je analitičko rješenje na području informacijske sigurnosti koje omogućuje sveobuhvatno praćenje prijetnji u distribuiranoj mreži. StealthWatch se temelji na prikupljanju NetFlow i IPFIX s usmjerivača, preklopnika i drugih mrežnih uređaja. Kao rezultat toga, mreža postaje osjetljiv senzor i omogućuje administratoru da pogleda na mjesta do kojih tradicionalne sigurnosne metode mreže, kao što je Vatrozid sljedeće generacije, ne mogu doseći.
U prethodnim člancima već sam pisao o StealthWatchu: I . Sada predlažem da krenemo dalje i razgovaramo o tome kako raditi s alarmima i istražiti sigurnosne incidente koje rješenje generira. Bit će 6 primjera za koje se nadam da će dati dobru ideju o korisnosti proizvoda.
Prvo, treba reći da StealthWatch ima neku raspodjelu alarma između algoritama i feedova. Prvi su razne vrste alarma (obavijesti), kada se aktiviraju, možete otkriti sumnjive stvari na mreži. Drugi su sigurnosni incidenti. Ovaj članak će pogledati 4 primjera aktiviranih algoritama i 2 primjera feedova.
1. Analiza najvećih interakcija unutar mreže
Početni korak u postavljanju StealthWatcha je definiranje hostova i mreža u grupe. U kartici web sučelja Konfiguracija > Upravljanje grupom domaćina Mreže, hostove i poslužitelje treba svrstati u odgovarajuće skupine. Također možete kreirati vlastite grupe. Usput, analiziranje interakcija između hostova u Cisco StealthWatchu prilično je zgodno, jer ne samo da možete spremiti filtre pretraživanja po streamu, već i same rezultate.
Za početak, u web sučelju trebali biste otići na karticu Analiza > Pretraživanje toka. Tada biste trebali postaviti sljedeće parametre:
- Vrsta pretraživanja - najpopularniji razgovori (najpopularnije interakcije)
- Vremenski raspon — 24 sata (vremenski period, možete koristiti drugi)
- Naziv pretraživanja - najpopularniji razgovori iznutra-iznutra (bilo koji prijateljski naziv)
- Subject - Host Groups → Inside Hosts (izvor - grupa internih hostova)
- Veza (možete odrediti portove, aplikacije)
- Peer - Grupe domaćina → Unutarnji hostovi (odredište - grupa internih čvorova)
- U naprednim opcijama možete dodatno odrediti kolektor iz kojeg se podaci pregledavaju, sortirajući izlaz (po bajtovima, tokovima itd.). Ostavit ću to kao zadano.
Nakon pritiska na tipku Traži prikazuje se popis interakcija koje su već poredane prema količini prenesenih podataka.
U mom primjeru domaćin 10.150.1.201 (poslužitelj) koji se prenosi unutar samo jedne niti 1.5 GB prometa prema hostu 10.150.1.200 (klijent) po protokolu mysql. Dugme Upravljanje stupcima omogućuje vam dodavanje više stupaca izlaznim podacima.
Zatim, prema nahođenju administratora, možete stvoriti prilagođeno pravilo koje će uvijek pokretati ovu vrstu interakcije i obavijestiti vas putem SNMP-a, e-pošte ili Syslog-a.
2. Analiza najsporijih interakcija klijent-poslužitelj unutar mreže na kašnjenja
Tagovi SRT (vrijeme odgovora poslužitelja), RTT (vrijeme povratnog putovanja) omogućuju vam da saznate kašnjenja poslužitelja i opća kašnjenja mreže. Ovaj je alat posebno koristan kada trebate brzo pronaći uzrok pritužbi korisnika na aplikaciju koja radi sporo.
Primijetiti: gotovo svi Netflow izvoznici ne znam kako šalju SRT, RTT oznake, pa često, da biste vidjeli takve podatke na FlowSensoru, trebate konfigurirati slanje kopije prometa s mrežnih uređaja. FlowSensor zauzvrat šalje prošireni IPFIX FlowCollectoru.
Pogodnije je provesti ovu analizu u java aplikaciji StealtWatch koja je instalirana na računalu administratora.
Desna tipka miša uključena Inside Hosts i idite na karticu Tablica protoka.
Kliknite na Filter i postavite potrebne parametre. Kao primjer:
- Datum/vrijeme - Za zadnja 3 dana
- Izvedba — prosječno vrijeme povratnog putovanja >=50 ms
Nakon prikaza podataka trebamo dodati RTT i SRT polja koja nas zanimaju. Da biste to učinili, kliknite na stupac na snimci zaslona i odaberite desnom tipkom miša Upravljanje stupcima. Zatim kliknite RTT, SRT parametri.
Nakon obrade zahtjeva razvrstao sam po RTT prosjeku i vidio najsporije interakcije.
Da biste otvorili detaljne informacije, desnom tipkom miša kliknite stream i odaberite Brzi pregled za Flow.
Ovaj podatak ukazuje na to da domaćin 10.201.3.59 iz grupe Prodaja i marketing po protokolu NFS odnosi se na DNS poslužitelj za minutu i 23 sekunde i ima užasan zaostatak. U kartici Sučelja možete saznati od kojeg je Netflow izvoznika podataka informacija dobivena. U kartici Stol Prikazane su detaljnije informacije o interakciji.
Zatim biste trebali saznati koji uređaji šalju promet FlowSensoru i problem najvjerojatnije leži tu.
Štoviše, StealthWatch je jedinstven po tome što provodi deduplikacija podataka (kombinira iste tokove). Stoga možete prikupljati s gotovo svih Netflow uređaja i ne bojati se da će biti puno duplih podataka. Upravo suprotno, u ovoj shemi pomoći će razumjeti koji skok ima najveća kašnjenja.
3. Revizija HTTPS kriptografskih protokola
ETA (analiza šifriranog prometa) je tehnologija koju je razvio Cisco koja vam omogućuje otkrivanje zlonamjernih veza u kriptiranom prometu bez dešifriranja. Štoviše, ova vam tehnologija omogućuje "raščlanjivanje" HTTPS-a na TLS verzije i kriptografske protokole koji se koriste tijekom povezivanja. Ova je funkcija posebno korisna kada trebate otkriti mrežne čvorove koji koriste slabe kripto standarde.
Primijetiti: Prvo morate instalirati mrežnu aplikaciju na StealthWatch - ETA kriptografska revizija.
Idi na karticu Nadzorne ploče → ETA kriptografska revizija i odaberite grupu domaćina koje planiramo analizirati. Za cjelokupnu sliku, izaberimo Inside Hosts.
Možete vidjeti da su izlaz TLS verzija i odgovarajući kripto standard. Prema uobičajenoj shemi u stupcu Akcije ići Prikaži tokove a pretraživanje počinje u novoj kartici.
Iz izlaza se vidi da domaćin 198.19.20.136 više 12 sati koristi HTTPS s TLS 1.2, gdje je algoritam šifriranja AES-256 i hash funkciju SHA-384. Stoga vam ETA omogućuje pronalaženje slabih algoritama na mreži.
4. Analiza mrežnih anomalija
Cisco StealthWatch može prepoznati prometne anomalije na mreži pomoću tri alata: Osnovni događaji (sigurnosni događaji), Događaji u vezi (događaji interakcija između segmenata, mrežnih čvorova) i analiza ponašanja.
Analiza ponašanja, pak, omogućuje da se s vremenom izgradi model ponašanja za određenog domaćina ili grupu domaćina. Što više prometa prolazi kroz StealthWatch, to će upozorenja biti preciznija zahvaljujući ovoj analizi. U početku sustav puno toga neispravno pokreće, pa pravila treba ručno "vrtati". Preporučujem da zanemarite takve događaje prvih nekoliko tjedana jer će se sustav sam prilagoditi ili ih dodati u iznimke.
Dolje je primjer unaprijed definiranog pravila Anomalija, koji navodi da će se događaj aktivirati bez alarma ako host u grupi Inside Hosts komunicira s grupom Inside Hosts i unutar 24 sata promet će premašiti 10 megabajta.
Na primjer, uzmimo alarm Gomilanje podataka, što znači da je neki izvorni/odredišni host učitao/preuzeo nenormalno veliku količinu podataka iz grupe hostova ili hosta. Kliknite na događaj i idite na tablicu u kojoj su naznačeni pokretački hostovi. Zatim u stupcu odaberite host koji nas zanima Gomilanje podataka.
Prikazuje se događaj koji pokazuje da je otkriveno 162k "točaka", a prema pravilima dopušteno je 100k "točaka" - to su interne metrike StealthWatcha. U kolumni Akcije nažimaem Prikaži tokove.
To možemo promatrati dati domaćin komunicirao s domaćinom noću 10.201.3.47 iz odjela Prodaja i marketing po protokolu HTTPS i preuzeto 1.4 GB. Možda ovaj primjer nije posve uspješan, ali detekcija interakcija čak i za nekoliko stotina gigabajta provodi se na potpuno isti način. Stoga bi daljnje istraživanje anomalija moglo dovesti do zanimljivih rezultata.
Primijetiti: u SMC web sučelju podaci su u karticama Nadzorne ploče prikazuju se samo za prošli tjedan iu kartici Monitor u posljednja 2 tjedna. Za analizu starijih događaja i generiranje izvješća potrebno je raditi s java konzolom na računalu administratora.
5. Pronalaženje skeniranja interne mreže
Sada pogledajmo nekoliko primjera feedova - incidenata informacijske sigurnosti. Ova je funkcija od većeg interesa za sigurnosne stručnjake.
U StealthWatchu postoji nekoliko unaprijed postavljenih vrsta događaja skeniranja:
- Port Scan—izvor skenira više portova na odredišnom hostu.
- Addr tcp scan - izvor skenira cijelu mrežu na istom TCP portu, mijenjajući odredišnu IP adresu. U tom slučaju izvor prima pakete TCP Reset ili uopće ne prima odgovore.
- Addr udp scan - izvor skenira cijelu mrežu na istom UDP portu, dok mijenja odredišnu IP adresu. U tom slučaju izvor prima pakete ICMP Port Unreachable ili uopće ne prima odgovore.
- Ping skeniranje - izvor šalje ICMP zahtjeve cijeloj mreži u potrazi za odgovorima.
- Stealth Scan tsp/udp - izvor je koristio isti port za spajanje na više portova na odredišnom čvoru u isto vrijeme.
Kako biste lakše pronašli sve unutarnje skenere odjednom, postoji mrežna aplikacija za StealthWatch - Procjena vidljivosti. Odlazak na karticu Nadzorne ploče → Procjena vidljivosti → Interni mrežni skeneri vidjet ćete sigurnosne incidente povezane sa skeniranjem u zadnja 2 tjedna.
Pritiskom na tipku Detaljnije, vidjet ćete početak skeniranja svake mreže, trend prometa i odgovarajuće alarme.
Zatim možete "pogrešiti" na glavnom računalu s kartice na prethodnoj snimci zaslona i vidjeti sigurnosne događaje, kao i aktivnosti tijekom prošlog tjedna za ovo glavno računalo.
Kao primjer, analizirajmo događaj Skeniranje portova od domaćina 10.201.3.149 na 10.201.0.72, Pritiskom Radnje > Pridruženi tijekovi. Pokreće se pretraživanje niti i prikazuju se relevantne informacije.
Kako vidimo ovaj domaćin iz jedne od njegovih luka 51508 / TCP skenirano prije 3 sata odredišni host prema portu 22, 28, 42, 41, 36, 40 (TCP). Neka polja također ne prikazuju informacije jer nisu sva Netflow polja podržana na Netflow izvozniku.
6. Analiza preuzetog zlonamjernog softvera pomoću CTA
CTA (Cognitive Threat Analytics) — Cisco analitika u oblaku, koja se savršeno integrira s Cisco StealthWatch i omogućuje vam da nadopunite analizu bez potpisa analizom potpisa. To omogućuje otkrivanje trojanaca, mrežnih crva, zero-day zlonamjernog softvera i drugog zlonamjernog softvera te njihovu distribuciju unutar mreže. Također, prethodno spomenuta ETA tehnologija omogućuje analizu takve zlonamjerne komunikacije u kriptiranom prometu.
Doslovno na prvoj kartici web sučelja nalazi se poseban widget Kognitivna analiza prijetnji. Kratki sažetak ukazuje na prijetnje otkrivene na korisničkim hostovima: Trojan, lažni softver, dosadni adware. Riječ "Šifrirano" zapravo označava rad ETA-e. Klikom na host pojavljuju se sve informacije o njemu, sigurnosni događaji, uključujući CTA zapise.
Prelaskom pokazivača iznad svake faze CTA-a, događaj prikazuje detaljne informacije o interakciji. Za kompletnu analitiku kliknite ovdje Pogledajte pojedinosti o incidentu, i bit ćete odvedeni na zasebnu konzolu Kognitivna analiza prijetnji.
U gornjem desnom kutu filtar vam omogućuje prikaz događaja prema razini ozbiljnosti. Kada pokažete na određenu anomaliju, zapisnici se pojavljuju na dnu zaslona s odgovarajućom vremenskom trakom na desnoj strani. Dakle, stručnjak za informacijsku sigurnost jasno razumije koji je zaraženi host, nakon kojih radnji, počeo izvršavati koje radnje.
Ispod je još jedan primjer - bankarski trojanac koji je zarazio host 198.19.30.36. Ovaj host počeo je komunicirati sa zlonamjernim domenama, a zapisi pokazuju informacije o tijeku tih interakcija.
Dalje, jedno od najboljih rješenja koje može biti jest karantena domaćina zahvaljujući domorodcu s Cisco ISE za daljnju obradu i analizu.
Zaključak
Rješenje Cisco StealthWatch jedno je od vodećih među proizvodima za nadzor mreže, kako u pogledu analize mreže tako iu pogledu sigurnosti informacija. Zahvaljujući njemu možete otkriti nelegitimne interakcije unutar mreže, kašnjenja aplikacija, najaktivnije korisnike, anomalije, malware i APT-ove. Štoviše, možete pronaći skenere, pentestere i provesti kripto-reviziju HTTPS prometa. Još više slučajeva upotrebe možete pronaći na .
Ako želite provjeriti koliko glatko i učinkovito sve radi na vašoj mreži, pošaljite .
U bliskoj budućnosti planiramo još nekoliko tehničkih publikacija o raznim proizvodima za informacijsku sigurnost. Ako vas zanima ova tema, pratite novosti na našim kanalima (, , , )!
Izvor: www.habr.com