είναι μια αναλυτική λύση στον τομέα της ασφάλειας πληροφοριών που παρέχει ολοκληρωμένη παρακολούθηση των απειλών σε ένα κατανεμημένο δίκτυο. Το StealthWatch βασίζεται στη συλλογή NetFlow και IPFIX από δρομολογητές, μεταγωγείς και άλλες συσκευές δικτύου. Ως αποτέλεσμα, το δίκτυο γίνεται ένας ευαίσθητος αισθητήρας και επιτρέπει στον διαχειριστή να ψάξει σε μέρη όπου οι παραδοσιακές μέθοδοι ασφάλειας δικτύου, όπως το Τείχος προστασίας επόμενης γενιάς, δεν μπορούν να φτάσουν.
Σε προηγούμενα άρθρα έγραψα ήδη για το StealthWatch: Και . Τώρα προτείνω να προχωρήσουμε και να συζητήσουμε πώς να εργαστείτε με συναγερμούς και να διερευνήσετε συμβάντα ασφαλείας που δημιουργεί η λύση. Θα υπάρξουν 6 παραδείγματα που ελπίζω να δώσουν μια καλή ιδέα για τη χρησιμότητα του προϊόντος.
Πρώτον, πρέπει να πούμε ότι το StealthWatch έχει κάποια κατανομή συναγερμών μεταξύ αλγορίθμων και ροών. Το πρώτο είναι διάφορα είδη συναγερμών (ειδοποιήσεις), όταν ενεργοποιούνται, μπορείτε να εντοπίσετε ύποπτα πράγματα στο δίκτυο. Το δεύτερο είναι τα περιστατικά ασφαλείας. Αυτό το άρθρο θα εξετάσει 4 παραδείγματα αλγορίθμων που ενεργοποιήθηκαν και 2 παραδείγματα ροών.
1. Ανάλυση των μεγαλύτερων αλληλεπιδράσεων εντός του δικτύου
Το αρχικό βήμα για τη ρύθμιση του StealthWatch είναι να ορίσετε τους κεντρικούς υπολογιστές και τα δίκτυα σε ομάδες. Στην καρτέλα διεπαφής ιστού Διαμόρφωση > Διαχείριση ομάδας κεντρικού υπολογιστή Τα δίκτυα, οι κεντρικοί υπολογιστές και οι διακομιστές θα πρέπει να ταξινομούνται σε κατάλληλες ομάδες. Μπορείτε επίσης να δημιουργήσετε τις δικές σας ομάδες. Παρεμπιπτόντως, η ανάλυση των αλληλεπιδράσεων μεταξύ κεντρικών υπολογιστών στο Cisco StealthWatch είναι αρκετά βολική, καθώς μπορείτε όχι μόνο να αποθηκεύσετε φίλτρα αναζήτησης ανά ροή, αλλά και τα ίδια τα αποτελέσματα.
Για να ξεκινήσετε, στη διεπαφή ιστού θα πρέπει να μεταβείτε στην καρτέλα Ανάλυση > Αναζήτηση ροής. Στη συνέχεια, πρέπει να ορίσετε τις ακόλουθες παραμέτρους:
- Τύπος αναζήτησης - Κορυφαίες συνομιλίες (οι πιο δημοφιλείς αλληλεπιδράσεις)
- Χρονικό εύρος — 24 ώρες (χρονική περίοδος, μπορείτε να χρησιμοποιήσετε άλλη)
- Αναζήτηση ονόματος - Κορυφαίες συνομιλίες Inside-Inside (οποιοδήποτε φιλικό όνομα)
- Θέμα - Ομάδες κεντρικού υπολογιστή → Εσωτερικοί κεντρικοί υπολογιστές (πηγή - ομάδα εσωτερικών κεντρικών υπολογιστών)
- Σύνδεση (μπορείτε να καθορίσετε θύρες, εφαρμογές)
- Peer - Host Groups → Inside Hosts (προορισμός - ομάδα εσωτερικών κόμβων)
- Στις Επιλογές για προχωρημένους, μπορείτε επιπλέον να καθορίσετε τον συλλέκτη από τον οποίο προβάλλονται τα δεδομένα, ταξινομώντας την έξοδο (κατά byte, ροές κ.λπ.). Θα το αφήσω ως προεπιλογή.
Αφού πατήσετε το κουμπί Αναζήτηση εμφανίζεται μια λίστα αλληλεπιδράσεων που έχουν ήδη ταξινομηθεί με βάση τον όγκο των δεδομένων που μεταφέρονται.
Στο παράδειγμά μου ο οικοδεσπότης 10.150.1.201 (διακομιστής) μεταδίδεται μέσα σε ένα μόνο νήμα 1.5 GB κίνηση προς τον οικοδεσπότη 10.150.1.200 (πελάτης) κατά πρωτόκολλο mysql. Κουμπί Διαχείριση στηλών σας επιτρέπει να προσθέσετε περισσότερες στήλες στα δεδομένα εξόδου.
Στη συνέχεια, κατά την κρίση του διαχειριστή, μπορείτε να δημιουργήσετε έναν προσαρμοσμένο κανόνα που θα ενεργοποιεί πάντα αυτόν τον τύπο αλληλεπίδρασης και θα σας ειδοποιεί μέσω SNMP, email ή Syslog.
2. Ανάλυση των πιο αργών αλληλεπιδράσεων πελάτη-διακομιστή εντός του δικτύου για καθυστερήσεις
ετικέτες SRT (Χρόνος απόκρισης διακομιστή), RTT (Ώρα μετ' επιστροφής) σας επιτρέπουν να ανακαλύψετε καθυστερήσεις διακομιστή και γενικές καθυστερήσεις δικτύου. Αυτό το εργαλείο είναι ιδιαίτερα χρήσιμο όταν πρέπει να βρείτε γρήγορα την αιτία των παραπόνων των χρηστών σχετικά με μια εφαρμογή που εκτελείται αργά.
Σημείωση: σχεδόν όλοι οι εξαγωγείς Netflow δεν ξέρω πως αποστολή ετικετών SRT, RTT, τόσο συχνά, για να δείτε τέτοια δεδομένα στο FlowSensor, πρέπει να διαμορφώσετε την αποστολή αντιγράφου της κυκλοφορίας από συσκευές δικτύου. Το FlowSensor με τη σειρά του στέλνει το διευρυμένο IPFIX στο FlowCollector.
Είναι πιο βολικό να πραγματοποιήσετε αυτήν την ανάλυση στην εφαρμογή java StealtWatch, η οποία είναι εγκατεστημένη στον υπολογιστή του διαχειριστή.
Δεξί κουμπί του ποντικιού ενεργοποιημένο Μέσα στους οικοδεσπότες και μεταβείτε στην καρτέλα Πίνακας ροής.
Κάντε κλικ στο Φίλτρα και ορίστε τις απαραίτητες παραμέτρους. Ως παράδειγμα:
- Ημερομηνία/Ώρα - Για τις τελευταίες 3 ημέρες
- Απόδοση — Μέσος χρόνος μετ' επιστροφής >=50 ms
Μετά την εμφάνιση των δεδομένων, θα πρέπει να προσθέσουμε τα πεδία RTT και SRT που μας ενδιαφέρουν. Για να το κάνετε αυτό, κάντε κλικ στη στήλη στο στιγμιότυπο οθόνης και επιλέξτε με το δεξί κουμπί του ποντικιού Διαχείριση στηλών. Στη συνέχεια, κάντε κλικ στις παράμετροι RTT, SRT.
Μετά την επεξεργασία του αιτήματος, ταξινόμησα κατά μέσο όρο RTT και είδα τις πιο αργές αλληλεπιδράσεις.
Για να μεταβείτε σε λεπτομερείς πληροφορίες, κάντε δεξί κλικ στη ροή και επιλέξτε Γρήγορη προβολή για ροή.
Αυτές οι πληροφορίες υποδεικνύουν ότι ο οικοδεσπότης 10.201.3.59 από την ομάδα Πωλήσεις και μάρκετινγκ σύμφωνα με το πρωτόκολλο NFS απευθύνει έκκληση σε Διακομιστής DNS για ένα λεπτό και 23 δευτερόλεπτα και έχει απλώς τρομερή καθυστέρηση. Στην καρτέλα Διασυνδέσεις μπορείτε να μάθετε από ποιον εξαγωγέα δεδομένων Netflow ελήφθησαν οι πληροφορίες. Στην καρτέλα Τραπέζι Εμφανίζονται πιο λεπτομερείς πληροφορίες σχετικά με την αλληλεπίδραση.
Στη συνέχεια, θα πρέπει να μάθετε ποιες συσκευές στέλνουν κίνηση στο FlowSensor και το πρόβλημα πιθανότατα βρίσκεται εκεί.
Επιπλέον, το StealthWatch είναι μοναδικό στο ότι διεξάγει αποδιπλασιασμός δεδομένα (συνδυάζει τις ίδιες ροές). Επομένως, μπορείτε να συλλέξετε από σχεδόν όλες τις συσκευές Netflow και να μην φοβάστε ότι θα υπάρχουν πολλά διπλά δεδομένα. Αντίθετα, σε αυτό το σχήμα θα βοηθήσει να καταλάβουμε ποιος λυκίσκος έχει τις μεγαλύτερες καθυστερήσεις.
3. Έλεγχος κρυπτογραφικών πρωτοκόλλων HTTPS
ETA (Κρυπτογραφημένο Traffic Analytics) είναι μια τεχνολογία που αναπτύχθηκε από τη Cisco που σας επιτρέπει να εντοπίζετε κακόβουλες συνδέσεις σε κρυπτογραφημένη κίνηση χωρίς να την αποκρυπτογραφείτε. Επιπλέον, αυτή η τεχνολογία σάς επιτρέπει να «αναλύετε» το HTTPS σε εκδόσεις TLS και κρυπτογραφικά πρωτόκολλα που χρησιμοποιούνται κατά τις συνδέσεις. Αυτή η λειτουργία είναι ιδιαίτερα χρήσιμη όταν χρειάζεται να εντοπίσετε κόμβους δικτύου που χρησιμοποιούν αδύναμα πρότυπα κρυπτογράφησης.
Σημείωση: Πρέπει πρώτα να εγκαταστήσετε την εφαρμογή δικτύου στο StealthWatch - Κρυπτογραφικός Έλεγχος ΕΤΑ.
Μεταβείτε στην καρτέλα Πίνακες εργαλείων → Κρυπτογραφικός έλεγχος ETA και επιλέξτε την ομάδα κεντρικών υπολογιστών που σκοπεύουμε να αναλύσουμε. Για τη συνολική εικόνα, ας διαλέξουμε Μέσα στους οικοδεσπότες.
Μπορείτε να δείτε ότι εξάγεται η έκδοση TLS και το αντίστοιχο πρότυπο κρυπτογράφησης. Σύμφωνα με το συνηθισμένο σχήμα στη στήλη Δράσεις παω σε Προβολή ροών και η αναζήτηση ξεκινά σε νέα καρτέλα.
Από την έξοδο φαίνεται ότι ο κεντρικός υπολογιστής 198.19.20.136 καθ 'όλη τη διάρκεια 12 ώρες χρησιμοποίησε HTTPS με TLS 1.2, όπου ο αλγόριθμος κρυπτογράφησης AES-256 και λειτουργία κατακερματισμού SHA-384. Έτσι, το ETA σάς επιτρέπει να βρείτε αδύναμους αλγόριθμους στο δίκτυο.
4. Ανάλυση ανωμαλιών δικτύου
Το Cisco StealthWatch μπορεί να αναγνωρίσει ανωμαλίες κυκλοφορίας στο δίκτυο χρησιμοποιώντας τρία εργαλεία: Βασικές εκδηλώσεις (γεγονότα ασφαλείας), Γεγονότα Σχέσεων (γεγονότα αλληλεπιδράσεων μεταξύ τμημάτων, κόμβων δικτύου) και ανάλυση συμπεριφοράς.
Η ανάλυση συμπεριφοράς, με τη σειρά της, επιτρέπει με την πάροδο του χρόνου να δημιουργηθεί ένα μοντέλο συμπεριφοράς για έναν συγκεκριμένο κεντρικό υπολογιστή ή ομάδα κεντρικών υπολογιστών. Όσο περισσότερη κίνηση περνά από το StealthWatch, τόσο πιο ακριβείς θα είναι οι ειδοποιήσεις χάρη σε αυτήν την ανάλυση. Στην αρχή, το σύστημα ενεργοποιεί πολλά λανθασμένα, επομένως οι κανόνες πρέπει να "στριβούν" με το χέρι. Συνιστώ να αγνοήσετε τέτοια συμβάντα για τις πρώτες εβδομάδες, καθώς το σύστημα θα προσαρμοστεί μόνο του ή θα τα προσθέσει σε εξαιρέσεις.
Παρακάτω είναι ένα παράδειγμα ενός προκαθορισμένου κανόνα Ανωμαλία, το οποίο αναφέρει ότι το συμβάν θα ενεργοποιηθεί χωρίς συναγερμό εάν ένας κεντρικός υπολογιστής στην ομάδα Inside Hosts αλληλεπιδρά με την ομάδα Inside Hosts και μέσα σε 24 ώρες η επισκεψιμότητα θα ξεπεράσει τα 10 megabyte.
Για παράδειγμα, ας πάρουμε ένα συναγερμό Αποθησαύριση δεδομένων, που σημαίνει ότι κάποιος κεντρικός υπολογιστής πηγής/προορισμού έχει ανεβάσει/κατεβάσει έναν ασυνήθιστα μεγάλο όγκο δεδομένων από μια ομάδα κεντρικών υπολογιστών ή έναν κεντρικό υπολογιστή. Κάντε κλικ στο συμβάν και μεταβείτε στον πίνακα όπου υποδεικνύονται οι κεντρικοί υπολογιστές ενεργοποίησης. Στη συνέχεια, επιλέξτε τον κεντρικό υπολογιστή που μας ενδιαφέρει στη στήλη Αποθησαύριση δεδομένων.
Εμφανίζεται ένα συμβάν που υποδεικνύει ότι εντοπίστηκαν 162 "πόντους" και σύμφωνα με την πολιτική, επιτρέπονται 100 "πόντους" - πρόκειται για εσωτερικές μετρήσεις StealthWatch. Σε μια στήλη Δράσεις Σπρώξτε Προβολή ροών.
Μπορούμε να το παρατηρήσουμε δεδομένου οικοδεσπότη αλληλεπιδρούσε με τον οικοδεσπότη τη νύχτα 10.201.3.47 από το τμήμα Πωλήσεις σύμφωνα με το πρωτόκολλο HTTPS και κατεβάστηκε 1.4 GB. Ίσως αυτό το παράδειγμα να μην είναι απολύτως επιτυχημένο, αλλά η ανίχνευση αλληλεπιδράσεων ακόμη και για αρκετές εκατοντάδες gigabyte πραγματοποιείται με τον ίδιο ακριβώς τρόπο. Επομένως, περαιτέρω διερεύνηση των ανωμαλιών μπορεί να οδηγήσει σε ενδιαφέροντα αποτελέσματα.
Σημείωση: στη διεπαφή ιστού SMC, τα δεδομένα βρίσκονται σε καρτέλες Dashboards εμφανίζονται μόνο για την τελευταία εβδομάδα και στην καρτέλα Παρακολούθηση τις τελευταίες 2 εβδομάδες. Για να αναλύσετε παλαιότερα συμβάντα και να δημιουργήσετε αναφορές, πρέπει να εργαστείτε με την κονσόλα java στον υπολογιστή του διαχειριστή.
5. Εύρεση εσωτερικών σαρώσεων δικτύου
Ας δούμε τώρα μερικά παραδείγματα ροών - συμβάντων ασφάλειας πληροφοριών. Αυτή η λειτουργία ενδιαφέρει περισσότερο τους επαγγελματίες ασφαλείας.
Υπάρχουν αρκετοί προκαθορισμένοι τύποι συμβάντων σάρωσης στο StealthWatch:
- Σάρωση θύρας—η πηγή σαρώνει πολλές θύρες στον κεντρικό υπολογιστή προορισμού.
- Adr tcp scan - η πηγή σαρώνει ολόκληρο το δίκτυο στην ίδια θύρα TCP, αλλάζοντας τη διεύθυνση IP προορισμού. Σε αυτήν την περίπτωση, η πηγή λαμβάνει πακέτα επαναφοράς TCP ή δεν λαμβάνει καθόλου απαντήσεις.
- Adr udp scan - η πηγή σαρώνει ολόκληρο το δίκτυο στην ίδια θύρα UDP, ενώ αλλάζει τη διεύθυνση IP προορισμού. Σε αυτήν την περίπτωση, η πηγή λαμβάνει πακέτα ICMP Port Unreachable ή δεν λαμβάνει καθόλου απαντήσεις.
- Σάρωση Ping - η πηγή στέλνει αιτήματα ICMP σε ολόκληρο το δίκτυο για αναζήτηση απαντήσεων.
- Stealth Scan tсp/udp - η πηγή χρησιμοποιούσε την ίδια θύρα για να συνδεθεί σε πολλές θύρες στον κόμβο προορισμού ταυτόχρονα.
Για να είναι πιο βολικό να βρίσκετε όλους τους εσωτερικούς σαρωτές ταυτόχρονα, υπάρχει μια εφαρμογή δικτύου για StealthWatch - Αξιολόγηση ορατότητας. Μετάβαση στην καρτέλα Πίνακες εργαλείων → Αξιολόγηση ορατότητας → Σαρωτές εσωτερικού δικτύου θα δείτε περιστατικά ασφαλείας που σχετίζονται με τη σάρωση για τις τελευταίες 2 εβδομάδες.
Κάνοντας κλικ στο κουμπί Περιγραφή, θα δείτε την έναρξη της σάρωσης κάθε δικτύου, την τάση κίνησης και τους αντίστοιχους συναγερμούς.
Στη συνέχεια, μπορείτε να "αποτύχει" στον κεντρικό υπολογιστή από την καρτέλα στο προηγούμενο στιγμιότυπο οθόνης και να δείτε συμβάντα ασφαλείας, καθώς και δραστηριότητα την τελευταία εβδομάδα για αυτόν τον κεντρικό υπολογιστή.
Για παράδειγμα, ας αναλύσουμε το γεγονός Θύρα σάρωσης από τον οικοδεσπότη 10.201.3.149 επί 10.201.0.72, Πάτημα Ενέργειες > Συσχετισμένες ροές. Ξεκινά μια αναζήτηση νήματος και εμφανίζονται σχετικές πληροφορίες.
Πώς βλέπουμε αυτόν τον οικοδεσπότη από ένα από τα λιμάνια του 51508/TCP σαρώθηκε πριν από 3 ώρες ο κεντρικός υπολογιστής προορισμού ανά θύρα 22, 28, 42, 41, 36, 40 (TCP). Ορισμένα πεδία δεν εμφανίζουν επίσης πληροφορίες επειδή δεν υποστηρίζονται όλα τα πεδία Netflow στον εξαγωγέα Netflow.
6. Ανάλυση ληφθέντος κακόβουλου λογισμικού με χρήση CTA
CTA (Cognitive Threat Analytics) — Cisco cloud analytics, που ενσωματώνεται τέλεια με το Cisco StealthWatch και σας επιτρέπει να συμπληρώνετε την ανάλυση χωρίς υπογραφή με την ανάλυση υπογραφής. Αυτό καθιστά δυνατό τον εντοπισμό Trojans, worms δικτύου, κακόβουλο λογισμικό zero-day και άλλο κακόβουλο λογισμικό και τη διανομή τους στο δίκτυο. Επίσης, η προαναφερθείσα τεχνολογία ETA σάς επιτρέπει να αναλύετε τέτοιες κακόβουλες επικοινωνίες σε κρυπτογραφημένη κίνηση.
Κυριολεκτικά στην πρώτη καρτέλα στη διεπαφή ιστού υπάρχει ένα ειδικό widget Γνωστική ανάλυση απειλών. Μια σύντομη περίληψη υποδεικνύει απειλές που εντοπίστηκαν στους κεντρικούς υπολογιστές χρηστών: Trojan, δόλιο λογισμικό, ενοχλητικό λογισμικό διαφημίσεων. Η λέξη "Κρυπτογραφημένο" υποδηλώνει στην πραγματικότητα το έργο της ETA. Κάνοντας κλικ σε έναν κεντρικό υπολογιστή, εμφανίζονται όλες οι πληροφορίες σχετικά με αυτόν, τα συμβάντα ασφαλείας, συμπεριλαμβανομένων των αρχείων καταγραφής CTA.
Τοποθετώντας το δείκτη του ποντικιού πάνω από κάθε στάδιο του CTA, το συμβάν εμφανίζει λεπτομερείς πληροφορίες σχετικά με την αλληλεπίδραση. Για πλήρη ανάλυση, κάντε κλικ εδώ Προβολή λεπτομερειών περιστατικού, και θα μεταφερθείτε σε ξεχωριστή κονσόλα Γνωστική ανάλυση απειλών.
Στην επάνω δεξιά γωνία, ένα φίλτρο σάς επιτρέπει να εμφανίζετε συμβάντα ανά επίπεδο σοβαρότητας. Όταν επισημαίνετε μια συγκεκριμένη ανωμαλία, εμφανίζονται αρχεία καταγραφής στο κάτω μέρος της οθόνης με ένα αντίστοιχο χρονοδιάγραμμα στα δεξιά. Έτσι, ο ειδικός ασφάλειας πληροφοριών κατανοεί σαφώς ποιος μολυσμένος κεντρικός υπολογιστής, μετά από ποιες ενέργειες, άρχισε να εκτελεί ποιες ενέργειες.
Παρακάτω είναι ένα άλλο παράδειγμα - ένα τραπεζικό Trojan που μόλυνε τον κεντρικό υπολογιστή 198.19.30.36. Αυτός ο κεντρικός υπολογιστής άρχισε να αλληλεπιδρά με κακόβουλους τομείς και τα αρχεία καταγραφής εμφανίζουν πληροφορίες σχετικά με τη ροή αυτών των αλληλεπιδράσεων.
Στη συνέχεια, μία από τις καλύτερες λύσεις που μπορεί να είναι είναι να τεθεί σε καραντίνα ο οικοδεσπότης χάρη στον ιθαγενή με Cisco ISE για περαιτέρω επεξεργασία και ανάλυση.
Συμπέρασμα
Η λύση Cisco StealthWatch είναι ένας από τους ηγέτες μεταξύ των προϊόντων παρακολούθησης δικτύου τόσο όσον αφορά την ανάλυση δικτύου όσο και την ασφάλεια πληροφοριών. Χάρη σε αυτό, μπορείτε να εντοπίσετε παράνομες αλληλεπιδράσεις εντός του δικτύου, καθυστερήσεις εφαρμογών, τους πιο ενεργούς χρήστες, ανωμαλίες, κακόβουλο λογισμικό και APT. Επιπλέον, μπορείτε να βρείτε σαρωτές, διεισδυτές και να πραγματοποιήσετε κρυπτοέλεγχο της κίνησης HTTPS. Μπορείτε να βρείτε ακόμα περισσότερες περιπτώσεις χρήσης στο .
Εάν θέλετε να ελέγξετε πόσο ομαλά και αποτελεσματικά λειτουργούν όλα στο δίκτυό σας, στείλτε .
Στο εγγύς μέλλον, σχεδιάζουμε αρκετές ακόμη τεχνικές δημοσιεύσεις για διάφορα προϊόντα ασφάλειας πληροφοριών. Εάν ενδιαφέρεστε για αυτό το θέμα, ακολουθήστε τις ενημερώσεις στα κανάλια μας (, , , )!
Πηγή: www.habr.com