго патоку перадаў 1.5 Гб трафіку на хост 10.150.1.200 (кліент) па пратаколе MySQL. Кнопка Manage Columns дазваляе дадаць больш слупкоў у выводныя дадзеныя.
Далей на меркаванне адміністратара можна стварыць кастамнае правіла, якое будзе спрацоўваць увесь час на такога роду ўзаемадзеянні і апавяшчаць па SNMP, email або Syslog.
2. Аналіз самых павольных кліент-серверных узаемадзеянняў унутры сеткі на прадмет затрымак
пазнакі SRT (Server Response Time), RTT (Round Trip Time) дазваляюць высветліць затрымкі сервераў і агульныя затрымкі ў сетцы. Дадзеная прылада асабліва зручны, калі варта хутка знайсці чыннік скарг карыстачоў на павольна працавальнае прыкладанне.
Заўвага: практычна ўсе Netflow экспарцёры не ўмеюць адпраўляць пазнакі SRT, RTT, таму часцяком, каб бачыць такія дадзеныя на FlowSensor трэба наладзіць адпраўку копію трафіку з сеткавых прылад. FlowSensor у сваю чаргу аддае пашыраны IPFIX на FlowCollector.
Дадзеную аналітыку зручней праводзіць у java дадатку StealtWatch, якая ўсталёўваецца на кампутар адміністратара.
Правай клавішай мышы на Inside Hosts і пераходзім ва ўкладку Табліца расходу.
Націскаем на фільтры і ўсталёўваны неабходныя параметры. У якасці прыкладу:
- Date/Time – на працягу апошніх 3 дзён
- Performance - Average Round Trip Time> = 50ms
Пасля вывядзення дадзеных варта дадаць якія цікавяць нас RTT, SRT палі. Для гэтага варта націснуць на калонку на скрыншоце і правай клавішай мышы абраць Manage Columns. Далей праклікаць RTT, SRT параметры.
Пасля апрацоўкі запыту, я адсартаваць па RTT average і ўбачыў самыя павольныя ўзаемадзеянні.
Каб праваліцца ў дэталёвую інфармацыю, трэба націснуць правай клавішай мышы на паток і выбраць Quick View for Flow.
Дадзеная інфармацыя кажа аб тым, што хост 10.201.3.59 з групы Менеджэр па продажах і маркетынгу па пратаколе NFS звяртаецца да DNS серверу на працягу хвіліны і 23 секунд і мае проста жахлівую затрымку. Ва ўкладцы Інтэрфейсы можна даведацца, з якога Netflow экспарцёра дадзеных інфармацыя атрымана. Ва ўкладцы табліца намалявана больш падрабязная інфармацыя аб узаемадзеянні.
Далей варта пазнаць, якія прылады шлюць трафік на FlowSensor і праблема хутчэй за ўсё крыецца там.
Больш за тое, StealthWatch унікальны тым, што праводзіць дэдуплікацыю дадзеных (аб'ядноўвае адны і тыя ж патокі). Такім чынам, можна збіраць практычна са ўсіх прылад Netflow і не баяцца, што будзе шмат паўтаральных дадзеных. Як раз-такі наадварот, у дадзенай схеме гэта дапаможа зразумець, на якім менавіта хопе найбольшыя затрымкі.
3. Аўдыт крыптаграфічных пратаколаў HTTPS
ETA (Encrypted Traffic Analytics) – тэхналогія, распрацаваная Cisco, якая дазваляе выяўляць шкодныя падлучэнні ў зашыфраваным трафіку без яго расшыфроўкі. Больш за тое, дадзеная тэхналогія дазваляе "разбіраць" HTTPS на версіі TLS і крыптаграфічныя пратаколы, якія выкарыстоўваюцца пры злучэннях. Дадзены функцыянал з'яўляецца асабліва карысным, калі трэба выявіць сеткавыя вузлы, якія выкарыстоўваюць слабыя крыптастандарты.
Заўвага: папярэдне варта ўсталяваць network app на StealthWatch ETA Cryptographic Audit.
Пераходзім ва ўкладку Dashboards → ETA Cryptographic Audit і выбіраемы групу хастоў, якую плануецца прааналізаваць. Для агульнай карціны выберам Inside Hosts.
Можна назіраць, што выводзяцца версія TLS і які адпавядае крыптастандарт. Па звыклай схеме ў калонцы Дзеянні пераходзім ва View Flows і запускаецца пошук у новай укладцы.
З высновы бачна, што хост 198.19.20.136 на працягу 12 гадзін выкарыстоўваў HTTPS з TLS 1.2, дзе алгарытм шыфравання AES-256 і хэш-функцыя SHA-384. Такім чынам, ЕТА дазваляе знайсці слабыя алгарытмы ў сетцы.
4. Аналіз анамалій у сетцы
Cisco StealthWatch умее распазнаваць анамаліі трафіку ў сетцы, выкарыстоўваючы ў тры прылады: Core Events (падзеі бяспекі), Relationship Events (падзеі ўзаемадзеянняў паміж сегментамі, вузламі сеткі) і паводніцкі аналіз.
Паводніцкі аналіз, у сваю чаргу, дазваляе з часам будаваць мадэль паводзінаў для таго ці іншага хаста ці групы хастоў. Чым больш трафіку праходзіць праз StealthWatch, тым больш дакладныя будуць спрацоўванні дзякуючы гэтаму аналізу. Спачатку сістэма шмат няправільна трыгерыт, таму правілы варта "падкручваць" рукамі. Рэкамендую першыя некалькі тыдняў не зважаць на такія падзеі, бо сістэма сама падстроіцца, альбо ж дадаваць у выключэнні.
Ніжэй прыведзены прыклад прадусталяванага правіла Анамалія, у якім гаворыцца, што падзея спрацуе без аларма, калі хост у групе Inside Hosts узаемадзейнічае з групай Inside Hosts і за 24 гадзіны трафік перавысіць 10 мегабайт.
Для прыкладу возьмем аларм Data Hoarding, які азначае, што нейкі хост крыніцы/прызначэння загрузіў/спампаваў анамальна вялікую колькасць дадзеных з групы хастоў або хаста. Націскаем на падзею і правальваемся ў табліцу, дзе паказваюцца трыгерныя хасты. Далей выбіраемы які цікавіць нас хост у калонцы Data Hoarding.
Выводзіцца падзея, якое гаворыць аб тым, што выяўлена 162к "ачкоў", а па палітыцы дазволена 100к "ачкоў" – гэта ўнутраныя метрыкі StealthWatch. У калонцы Дзеянні націскаем View Flows.
Мы можам назіраць, што дадзены хост ноччу ўзаемадзейнічаў з хастом 10.201.3.47 з аддзела Продажы і маркетынг па пратаколе HTTPS і запампаваў 1.4 Гб. Можа быць дадзены прыклад з'яўляецца не зусім удалым, але дэтэктаванне ўзаемадзеянняў і на некалькі сотняў гігабайт ажыццяўляецца сапраўды такім жа чынам. Такім чынам, далейшае расследаванне анамалій можа прывесці да цікавых вынікаў.
Заўвага: у вэб-інтэрфейсе SMC дадзеныя ва ўкладках Панэлі выводзяцца толькі за апошні тыдзень і ва ўкладцы Кантраляваць за апошнія 2 тыдні. Каб прааналізаваць падзеі больш старой даўніны і для генерацыі справаздач трэба працаваць з java кансоллю на кампутары адміністратара.
5. Знаходжанне ўнутраных сканіравання сеткі
Цяпер разгледзім некалькі прыкладаў фідаў – інцыдэнтаў ИБ. Гэты функцыянал цікавы больш бяспечнікам.
Прадусталяваных тыпаў падзей сканавання ў StealthWatch некалькі:
- Port Scan - крыніца скануе мноства партоў вузла прызначэння.
- Addr tcp scan - крыніца скануе цэлую сетку па адным і тым жа TCP порце, змяняючы пры гэтым IP адрас прызначэння. Пры гэтым крыніца атрымлівае TCP Reset пакеты ці не атрымлівае адказаў зусім.
- Addr udp scan - крыніца скануе цэлую сетку па адным і таму ж UDP порце, змяняючы пры гэтым IP адрас прызначэння. Пры гэтым крыніца атрымлівае ICMP Port Unreachable пакеты ці не атрымлівае адказаў зусім.
- Ping Scan - крыніца пасылае ICMP запыты на цэлую сетку з мэтай пошуку адказаў.
- Stealth Scan tсp/udp - крыніца выкарыстаў адзін і той жа свой порт для падлучэння да мноства партоў на вузле прызначэння ў адно і тое ж час.
Для зручнейшага знаходжання адразу ўсіх унутраных сканараў існуе network app для StealthWatch - Visibility Assessment. Пяройдучы ва ўкладку Dashboards → Visibility Assessment → Internal Network Scanners вы ўбачыце інцыдэнты бяспекі, якія адносяцца да сканавання, за апошнія 2 тыдні.
Націснуўшы на кнопку дэталі, будзе відаць пачатку сканавання кожнай сеткі, трэнд трафіку і адпаведныя алармы.
Далей можна "праваліцца" ў хост з укладкі на папярэднім скрыншоце і ўбачыць падзеі бяспекі, а таксама актыўнасць за апошні тыдзень для гэтага хаста.
У якасці прыкладу прааналізуем падзею Сканаванне партоў з хаста 10.201.3.149 на 10.201.0.72, націснуўшы на Actions > Associated Flows. Запускаецца пошук па патоках і выводзіцца рэлевантная інфармацыя.
Як мы бачым дадзены хост з аднаго свайго порта 51508/TCP сканаваў 3 гадзіны таму хост прызначэння па партах 22, 28, 42, 41, 36, 40 (TCP). Некаторыя палі не адлюстроўваюць інфармацыю альбо таму, што не ўсе палі Netflow падтрымліваюцца на Netflow экспарцёры.
6. Аналіз запампаваных зловредов з дапамогай CTA
CTA (Cognitive Threat Analytics) – хмарная аналітыка Cisco, якая выдатна інтэгруецца з Cisco StealthWatch і дазваляе дапоўніць безсігнатурны аналіз сігнатурным. Тым самым становіцца магчымым дэтэктаванне траянаў, сеткавых чарвякоў, шкоднасаў нулявога дня і іншых зловредов і іх распаўсюджванне ўнутры сеткі. Таксама раней згаданая тэхналогія ЕТА дазваляе аналізаваць такія шкоднасныя камунікацыі і ў зашыфраваным трафіку.
Літаральна на першай жа ўкладцы ў вэб-інтэрфейсе ёсць спецыяльны віджэт Cognitive Threat Analytics. Кароткая зводка кажа аб выяўленых пагрозах на карыстацкіх хастах: траян, ашуканскае ПА, назойлівае рэкламнае ПА. Слова “Encrypted” якраз і сведчыць аб рабоце ЕТА. Націснуўшы на хост, па ім выпадае ўся інфармацыя, падзеі бяспекі ў тым ліку логі па СТА.
Наводзячы на кожны этап СТА, падзеі выводзіцца падрабязная інфармацыя аб узаемадзеянні. Для поўнай аналітыкі варта націснуць View Incident Details, і вы трапіце ў асобную кансоль Cognitive Threat Analytics.
У правым верхнім куце фільтр дазваляе адлюстраваць падзеі па ўзроўні крытычнасці. Наводзячы на пэўную анамалію, у ніжняй частцы экрана з'яўляюцца логі з адпаведным таймлайнам справа. Тым самым, спецыяліст аддзела ИБ выразна разумее, які заражаны хост пасля якіх дзеянняў пачаў выконваць якія дзеянні.
Ніжэй намаляваны яшчэ адзін прыклад - банкаўскі траян, якім быў заражаны хост 198.19.30.36. Дадзены хост пачаў узаемадзейнічаць са шкоднымі даменамі, а ў логах намалявана інфармацыя па струменях гэтых узаемадзеянняў.
Далей адно з лепшых рашэнняў, якое можа быць, - закінуць хост у каранцін дзякуючы натыўнай з Cisco ISE для далейшага лячэння і аналізу.
Заключэнне
Рашэнне Cisco StealthWatch з;яўляецца адным з лідэраў сярод прадуктаў маніторынгу сеткі як з пункту гледжання аналізу сеткі, так і інфармацыйнай бяспекі. Дзякуючы яму можна выяўляць нелегітымныя ўзаемадзеянні ўнутры сеткі, затрымкі прыкладанняў, самых актыўных карыстальнікаў, анамаліі, зловредов і APT. Больш за тое, можна знаходзіць сканавання, пентэстэраў, праводзіць крыптааўдыт HTTPS трафіку. Яшчэ больш use cases вы можаце знайсці па .
Калі ў вас з'явілася жаданне праверыць, наколькі ў вас у сетцы ўсё гладка і эфектыўна працуе, адпраўце .
У бліжэйшы час мы плануем яшчэ некалькі тэхнічных публікацый па розных прадуктах ИБ. Калі вам цікавая дадзеная тэматыка, то сочыце за абнаўленнямі ў нашых каналах (, , , )!
Крыніца: habr.com