je analytické řešení v oblasti informační bezpečnosti, které poskytuje komplexní monitorování hrozeb v distribuované síti. StealthWatch je založen na sběru NetFlow a IPFIX ze směrovačů, přepínačů a dalších síťových zařízení. V důsledku toho se síť stává citlivým senzorem a umožňuje správci nahlédnout do míst, kam se tradiční metody zabezpečení sítě, jako je Firewall nové generace, nedostanou.
V předchozích článcích jsem již psal o StealthWatch: a . Nyní navrhuji pokračovat a diskutovat o tom, jak pracovat s alarmy a vyšetřovat bezpečnostní incidenty, které řešení generuje. Bude zde 6 příkladů, které, jak doufám, poskytnou dobrou představu o užitečnosti produktu.
Nejprve je třeba říci, že StealthWatch má určitou distribuci alarmů mezi algoritmy a kanály. První z nich jsou různé druhy alarmů (notifikací), při jejichž spuštění můžete v síti odhalit podezřelé věci. Druhým jsou bezpečnostní incidenty. Tento článek se podívá na 4 příklady spouštěných algoritmů a 2 příklady zdrojů.
1. Analýza největších interakcí v rámci sítě
Prvním krokem při nastavování StealthWatch je definování hostitelů a sítí do skupin. V záložce webového rozhraní Konfigurace > Správa skupiny hostitelů Sítě, hostitelé a servery by měly být klasifikovány do vhodných skupin. Můžete také vytvořit své vlastní skupiny. Mimochodem, analýza interakcí mezi hostiteli v Cisco StealthWatch je docela pohodlná, protože můžete nejen ukládat vyhledávací filtry podle streamu, ale také samotné výsledky.
Chcete-li začít, ve webovém rozhraní byste měli přejít na kartu Analyzovat > Vyhledávání toku. Poté byste měli nastavit následující parametry:
- Typ vyhledávání – Nejčastější konverzace (nejoblíbenější interakce)
- Časový rozsah — 24 hodin (časové období, můžete použít jiný)
- Vyhledat název – nejlepší konverzace uvnitř-uvnitř (jakýkoli popisný název)
- Předmět - Skupiny hostitelů → Uvnitř hostitelů (zdroj - skupina interních hostitelů)
- Připojení (můžete určit porty, aplikace)
- Peer – Skupiny hostitelů → Uvnitř hostitelů (cíl – skupina interních uzlů)
- V Pokročilých možnostech můžete dodatečně určit kolektor, ze kterého se data prohlížejí, seřadit výstup (podle bajtů, streamů atd.). Nechám to jako výchozí.
Po stisknutí tlačítka Vyhledávání zobrazí se seznam interakcí, které jsou již seřazeny podle množství přenesených dat.
V mém příkladu hostitel 10.150.1.201 (server) přenášeny pouze v rámci jednoho vlákna 1.5 GB provoz na hostitele 10.150.1.200 (klient) protokolem mysql. Knoflík Správa sloupců umožňuje přidat další sloupce k výstupním datům.
Dále, podle uvážení správce, můžete vytvořit vlastní pravidlo, které vždy spustí tento typ interakce a upozorní vás prostřednictvím SNMP, e-mailu nebo Syslogu.
2. Analýza nejpomalejších interakcí klient-server v rámci sítě na zpoždění
Tagy SRT (Doba odezvy serveru), RTT (zpáteční čas) vám umožní zjistit zpoždění serveru a obecná zpoždění sítě. Tento nástroj je užitečný zejména tehdy, když potřebujete rychle najít příčinu stížností uživatelů na pomalu běžící aplikaci.
Poznámka: téměř všichni exportéři Netflow nevím jak posílat značky SRT, RTT tak často, abyste viděli taková data na FlowSensor, musíte nakonfigurovat odesílání kopie provozu ze síťových zařízení. FlowSensor zase odešle rozšířený IPFIX do FlowCollectoru.
Výhodnější je provést tuto analýzu v java aplikaci StealtWatch, která je nainstalována na počítači správce.
Zapnuto pravé tlačítko myši Uvnitř hostitelů a přejděte na kartu Flow Table.
Klikněte na Filtr a nastavte potřebné parametry. Jako příklad:
- Datum/čas – za poslední 3 dny
- Výkon — Průměrná doba zpáteční cesty >=50 ms
Po zobrazení dat bychom měli přidat pole RTT a SRT, která nás zajímají. Chcete-li to provést, klikněte na sloupec na snímku obrazovky a vyberte jej pravým tlačítkem myši Správa sloupců. Dále klikněte na parametry RTT, SRT.
Po zpracování požadavku jsem seřadil podle průměru RTT a viděl jsem nejpomalejší interakce.
Chcete-li přejít na podrobné informace, klikněte pravým tlačítkem na stream a vyberte Rychlý náhled pro Flow.
Tato informace označuje, že hostitel 10.201.3.59 ze skupiny Prodej a marketing protokolem NFS apeluje na DNS server na minutu a 23 sekund a má prostě hrozné zpoždění. V záložce rozhraní můžete zjistit, od kterého exportéra dat Netflow byly informace získány. V záložce Tabulka Zobrazí se podrobnější informace o interakci.
Dále byste měli zjistit, která zařízení odesílají provoz do FlowSensor a problém s největší pravděpodobností spočívá tam.
StealthWatch je navíc unikátní v tom, že diriguje deduplikace data (kombinuje stejné toky). Můžete tedy sbírat téměř ze všech Netflow zařízení a nebát se, že tam bude hodně duplicitních dat. Právě naopak, v tomto schématu to pomůže pochopit, který hop má největší zpoždění.
3. Audit kryptografických protokolů HTTPS
ETA (Encrypted Traffic Analytics) je technologie vyvinutá společností Cisco, která umožňuje odhalit škodlivá připojení v šifrovaném provozu, aniž byste jej museli dešifrovat. Tato technologie navíc umožňuje „analyzovat“ HTTPS na verze TLS a kryptografické protokoly, které se používají během připojení. Tato funkce je zvláště užitečná, když potřebujete detekovat síťové uzly, které používají slabé šifrovací standardy.
Poznámka: Nejprve musíte nainstalovat síťovou aplikaci na StealthWatch - Kryptografický audit ETA.
Přejděte na kartu Řídicí panely → Kryptografický audit ETA a vyberte skupinu hostitelů, které plánujeme analyzovat. Pro celkový obrázek si vyberme Uvnitř hostitelů.
Můžete vidět, že je na výstupu verze TLS a odpovídající kryptografický standard. Podle obvyklého schématu ve sloupci Akce jít do Zobrazit toky a vyhledávání začne na nové kartě.
Z výstupu je vidět, že hostitel 198.19.20.136 přes 12 hodin používá HTTPS s TLS 1.2, kde je šifrovací algoritmus AES-256 a hashovací funkce SHA-384. ETA vám tedy umožňuje najít slabé algoritmy v síti.
4. Analýza síťových anomálií
Cisco StealthWatch dokáže rozpoznat anomálie provozu v síti pomocí tří nástrojů: Hlavní události (bezpečnostní události), Vztahové události (události interakcí mezi segmenty, uzly sítě) a behaviorální analýza.
Behaviorální analýza zase umožňuje postupem času sestavit model chování pro konkrétního hostitele nebo skupinu hostitelů. Čím více provozu přes StealthWatch projde, tím přesnější budou upozornění díky této analýze. Zpočátku systém spouští hodně špatně, takže pravidla by měla být „překroucena“ ručně. Doporučuji takové události prvních pár týdnů ignorovat, protože se systém sám přizpůsobí, případně je přidat k výjimkám.
Níže je uveden příklad předdefinovaného pravidla Anomálie, který říká, že událost vystřelí bez poplachu, pokud hostitel ve skupině Inside Hosts komunikuje se skupinou Inside Hosts a do 24 hodin provoz překročí 10 megabajtů.
Vezměme si například budík Hromadění dat, což znamená, že některý zdrojový/cílový hostitel nahrál/stáhl abnormálně velké množství dat ze skupiny hostitelů nebo hostitele. Klikněte na událost a přejděte k tabulce, kde jsou uvedeni spouštěcí hostitelé. Dále ve sloupci vyberte hostitele, který nás zajímá Hromadění dat.
Zobrazí se událost indikující, že bylo zjištěno 162 100 „bodů“ a podle zásad je povoleno XNUMX XNUMX „bodů“ – to jsou interní metriky StealthWatch. Ve sloupci Akce tam Zobrazit toky.
Můžeme to pozorovat daný hostitel v noci komunikoval s hostitelem 10.201.3.47 z oddělení prodej a marketing protokolem HTTPS a staženo 1.4 GB. Možná tento příklad není úplně úspěšný, ale detekce interakcí i pro několik stovek gigabajtů probíhá úplně stejným způsobem. Proto další zkoumání anomálií může vést k zajímavým výsledkům.
Poznámka: ve webovém rozhraní SMC jsou data v záložkách Panely dashboard jsou zobrazeny pouze za poslední týden a v záložce monitor za poslední 2 týdny. Chcete-li analyzovat starší události a generovat zprávy, musíte pracovat s konzolou Java na počítači správce.
5. Vyhledání interních síťových skenů
Nyní se podívejme na pár příkladů feedů – incidentů informační bezpečnosti. Tato funkce je více zajímavá pro bezpečnostní profesionály.
Ve StealthWatch je několik přednastavených typů událostí skenování:
- Skenování portů – zdroj skenuje více portů na cílovém hostiteli.
- Addr tcp scan - zdroj prohledá celou síť na stejném TCP portu a změní cílovou IP adresu. V tomto případě zdroj přijímá pakety TCP Reset nebo nepřijímá odpovědi vůbec.
- Addr udp scan - zdroj prohledá celou síť na stejném UDP portu, přičemž změní cílovou IP adresu. V tomto případě zdroj přijímá pakety ICMP Port Unreachable nebo nepřijímá odpovědi vůbec.
- Ping Scan - zdroj odesílá požadavky ICMP do celé sítě za účelem hledání odpovědí.
- Stealth Scan tсp/udp – zdroj používal stejný port pro připojení k více portům na cílovém uzlu současně.
Aby bylo pohodlnější najít všechny interní skenery najednou, existuje síťová aplikace StealthWatch - Hodnocení viditelnosti. Přechod na kartu Řídicí panely → Posouzení viditelnosti → Vnitřní síťové skenery uvidíte bezpečnostní incidenty související se skenováním za poslední 2 týdny.
Stisknutím tlačítka Detaily, uvidíte začátek skenování každé sítě, trend provozu a odpovídající alarmy.
Dále můžete „selhat“ do hostitele z karty na předchozím snímku obrazovky a zobrazit události zabezpečení a také aktivitu tohoto hostitele za poslední týden.
Jako příklad analyzujme událost Skenování portů od hostitele 10.201.3.149 na 10.201.0.72, Stisknutí Akce > Přidružené toky. Spustí se vyhledávání vláken a zobrazí se relevantní informace.
Jak vidíme tohoto hostitele z jednoho z jeho portů 51508 / TCP naskenováno před 3 hodinami cílového hostitele podle portu 22, 28, 42, 41, 36, 40 (TCP). Některá pole nezobrazují informace, protože ne všechna pole Netflow jsou podporována exportérem Netflow.
6. Analýza staženého malwaru pomocí CTA
CTA (Cognitive Threat Analytics) — Cloudová analytika Cisco, která se dokonale integruje s Cisco StealthWatch a umožňuje doplnit analýzu bez signatur o analýzu signatur. To umožňuje detekovat trojské koně, síťové červy, zero-day malware a další malware a distribuovat je v rámci sítě. Také dříve zmíněná technologie ETA vám umožňuje analyzovat takovou zákeřnou komunikaci v šifrovaném provozu.
Doslova na úplně první záložce ve webovém rozhraní se nachází speciální widget Analýza kognitivních hrozeb. Stručné shrnutí uvádí hrozby zjištěné na hostitelských počítačích: trojský kůň, podvodný software, otravný adware. Slovo „Encrypted“ ve skutečnosti označuje práci ETA. Kliknutím na hostitele se zobrazí všechny informace o něm, bezpečnostní události, včetně CTA logů.
Umístěním kurzoru na každou fázi CTA událost zobrazí podrobné informace o interakci. Pro úplnou analýzu klikněte sem Zobrazit podrobnosti o incidentua budete přesměrováni do samostatné konzole Analýza kognitivních hrozeb.
V pravém horním rohu vám filtr umožňuje zobrazit události podle úrovně závažnosti. Když ukážete na konkrétní anomálii, zobrazí se v dolní části obrazovky protokoly s odpovídající časovou osou vpravo. Specialista na informační bezpečnost tedy jasně rozumí, který infikovaný hostitel a po jakých akcích začal provádět jaké akce.
Níže je uveden další příklad - bankovní trojan, který infikoval hostitele 198.19.30.36. Tento hostitel začal interagovat se škodlivými doménami a protokoly zobrazují informace o toku těchto interakcí.
Dalším, jedním z nejlepších řešení, které může být, je karanténa hostitele díky nativnímu s Cisco ISE pro další zpracování a analýzu.
Závěr
Řešení Cisco StealthWatch je jedním z lídrů mezi produkty pro monitorování sítě jak z hlediska analýzy sítě, tak bezpečnosti informací. Díky němu můžete odhalit nelegitimní interakce v rámci sítě, zpoždění aplikací, nejaktivnější uživatele, anomálie, malware a APT. Kromě toho můžete najít skenery, pentestery a provádět krypto-audit provozu HTTPS. Ještě více případů použití najdete na .
Pokud si chcete ověřit, jak hladce a efektivně vše ve vaší síti funguje, pošlete .
V blízké budoucnosti plánujeme několik dalších technických publikací o různých produktech informační bezpečnosti. Pokud vás toto téma zajímá, sledujte aktualizace na našich kanálech (, , , )!
Zdroj: www.habr.com