Ang mga protocol sa pag-agos ingon usa ka himan alang sa pag-monitor sa seguridad sa usa ka internal nga network

Kung bahin sa pag-monitor sa seguridad sa usa ka internal nga network sa korporasyon o departamento, daghan ang nag-uban niini sa pagkontrol sa mga pagtulo sa kasayuran ug pagpatuman sa mga solusyon sa DLP. Ug kung sulayan nimo nga ipatin-aw ang pangutana ug pangutan-a kung giunsa nimo nakit-an ang mga pag-atake sa internal nga network, nan ang tubag, ingon usa ka lagda, usa ka paghisgot sa mga intrusion detection system (IDS). Ug kung unsa ang bugtong kapilian 10-20 ka tuig ang milabay nahimong usa ka anachronism karon. Adunay usa ka mas epektibo, ug sa pipila ka mga dapit, ang bugtong posible nga kapilian alang sa pag-monitor sa usa ka internal nga network - sa paggamit sa dagan protocol, nga orihinal nga gidisenyo sa pagpangita alang sa mga problema sa network (troubleshooting), apan sa paglabay sa panahon nausab ngadto sa usa ka kaayo makapaikag nga himan sa seguridad. Maghisgot kami bahin sa kung unsa nga mga protocol sa dagan ang naa ug kung kinsa ang mas maayo sa pag-ila sa mga pag-atake sa network, kung diin labing maayo nga ipatuman ang pag-monitor sa dagan, kung unsa ang pangitaon kung mag-deploy sa ingon nga laraw, ug bisan kung giunsa "pagbayaw" kining tanan sa mga kagamitan sa balay. sulod sa sakup niini nga artikulo.

Dili ko maghisgot sa pangutana nga "Ngano nga gikinahanglan ang pag-monitor sa seguridad sa internal nga imprastraktura?" Morag klaro ang tubag. Apan kung, bisan pa, gusto nimong masiguro pag-usab nga karon dili ka mabuhi kung wala kini, tan-awa usa ka mubo nga video bahin sa kung giunsa nimo pagsulod ang usa ka network sa korporasyon nga giprotektahan sa usa ka firewall sa 17 nga mga paagi. Busa, atong hunahunaon nga atong nasabtan nga ang internal nga pag-monitor usa ka kinahanglanon nga butang ug ang nahabilin mao ang pagsabut kung giunsa kini maorganisar.

Akong ipasiugda ang tulo ka mahinungdanong tinubdan sa datos alang sa pagmonitor sa imprastraktura sa lebel sa network:

• "hilaw" nga trapiko nga among nakuha ug gisumite alang sa pagtuki sa pipila nga mga sistema sa pagtuki,
• mga panghitabo gikan sa mga aparato sa network diin ang trapiko moagi,
• impormasyon sa trapiko nga nadawat pinaagi sa usa sa mga protocol sa dagan.

Ang pagkuha sa hilaw nga trapiko mao ang labing popular nga kapilian sa mga espesyalista sa seguridad, tungod kay kini sa kasaysayan nagpakita ug mao ang labing una. Ang conventional network intrusion detection system (ang pinakauna nga komersyal nga intrusion detection system mao ang NetRanger gikan sa Wheel Group, nga gipalit niadtong 1998 sa Cisco) tukma nga nakigbahin sa pagkuha sa mga packet (ug sa ulahi nga mga sesyon) diin ang pipila ka mga pirma gipangita ("decisive rules" sa FSTEC terminology), pag-atake sa pagsenyas. Siyempre, mahimo nimong analisahon ang hilaw nga trapiko dili lamang gamit ang IDS, kondili gamit usab ang ubang mga himan (pananglitan, Wireshark, tcpdum o ang NBAR2 nga pag-andar sa Cisco IOS), apan kasagaran sila kulang sa base sa kahibalo nga nagpalahi sa usa ka himan sa seguridad sa impormasyon gikan sa usa ka regular. himan sa IT.

Busa, pag-atake sa mga sistema sa pag-ila. Ang labing karaan ug labing popular nga pamaagi sa pag-ila sa mga pag-atake sa network, nga usa ka maayo nga trabaho sa perimeter (bisan unsa pa - corporate, data center, bahin, ug uban pa), apan napakyas sa modernong switched ug software-defined nga mga network. Sa kaso sa usa ka network nga gitukod pinasukad sa naandan nga mga switch, ang imprastraktura sa mga sensor sa detection sa pag-atake mahimong dako kaayo - kinahanglan nimo nga mag-install usa ka sensor sa matag koneksyon sa node diin gusto nimo nga bantayan ang mga pag-atake. Bisan kinsa nga tiggama, siyempre, malipay nga ibaligya kanimo ang gatusan ug liboan nga mga sensor, apan sa akong hunahuna ang imong badyet dili makasuporta sa ingon nga mga gasto. Makaingon ko nga bisan sa Cisco (ug kami ang mga nag-develop sa NGIPS) dili namon kini mahimo, bisan kung ang isyu sa presyo naa sa among atubangan. Dili ko kinahanglan nga mobarug - kini ang among kaugalingon nga desisyon. Dugang pa, mitungha ang pangutana, unsaon pagkonektar ang sensor niini nga bersyon? Sa kal-ang? Unsa kaha kung ang sensor mismo mapakyas? Nagkinahanglan ug bypass module sa sensor? Gamita ang mga splitter (tap)? Kining tanan naghimo sa solusyon nga mas mahal ug naghimo niini nga dili maabot sa usa ka kompanya sa bisan unsang gidak-on.

Mahimo nimong sulayan nga "ibitay" ang sensor sa usa ka SPAN/RSPAN/ERSPAN nga pantalan ug idirekta ang trapiko gikan sa gikinahanglan nga mga switch port ngadto niini. Kini nga opsyon partially nagtangtang sa problema nga gihulagway sa miaging paragraph, apan nagpakita sa lain - ang SPAN port dili makadawat sa hingpit sa tanan nga trapiko nga ipadala niini - kini dili igo nga bandwidth. Kinahanglan nimong isakripisyo ang usa ka butang. Mahimong ibilin ang pipila ka mga node nga walay pag-monitor (unya kinahanglan nimo nga unahon kini), o ipadala dili tanan nga trapiko gikan sa node, apan usa lamang ka matang. Sa bisan unsa nga kaso, mahimong masipyat kita sa pipila ka mga pag-atake. Dugang pa, ang SPAN port mahimong gamiton alang sa ubang mga panginahanglan. Ingon usa ka sangputanan, kinahanglan namon nga susihon ang naglungtad nga topology sa network ug mahimo’g maghimo mga pagbag-o niini aron matabonan ang imong network hangtod sa labing kadaghan sa gidaghanon sa mga sensor nga naa kanimo (ug i-coordinate kini sa IT).

Unsa kaha kung ang imong network naggamit mga asymmetric nga ruta? Unsa kaha kung imong gipatuman o nagplano nga ipatuman ang SDN? Unsa kaha kung kinahanglan nimo nga bantayan ang mga virtualized nga makina o mga sudlanan kansang trapiko dili gyud makaabut sa pisikal nga switch? Kini ang mga pangutana nga dili gusto sa tradisyonal nga mga tigbaligya sa IDS tungod kay wala sila kahibalo kung giunsa kini pagtubag. Tingali madani ka nila nga kining tanan nga mga uso nga teknolohiya kay hype ug wala nimo kini kinahanglan. Tingali maghisgot sila bahin sa panginahanglan nga magsugod sa gamay. O tingali moingon sila nga kinahanglan nimo nga ibutang ang usa ka kusgan nga thresher sa sentro sa network ug idirekta ang tanan nga trapiko niini gamit ang mga balanse. Bisan unsa nga kapilian ang gitanyag kanimo, kinahanglan nimo nga tin-aw nga masabtan kung giunsa kini angay kanimo. Ug pagkahuman nga maghimo usa ka desisyon sa pagpili sa usa ka pamaagi sa pag-monitor sa seguridad sa kasayuran sa imprastraktura sa network. Pagbalik sa pagdakop sa packet, gusto nakong isulti nga kini nga pamaagi nagpadayon nga popular kaayo ug importante, apan ang nag-unang katuyoan niini mao ang pagkontrol sa utlanan; mga utlanan tali sa imong organisasyon ug sa Internet, mga utlanan tali sa sentro sa datos ug sa ubang bahin sa network, mga utlanan tali sa sistema sa pagkontrol sa proseso ug sa bahin sa korporasyon. Niining mga dapita, ang classic IDS/IPS aduna pay katungod nga maglungtad ug makasagubang og maayo sa ilang mga buluhaton.

Mopadayon ta sa ikaduhang opsyon. Ang pag-analisa sa mga panghitabo nga gikan sa mga aparato sa network mahimo usab nga magamit alang sa mga katuyoan sa pag-detect sa pag-atake, apan dili ingon ang panguna nga mekanismo, tungod kay gitugotan niini nga makit-an ang gamay nga klase sa mga pagsulod. Dugang pa, kini kinaiyanhon sa pipila ka reaktibo - ang pag-atake kinahanglan una nga mahitabo, unya kini kinahanglan nga irekord sa usa ka network device, nga sa usa ka paagi o sa lain magpahibalo sa usa ka problema sa seguridad sa impormasyon. Adunay ubay-ubay nga mga paagi. Mahimo kini nga syslog, RMON o SNMP. Ang katapusang duha ka mga protocol alang sa pag-monitor sa network sa konteksto sa seguridad sa impormasyon gigamit lamang kung kinahanglan naton nga makit-an ang pag-atake sa DoS sa kagamitan sa network mismo, tungod kay ang paggamit sa RMON ug SNMP posible, pananglitan, aron ma-monitor ang pagkarga sa sentro sa aparato. processor o mga interface niini. Kini usa sa "labing barato" (ang tanan adunay syslog o SNMP), apan usab ang labing dili epektibo sa tanan nga mga pamaagi sa pag-monitor sa seguridad sa kasayuran sa internal nga imprastraktura - daghang mga pag-atake ang yano nga gitago gikan niini. Siyempre, dili sila angay nga pasagdan, ug ang parehas nga pag-analisar sa syslog makatabang kanimo sa tukma sa panahon nga pag-ila sa mga pagbag-o sa pag-configure sa aparato mismo, ang pagkompromiso niini, apan dili kaayo angay alang sa pag-ila sa mga pag-atake sa tibuuk nga network.

Ang ikatulo nga kapilian mao ang pag-analisar sa kasayuran bahin sa trapiko nga moagi sa usa ka aparato nga nagsuporta sa usa sa daghang mga protocol sa dagan. Sa kini nga kaso, bisan unsa pa ang protocol, ang imprastraktura sa thread kinahanglan nga adunay tulo nga mga sangkap:

• Pagmugna o pag-eksport sa dagan. Kini nga tahas kasagaran gi-assign sa usa ka router, switch o uban pang network device, nga, pinaagi sa pagpasa sa trapiko sa network pinaagi sa iyang kaugalingon, nagtugot kanimo sa pagkuha sa mga yawe nga mga parameter gikan niini, nga dayon ipadala ngadto sa module sa pagkolekta. Pananglitan, gisuportahan sa Cisco ang Netflow protocol dili lamang sa mga router ug switch, lakip ang mga virtual ug industriyal, apan usab sa mga wireless controller, firewall ug bisan mga server.
• Agos sa koleksyon. Sa pagkonsiderar nga sa usa ka modernong network adunay kasagaran labaw pa sa usa ka network device, ang problema sa pagkolekta ug pagkonsolida sa mga agos mitungha, nga masulbad gamit ang gitawag nga mga kolektor, nga nagproseso sa nadawat nga mga agos ug dayon ipadala kini alang sa pagtuki.
• Pagtuki sa agos Gikuha sa analisador ang panguna nga buluhaton sa intelektwal ug, nga nag-aplay sa lainlaing mga algorithm sa mga sapa, nagkuha pipila nga mga konklusyon. Pananglitan, isip kabahin sa usa ka IT function, ang maong tig-analyze makaila sa mga bottleneck sa network o mag-analisa sa traffic load profile para sa dugang nga network optimization. Ug alang sa kasiguruhan sa kasayuran, ang ingon nga analisador makamatikod sa mga pagtulo sa datos, pagkaylap sa malisyosong code o pag-atake sa DoS.

Ayaw hunahunaa nga kini nga three-tier nga arkitektura labi ka komplikado - ang tanan nga ubang mga kapilian (gawas, tingali, ang mga sistema sa pag-monitor sa network nga nagtrabaho kauban ang SNMP ug RMON) nagtrabaho usab sumala niini. Kita adunay usa ka data generator alang sa pagtuki, nga mahimong usa ka network device o usa ka stand-alone sensor. Adunay kami usa ka sistema sa pagkolekta sa alarma ug usa ka sistema sa pagdumala alang sa tibuuk nga imprastraktura sa pag-monitor. Ang katapusan nga duha ka mga sangkap mahimong ikombinar sulod sa usa ka node, apan sa mas daghan o dili kaayo dako nga network sila kasagaran mikaylap sa labing menos duha ka mga himan aron sa pagsiguro sa scalability ug kasaligan.

Dili sama sa packet analysis, nga gibase sa pagtuon sa header ug body data sa matag packet ug sa mga session nga gilangkuban niini, flow analysis nagsalig sa pagkolekta sa metadata bahin sa network traffic. Kanus-a, pila, gikan diin ug asa, giunsa ... kini ang mga pangutana nga gitubag sa pag-analisar sa telemetry sa network gamit ang lainlaing mga protocol sa dagan. Sa sinugdan, gigamit sila sa pag-analisar sa mga estadistika ug pagpangita sa mga problema sa IT sa network, apan unya, samtang naugmad ang mga mekanismo sa analitikal, nahimong posible nga magamit kini sa parehas nga telemetry alang sa mga katuyoan sa seguridad. Angay nga matikdan pag-usab nga ang pag-analisa sa dagan dili mopuli o mopuli sa pagkuha sa pakete. Ang matag usa niini nga mga pamaagi adunay kaugalingon nga lugar sa aplikasyon. Apan sa konteksto niini nga artikulo, kini ang pag-analisa sa dagan nga labing angay alang sa pag-monitor sa internal nga imprastraktura. Adunay ka mga aparato sa network (bisan kung naglihok sila sa usa ka paradigm nga gipiho sa software o sumala sa static nga mga lagda) nga dili malaktawan sa usa ka pag-atake. Mahimo kini nga laktawan ang usa ka klasiko nga sensor sa IDS, apan ang usa ka aparato sa network nga nagsuporta sa protocol sa dagan dili mahimo. Kini ang bentaha sa kini nga pamaagi.

Sa laing bahin, kung kinahanglan nimo ang ebidensya alang sa pagpatuman sa balaod o ang imong kaugalingon nga grupo sa imbestigasyon sa insidente, dili nimo mahimo kung wala ang pagkuha sa packet - ang telemetry sa network dili usa ka kopya sa trapiko nga magamit aron makolekta ang ebidensya; gikinahanglan kini alang sa paspas nga pagkakita ug paghimog desisyon sa natad sa seguridad sa impormasyon. Sa laing bahin, gamit ang telemetry analysis, mahimo nimong "masulat" dili ang tanan nga trapiko sa network (kung aduna man, ang Cisco naghisgot sa mga sentro sa datos :-), apan ang nalangkit sa pag-atake. Ang mga galamiton sa pag-analisa sa telemetry niining bahina makadugang sa tradisyonal nga mga mekanismo sa pagdakop sa pakete nga maayo, nga maghatag ug mga sugo alang sa piniling pagdakop ug pagtipig. Kung dili, kinahanglan nimo nga adunay usa ka dako nga imprastraktura sa pagtipig.

Hunahunaa ang usa ka network nga naglihok sa gikusgon nga 250 Mbit/sec. Kung gusto nimong tipigan kining tanan nga volume, nan kinahanglan nimo ang 31 MB nga pagtipig alang sa usa ka segundo sa transmission sa trapiko, 1,8 GB sa usa ka minuto, 108 GB sa usa ka oras, ug 2,6 TB sa usa ka adlaw. Aron matipigan ang adlaw-adlaw nga datos gikan sa usa ka network nga adunay bandwidth nga 10 Gbit/s, kinahanglan nimo ang 108 TB nga pagtipig. Apan ang pipila ka mga regulator nanginahanglan pagtipig sa datos sa seguridad sa daghang mga tuig... On-demand nga pagrekord, nga ang pag-analisar sa dagan makatabang kanimo sa pagpatuman, makatabang sa pagpakunhod niini nga mga kantidad pinaagi sa mga order sa kadako. Pinaagi sa dalan, kung maghisgot kita bahin sa ratio sa gidaghanon sa natala nga data sa telemetry sa network ug kompleto nga pagkuha sa datos, nan kini gibana-bana nga 1 hangtod 500. Alang sa parehas nga mga kantidad nga gihatag sa ibabaw, pagtipig sa usa ka bug-os nga transcript sa tanan nga adlaw-adlaw nga trapiko mahimong 5 ug 216 GB, matag usa (mahimo nimong irekord kini sa usa ka regular nga flash drive).

Kung alang sa mga himan alang sa pag-analisar sa hilaw nga datos sa network, ang pamaagi sa pagkuha niini halos parehas gikan sa vendor ngadto sa vendor, nan sa kaso sa pag-analisa sa dagan lahi ang sitwasyon. Adunay daghang mga kapilian alang sa mga protocol sa pag-agos, ang mga kalainan nga kinahanglan nimong mahibal-an bahin sa konteksto sa seguridad. Ang labing popular mao ang Netflow protocol nga gihimo sa Cisco. Adunay ubay-ubay nga mga bersyon niini nga protocol, nga lahi sa ilang mga kapabilidad ug ang gidaghanon sa impormasyon sa trapiko nga natala. Ang kasamtangan nga bersyon mao ang ikasiyam (Netflow v9), nga gibase sa industriya nga standard Netflow v10, nailhan usab nga IPFIX, naugmad. Karon, kadaghanan sa mga network vendor nagsuporta sa Netflow o IPFIX sa ilang kagamitan. Apan adunay lain-laing mga kapilian alang sa mga protocol sa dagan - sFlow, jFlow, cFlow, rFlow, NetStream, ug uban pa, diin ang sFlow mao ang labing popular. Kini nga tipo nga kanunay nga gisuportahan sa mga domestic nga tiggama sa mga kagamitan sa network tungod sa kadali sa pagpatuman niini. Unsa ang mahinungdanong mga kalainan tali sa Netflow, nga nahimong de facto nga sumbanan, ug sFlow? Akong ipasiugda ang daghang yawe. Una, ang Netflow adunay user-customizable fields sukwahi sa fixed fields sa sFlow. Ug ikaduha, ug kini ang labing hinungdanon nga butang sa among kaso, ang sFlow nagkolekta sa gitawag nga sampled telemetry; sukwahi sa wala sampol alang sa Netflow ug IPFIX. Unsa ang kalainan tali kanila?

Hunahunaa nga nakahukom ka nga basahon ang libro "Security Operations Center: Pagtukod, Pag-opera, ug Pagmentinar sa imong SOC” sa akong mga kauban - Gary McIntyre, Joseph Munitz ug Nadem Alfardan (mahimo nimong i-download ang bahin sa libro gikan sa link). Adunay ka tulo ka mga kapilian aron makab-ot ang imong katuyoan - basaha ang tibuuk nga libro, laktawan kini, paghunong sa matag ika-10 o ika-20 nga panid, o pagsulay sa pagpangita og usa ka pagsaysay pag-usab sa mahinungdanong mga konsepto sa usa ka blog o serbisyo sama sa SmartReading. Mao nga, ang wala sampol nga telemetry nagbasa sa matag "panid" sa trapiko sa network, nga mao, pag-analisar sa metadata alang sa matag pakete. Ang sampol nga telemetry mao ang pinili nga pagtuon sa trapiko sa paglaum nga ang pinili nga mga sample maglangkob sa imong gikinahanglan. Depende sa katulin sa channel, ang sample nga telemetry ipadala alang sa pagtuki matag ika-64, 200, 500, 1000, 2000 o bisan sa ika-10000 nga pakete.

Sa konteksto sa pagmonitor sa seguridad sa impormasyon, kini nagpasabot nga ang sampol nga telemetry haom kaayo sa pag-ila sa mga pag-atake sa DDoS, pag-scan, ug pagpakaylap sa malisyoso nga code, apan mahimong masipyat sa atomic o multi-packet nga mga pag-atake nga wala maapil sa sample nga gipadala para sa pagtuki. Ang dili sample nga telemetry walay ingon nga mga disbentaha. Uban niini, ang sakup sa mga nakit-an nga pag-atake mas lapad. Ania ang usa ka mubo nga lista sa mga panghitabo nga mahimong makit-an gamit ang mga tool sa pagtuki sa telemetry sa network.

Siyempre, ang pipila ka open source Netflow analyzer dili motugot kanimo sa pagbuhat niini, tungod kay ang nag-unang tahas niini mao ang pagkolekta sa telemetry ug pagpahigayon sa batakang pagtuki niini gikan sa IT nga punto sa panglantaw. Aron mahibal-an ang mga hulga sa seguridad sa kasayuran pinasukad sa dagan, kinahanglan nga masangkapan ang analisador sa lainlaing mga makina ug algorithm, nga mahibal-an ang mga problema sa cybersecurity base sa sukaranan o naandan nga mga natad sa Netflow, pagpauswag sa sumbanan nga datos nga adunay eksternal nga datos gikan sa lainlaing mga gigikanan sa Threat Intelligence, ug uban pa.

Busa, kung adunay ka kapilian, unya pilia ang Netflow o IPFIX. Apan bisan kung ang imong kagamitan nagtrabaho lamang sa sFlow, sama sa mga domestic nga tiggama, nan bisan sa kini nga kaso mahimo ka makabenepisyo gikan niini sa konteksto sa seguridad.

Sa ting-init sa 2019, gisusi nako ang mga kapabilidad nga naa sa mga tiggama sa hardware sa network sa Russia ug silang tanan, wala’y labot ang NSG, Polygon ug Craftway, nagpahibalo sa suporta alang sa sFlow (labing menos Zelax, Natex, Eltex, QTech, Rusteleteh).

Ang sunod nga pangutana nga imong atubangon kung asa ipatuman ang suporta sa dagan alang sa mga katuyoan sa seguridad? Sa pagkatinuod, ang pangutana dili hingpit nga husto. Ang modernong ekipo hapit kanunay nga nagsuporta sa mga protocol sa dagan. Busa, akong bag-ohon ang pangutana sa lahi nga paagi - asa kini labing epektibo sa pagkolekta sa telemetry gikan sa usa ka punto sa seguridad? Ang tubag klaro kaayo - sa lebel sa pag-access, diin makita nimo ang 100% sa tanan nga trapiko, diin adunay ka detalyado nga kasayuran sa mga host (MAC, VLAN, interface ID), diin mahimo nimo nga ma-monitor ang trapiko sa P2P tali sa mga host, nga kritikal alang sa pag-scan sa pagkakita ug pag-apod-apod sa malisyoso nga code. Sa kinauyokan nga lebel, mahimo nga dili nimo makita ang pipila sa trapiko, apan sa lebel sa perimeter, imong makita ang usa ka quarter sa tanan nimong trapiko sa network. Apan kung sa usa ka hinungdan adunay mga langyaw nga aparato sa imong network nga nagtugot sa mga tig-atake nga "mosulod ug mogawas" nga dili moagi sa perimeter, nan ang pag-analisar sa telemetry gikan niini dili maghatag kanimo bisan unsa. Busa, alang sa labing taas nga sakup, girekomenda nga mahimo ang pagkolekta sa telemetry sa lebel sa pag-access. Sa parehas nga oras, angay nga matikdan nga bisan kung naghisgot kami bahin sa virtualization o mga sulud, ang suporta sa pag-agos kanunay usab makit-an sa mga modernong virtual switch, nga nagtugot kanimo nga makontrol usab ang trapiko didto.

Apan tungod kay akong gipataas ang hilisgutan, kinahanglan nako nga tubagon ang pangutana: unsa man kung ang kagamitan, pisikal o virtual, dili mosuporta sa mga protocol sa dagan? O gidili ba ang paglakip niini (pananglitan, sa mga bahin sa industriya aron masiguro ang kasaligan)? O ang pagpabalik niini mosangpot sa taas nga CPU load (kini mahitabo sa mas daan nga hardware)? Aron masulbad kini nga problema, adunay mga espesyal nga virtual sensor (flow sensors), nga sa tinuud ordinaryo nga mga splitter nga moagi sa trapiko pinaagi sa ilang kaugalingon ug gisibya kini sa porma sa dagan sa module sa pagkolekta. Tinuod, sa kini nga kaso makuha namon ang tanan nga mga problema nga among gihisgutan sa ibabaw kalabot sa mga himan sa pagkuha sa pakete. Kana mao, kinahanglan nimo nga masabtan dili lamang ang mga bentaha sa teknolohiya sa pag-analisa sa dagan, apan usab ang mga limitasyon niini.

Laing punto nga hinungdanon nga hinumdoman kung maghisgot bahin sa mga himan sa pag-analisar sa dagan. Kung may kalabotan sa naandan nga paagi sa paghimo sa mga panghitabo sa seguridad gigamit namon ang metric sa EPS (panghitabo matag segundo), nan kini nga timailhan dili magamit sa pag-analisar sa telemetry; gipulihan kini sa FPS (flow per second). Sama sa kaso sa EPS, dili kini makalkula daan, apan mahimo nimong banabanaon ang gibanabana nga gidaghanon sa mga hilo nga gihimo sa usa ka partikular nga aparato depende sa buluhaton niini. Mahimo nimong makit-an ang mga lamesa sa Internet nga adunay gibanabana nga mga kantidad alang sa lainlaing mga lahi sa mga aparato ug kondisyon sa negosyo, nga magtugot kanimo sa pagbanabana kung unsang mga lisensya ang kinahanglan nimo alang sa mga himan sa pag-analisar ug kung unsa ang ilang arkitektura? Ang tinuod mao nga ang sensor sa IDS limitado sa usa ka piho nga bandwidth nga mahimo niini "pagbira", ug ang tigkolekta sa dagan adunay kaugalingon nga mga limitasyon nga kinahanglan sabton. Busa, sa dako, geographically-apod-apod nga mga network sa kasagaran adunay daghang mga kolektor. Sa dihang akong gihulagway kung giunsa ang network gibantayan sa sulod sa Cisco, Gihatag na nako ang gidaghanon sa among mga kolektor - adunay 21. Ug kini alang sa usa ka network nga nagkatag sa lima ka kontinente ug nag-ihap sa mga tunga sa milyon nga aktibo nga mga aparato).

Gigamit namo ang among kaugalingong solusyon isip sistema sa pagmonitor sa Netflow Cisco Stealthwatch, nga espesipikong naka-focus sa pagsulbad sa mga problema sa seguridad. Kini adunay daghang mga built-in nga makina alang sa pag-ila sa anomalous, kadudahan ug tin-aw nga malisyoso nga kalihokan, nga nagtugot kanimo sa pag-ila sa usa ka halapad nga lain-laing mga hulga - gikan sa cryptomining ngadto sa pagtagas sa impormasyon, gikan sa pagkaylap sa malisyoso nga code ngadto sa pagpanglimbong. Sama sa kadaghanan sa mga analista sa dagan, ang Stealthwatch gitukod sumala sa tulo ka lebel nga laraw (generator - collector - analyzer), apan kini gidugangan sa daghang makapaikag nga mga bahin nga hinungdanon sa konteksto sa materyal nga gikonsiderar. Una, nag-uban kini sa mga solusyon sa pagkuha sa pakete (sama sa Cisco Security Packet Analyzer), nga nagtugot kanimo sa pagrekord sa mga pinili nga sesyon sa network alang sa mas lawom nga imbestigasyon ug pagtuki sa ulahi. Ikaduha, ilabi na sa pagpalapad sa mga buluhaton sa seguridad, nakahimo kami og usa ka espesyal nga nvzFlow protocol, nga nagtugot kanimo sa "pag-broadcast" sa kalihokan sa mga aplikasyon sa mga end node (server, workstation, ug uban pa) ngadto sa telemetry ug ipadala kini ngadto sa kolektor alang sa dugang nga pagtuki. Kung sa orihinal nga bersyon niini ang Stealthwatch nagtrabaho sa bisan unsang protocol sa dagan (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) sa lebel sa network, nan ang suporta sa nvzFlow nagtugot sa data correlation usab sa lebel sa node, sa ingon. nagdugang sa kaepektibo sa tibuok sistema ug makakita og mas daghang pag-atake kay sa naandan nga network flow analyzers.

Klaro nga kung maghisgot bahin sa mga sistema sa pagtuki sa Netflow gikan sa usa ka punto sa seguridad, ang merkado dili limitado sa usa ka solusyon gikan sa Cisco. Mahimo nimong gamiton ang komersyal ug libre o shareware nga mga solusyon. Katingad-an kung akong isulti ang mga solusyon sa mga kakompetensya ingon mga pananglitan sa blog sa Cisco, mao nga isulti nako ang pipila ka mga pulong kung giunsa pag-analisar ang telemetry sa network gamit ang duha nga sikat, parehas sa ngalan, apan lainlain nga mga himan - SiLK ug ELK.

Ang SiLK usa ka hugpong sa mga himan (ang System for Internet-Level Knowledge) alang sa pagtuki sa trapiko, nga gimugna sa American CERT/CC ug nga nagsuporta, sa konteksto sa artikulo karong adlawa, Netflow (ika-5 ug ika-9, ang pinakapopular nga mga bersyon), IPFIX ug sFlow ug paggamit sa lain-laing mga utilities (rwfilter, rwcount, rwflowpack, ug uban pa) sa paghimo sa lain-laing mga operasyon sa network telemetry aron sa pag-ila sa mga timailhan sa dili awtorisado nga mga aksyon niini. Apan adunay usa ka magtiayon nga hinungdanon nga mga punto nga matikdan. Ang SiLK usa ka himan sa command line nga nagpahigayon sa on-line analysis pinaagi sa pagsulod sa mga command sama niini (detection of ICMP packets mas dako pa kay sa 200 bytes):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

dili kaayo komportable. Mahimo nimong gamiton ang iSiLK GUI, apan dili kini makapasayon ​​sa imong kinabuhi, masulbad ra ang function sa visualization ug dili ilisan ang analista. Ug kini ang ikaduhang punto. Dili sama sa komersyal nga mga solusyon, nga adunay usa ka lig-on nga analytical base, anomaliya detection algorithm, katugbang nga workflow, ug uban pa, sa kaso sa SiLK kinahanglan nimo nga buhaton kining tanan sa imong kaugalingon, nga magkinahanglan og gamay nga lainlain nga mga kahanas gikan kanimo kaysa sa paggamit sa andam na- gamiton nga mga himan. Dili kini maayo o dili maayo - kini usa ka bahin sa halos bisan unsang libre nga himan nga nagdahum nga nahibal-an nimo kung unsa ang buhaton, ug kini makatabang lamang kanimo niini (ang mga komersyal nga himan dili kaayo nagsalig sa mga katakus sa mga tiggamit niini, bisan kung sila usab naghunahuna nga ang mga analista nakasabut sa labing menos sukaranan sa mga imbestigasyon ug pag-monitor sa network). Pero balik ta sa SiLK. Ang siklo sa trabaho sa analista nga kini ingon niini:

• Pagporma ug hypothesis. Kinahanglan natong masabtan kung unsa ang atong pangitaon sulod sa telemetry sa network, mahibal-an ang talagsaon nga mga hiyas diin atong mailhan ang pipila ka mga anomaliya o mga hulga.
• Pagtukod ug modelo. Sa pagkahimo ug hypothesis, among giprograma kini gamit ang parehas nga Python, kabhang o uban pang mga himan nga wala gilakip sa SiLK.
• Pagsulay. Karon na ang turno aron susihon ang pagkahusto sa among hypothesis, nga gikumpirma o gibalibaran gamit ang mga kagamitan sa SiLK nga nagsugod sa 'rw', 'set', 'bag'.
• Pagtuki sa tinuod nga datos. Sa industriyal nga operasyon, ang SiLK nagtabang kanato sa pag-ila sa usa ka butang ug ang analista kinahanglang motubag sa mga pangutana nga "Nakaplagan ba nato ang atong gipaabot?", "Nahiuyon ba kini sa atong pangagpas?", "Unsaon pagpakunhod sa gidaghanon sa mga sayop nga positibo?", "Giunsa aron mapauswag ang lebel sa pag-ila? » ug uban pa.
• Pag-uswag. Sa katapusan nga yugto, among gipauswag ang nahimo sa sayo pa - naghimo kami og mga templates, gipaayo ug gi-optimize ang code, gibag-o ug gipatin-aw ang hypothesis, ug uban pa.

Ang kini nga siklo magamit usab sa Cisco Stealthwatch, ang katapusan ra ang nag-automate sa kini nga lima ka mga lakang hangtod sa labing kataas, nga nakunhuran ang gidaghanon sa mga sayup sa analista ug gipataas ang kahusayan sa pagkakita sa insidente. Pananglitan, sa SiLK mahimo nimong pauswagon ang mga istatistika sa network nga adunay eksternal nga datos sa mga malisyoso nga IP gamit ang mga sinulat nga sinulat sa kamot, ug sa Cisco Stealthwatch kini usa ka built-in nga function nga nagpakita dayon usa ka alarma kung ang trapiko sa network adunay mga interaksyon sa mga IP address gikan sa blacklist.

Kung mas taas ka sa "bayad" nga piramide alang sa software sa pag-analisa sa dagan, unya pagkahuman sa hingpit nga libre nga SiLK adunay usa ka shareware nga ELK, nga gilangkuban sa tulo nga hinungdanon nga sangkap - Elasticsearch (pag-indeks, pagpangita ug pag-analisar sa datos), Logstash (data input / output ) ug Kibana ( visualization). Dili sama sa SiLK, diin kinahanglan nimo nga isulat ang tanan sa imong kaugalingon, ang ELK aduna nay daghang andam nga mga librarya/modules (ang uban bayad, ang uban dili) nga nag-automate sa pag-analisar sa telemetry sa network. Pananglitan, ang GeoIP filter sa Logstash nagtugot kanimo sa pag-associate sa gimonitor nga mga IP address sa ilang geographic nga lokasyon (Stealthwatch adunay kini nga built-in nga feature).

Ang ELK usab adunay usa ka medyo dako nga komunidad nga nagkompleto sa nawala nga mga sangkap alang sa kini nga solusyon sa pag-monitor. Pananglitan, aron magtrabaho kauban ang Netflow, IPFIX ug sFlow mahimo nimong gamiton ang module elastiflow, kung dili ka matagbaw sa Logstash Netflow Module, nga nagsuporta lamang sa Netflow.

Samtang naghatag dugang nga kahusayan sa pagkolekta sa dagan ug pagpangita niini, ang ELK sa pagkakaron kulang sa adunahan nga built-in nga analytics para sa pag-ila sa mga anomaliya ug mga hulga sa network telemetry. Kana mao, pagkahuman sa siklo sa kinabuhi nga gihulagway sa ibabaw, kinahanglan nimo nga independente nga ihulagway ang mga modelo sa paglapas ug dayon gamiton kini sa sistema sa kombat (wala’y mga built-in nga modelo didto).

Adunay, siyempre, mas sopistikado nga mga extension alang sa ELK, nga naa nay pipila ka mga modelo alang sa pag-ila sa mga anomaliya sa telemetry sa network, apan ang ingon nga mga extension nagkantidad og salapi ug dinhi ang pangutana mao kung ang dula angay ba sa kandila - pagsulat sa usa ka susama nga modelo sa imong kaugalingon, pagpalit niini pagpatuman alang sa imong himan sa pagmonitor, o pagpalit ug andam nga solusyon sa klase sa Network Traffic Analysis.

Sa kinatibuk-an, dili ko gusto nga mosulod sa debate nga mas maayo nga mogasto og salapi ug mopalit og andam nga solusyon alang sa pag-monitor sa mga anomaliya ug mga hulga sa telemetry sa network (pananglitan, Cisco Stealthwatch) o hunahunaa kini sa imong kaugalingon ug ipahiangay ang parehas SiLK, ELK o nfdump o OSU Flow Tools alang sa matag bag-ong hulga ( Naghisgot ako bahin sa katapusan nga duha niini misulti katapusan nga higayon)? Ang matag usa nagpili alang sa ilang kaugalingon ug ang matag usa adunay kaugalingon nga motibo sa pagpili sa bisan unsang duha nga kapilian. Gusto lang nako ipakita nga ang telemetry sa network usa ka hinungdanon nga himan sa pagsiguro sa seguridad sa network sa imong internal nga imprastraktura ug dili nimo kini pasagdan, aron dili moapil sa lista sa mga kompanya kansang ngalan gihisgutan sa media kauban ang mga epithets " gi-hack", "dili pagsunod sa mga kinahanglanon sa seguridad sa kasayuran" ", "wala maghunahuna bahin sa seguridad sa ilang datos ug datos sa kustomer."

Sa pag-summarize, gusto nako nga ilista ang hinungdanon nga mga tip nga kinahanglan nimong sundon kung magtukod og pag-monitor sa seguridad sa impormasyon sa imong internal nga imprastraktura:

1. Ayaw lang limitahi ang imong kaugalingon sa perimeter! Paggamit (ug pagpili) sa imprastraktura sa network dili lamang aron mabalhin ang trapiko gikan sa punto A hangtod sa punto B, apan aron matubag usab ang mga isyu sa cybersecurity.
2. Tun-i ang naglungtad nga mekanismo sa pagmonitor sa seguridad sa impormasyon sa imong kagamitan sa network ug gamita kini.
3. Alang sa internal nga pag-monitor, hatagi ang pagpalabi sa pag-analisar sa telemetry - kini nagtugot kanimo nga makit-an ang hangtod sa 80-90% sa tanan nga mga insidente sa seguridad sa impormasyon sa network, samtang nagbuhat kung unsa ang imposible kung makuha ang mga pakete sa network ug makatipig nga lugar alang sa pagtipig sa tanan nga mga panghitabo sa seguridad sa impormasyon.
4. Aron ma-monitor ang mga agos, gamita ang Netflow v9 o IPFIX - naghatag sila dugang nga kasayuran sa konteksto sa seguridad ug gitugotan ka sa pag-monitor dili lamang sa IPv4, apan usab sa IPv6, MPLS, ug uban pa.
5. Gamit ug unsampled flow protocol - naghatag kini ug dugang impormasyon para sa pag-ila sa mga hulga. Pananglitan, Netflow o IPFIX.
6. Susiha ang load sa imong network equipment - kini mahimong dili usab makahimo sa pagdumala sa flow protocol. Dayon ikonsiderar ang paggamit sa mga virtual sensor o Netflow Generation Appliance.
7. Ipatuman ang kontrol una sa tanan sa lebel sa pag-access - kini maghatag kanimo ug higayon nga makita ang 100% sa tanan nga trapiko.
8. Kung wala ka'y ​​kapilian ug naggamit ka mga kagamitan sa network sa Russia, dayon pagpili usa nga nagsuporta sa mga protocol sa dagan o adunay mga pantalan sa SPAN / RSPAN.
9. Pagsagol sa intrusion/attack detection/prevention system sa mga sulab ug flow analysis system sa internal network (lakip na sa mga panganod).

Mahitungod sa katapusang tip, gusto nako nga maghatag usa ka ilustrasyon nga nahatag ko na kaniadto. Nakita nimo nga kung kaniadto ang serbisyo sa seguridad sa kasayuran sa Cisco hapit hingpit nga nagtukod sa sistema sa pag-monitor sa seguridad sa impormasyon pinasukad sa mga sistema sa pag-detect sa intrusion ug mga pamaagi sa pirma, karon 20% ra ang mga insidente. Ang laing 20% ​​nahulog sa mga sistema sa pag-analisar sa dagan, nga nagsugyot nga kini nga mga solusyon dili usa ka kapritso, apan usa ka tinuod nga himan sa mga kalihokan sa mga serbisyo sa seguridad sa impormasyon sa usa ka modernong negosyo. Dugang pa, ikaw adunay labing hinungdanon nga butang alang sa ilang pagpatuman - imprastraktura sa network, mga pamuhunan diin mahimo pa nga mapanalipdan pinaagi sa pag-assign sa mga function sa pag-monitor sa seguridad sa kasayuran sa network.

Wala gyud nako gihikap ang hilisgutan sa pagtubag sa mga anomaliya o mga hulga nga nahibal-an sa mga dagan sa network, apan sa akong hunahuna klaro na nga ang pag-monitor dili kinahanglan matapos lamang sa pag-ila sa usa ka hulga. Kini kinahanglan nga sundan sa usa ka tubag ug labing maayo sa usa ka awtomatiko o awtomatiko nga mode. Apan kini usa ka hilisgutan alang sa usa ka lahi nga artikulo.

Dugang nga kasayuran:

• Deskripsyon sa Cisco IOS Netflow
• Ang suporta sa Netflow matrix sa lainlaing mga solusyon sa Cisco
• Giya sa Pag-configure sa Netflow sa Lainlaing Cisco Platforms
• Komunidad sa sFlow
• Lab gamit ang Stealtjwatch, SiLK ug ELK aron analisa ang Netflow gikan sa panan-aw sa seguridad
• SiLK nga website
• Tulo ka gatus ka panid nga giya sa paggamit sa SiLK nga adunay daghang mga pananglitan
• Logstash Netflow Module
• Cisco Step-by-Step nga Giya sa Pag-analisa sa Netflow sa ELK
• Pagtuki sa NetFlow v.9 Cisco ASA gamit ang Logstash (ELK)
• Cisco Stealthwatch Solution

PS. Kung mas sayon ​​​​alang kanimo nga madungog ang tanan nga gisulat sa ibabaw, nan mahimo nimong tan-awon ang usa ka oras nga presentasyon nga nahimong sukaranan niini nga nota.

Source: www.habr.com