Pwotokòl Flow kòm yon zouti pou kontwole sekirite rezo entèn yo

Lè li rive kontwole sekirite yon rezo antrepriz oswa depatman entèn, anpil asosye li ak kontwole fwit enfòmasyon ak mete ann aplikasyon solisyon DLP. Men, si ou eseye klarifye kesyon an epi mande ki jan ou detekte atak sou rezo entèn la, Lè sa a, repons lan pral, kòm yon règ, yon mansyone nan sistèm deteksyon entrizyon (IDS). Ak sa ki te opsyon a sèlman 10-20 ane de sa ap vin tounen yon anakwonism jodi a. Gen yon pi efikas, ak nan kèk kote, sèlman opsyon posib pou kontwole yon rezo entèn - lè l sèvi avèk pwotokòl koule, ki te orijinal fèt pou fè rechèch pou pwoblèm rezo (depanaj), men sou tan transfòme nan yon zouti sekirite trè enteresan. Nou pral pale sou ki pwotokòl koule ki genyen ak kiyès ki pi bon nan detekte atak rezo a, ki kote li pi bon pou aplike siveyans koule, kisa pou chèche lè w ap deplwaye yon konplo konsa, e menm ki jan yo "leve" tout bagay sa yo sou ekipman domestik. nan sijè ki abòde lan atik sa a.

Mwen pa pral rete sou kesyon "Poukisa siveyans sekirite enfrastrikti entèn yo nesesè?" Repons lan sanble klè. Men, si, poutan, ou ta renmen asire yon lòt fwa ankò ke jodi a ou pa ka viv san li, gade yon videyo kout sou fason ou ka antre nan yon rezo antrepriz ki pwoteje pa yon firewall nan 17 fason. Se poutèt sa, nou pral asime ke nou konprann ke siveyans entèn se yon bagay ki nesesè ak tout sa ki rete se konprann ki jan li ka òganize.

Mwen ta mete aksan sou twa sous done kle pou kontwole enfrastrikti nan nivo rezo a:

• trafik "krit" ke nou pran epi soumèt pou analiz nan sèten sistèm analiz,
• evènman ki soti nan aparèy rezo kote trafik pase,
• enfòmasyon trafik yo resevwa atravè youn nan pwotokòl koule yo.

Kaptire trafik anvan tout koreksyon se opsyon ki pi popilè nan mitan espesyalis sekirite yo, paske li istorikman parèt e li te trè premye. Sistèm deteksyon entrizyon rezo konvansyonèl yo (premye sistèm deteksyon entrizyon komèsyal la se NetRanger ki soti nan Wheel Group, ki te achte an 1998 pa Cisco) te jisteman angaje nan kaptire pake (ak sesyon pita) kote yo te chèche sèten siyati ("règleman desizif" nan FSTEC tèminoloji), siyal atak. Natirèlman, ou ka analize trafik anvan tout koreksyon pa sèlman lè l sèvi avèk IDS, men tou, lè l sèvi avèk lòt zouti (pa egzanp, Wireshark, tcpdum oswa fonksyonalite NBAR2 nan Cisco IOS), men yo anjeneral manke baz konesans ki distenge yon zouti sekirite enfòmasyon ak yon regilye. IT zouti.

Se konsa, atak sistèm deteksyon. Metòd ki pi ansyen ak pi popilè nan detekte atak rezo, ki fè yon bon travay nan perimèt la (kèlkeswa sa - antrepriz, sant done, segman, elatriye), men echwe nan rezo modèn chanje ak lojisyèl defini. Nan ka a nan yon rezo bati sou baz switch konvansyonèl yo, enfrastrikti detèktè deteksyon atak vin twò gwo - ou pral oblije enstale yon Capteur pou chak koneksyon ak ne ki ou vle kontwole atak yo. Nenpòt manifakti, nan kou, pral kontan vann ou dè santèn ak dè milye de detèktè, men mwen panse ke bidjè ou pa ka sipòte depans sa yo. Mwen ka di ke menm nan Cisco (e nou se devlopè NGIPS) nou pa t 'kapab fè sa, byenke li ta sanble ke pwoblèm nan nan pri se devan nou. Mwen pa ta dwe kanpe - se pwòp desizyon nou. Anplis de sa, kesyon an rive, ki jan yo konekte Capteur a nan vèsyon sa a? Nan espas sa a? E si Capteur a li menm echwe? Bezwen yon modil kontoune nan Capteur a? Sèvi ak splitters (tape)? Tout bagay sa a fè solisyon an pi chè epi fè li pa abòdab pou yon konpayi nenpòt ki gwosè.

Ou ka eseye "kwoke" Capteur a sou yon pò SPAN/RSPAN/ERSPAN epi dirije trafik soti nan pò switch yo mande yo. Opsyon sa a pasyèlman retire pwoblèm ki dekri nan paragraf anvan an, men poze yon lòt - pò a SPAN pa ka aksepte absoliman tout trafik yo pral voye ba li - li pa pral gen ase Pleasant. Ou pral oblije sakrifye yon bagay. Swa kite kèk nan nœuds yo san yo pa siveyans (Lè sa a, ou bezwen priyorite yo an premye), oswa voye pa tout trafik soti nan ne la, men se sèlman yon sèten kalite. Nan nenpòt ka, nou ka rate kèk atak. Anplis de sa, pò a SPAN ka itilize pou lòt bezwen. Kòm yon rezilta, nou pral oblije revize topoloji rezo a ki egziste deja epi pètèt fè ajisteman nan li yo nan lòd yo kouvri rezo ou a maksimòm ak kantite detèktè ou genyen (epi kowòdone sa a ak IT).

E si rezo w la itilize wout asimetri? E si w te aplike oswa w ap planifye aplike SDN? E si ou bezwen kontwole machin virtualize oswa resipyan ki gen trafik pa rive nan switch fizik la ditou? Sa yo se kesyon ke machann IDS tradisyonèl yo pa renmen paske yo pa konnen ki jan yo reponn yo. Petèt yo pral konvenk ou ke tout teknoloji sa yo alamòd se battage epi ou pa bezwen li. Petèt yo pral pale sou bezwen an kòmanse piti. Oswa petèt yo pral di ke ou bezwen mete yon thresher pwisan nan sant la nan rezo a epi dirije tout trafik nan li lè l sèvi avèk balans. Kèlkeswa opsyon yo ofri ou, ou bezwen klèman konprann ki jan li kostim ou. Epi sèlman apre sa pran yon desizyon sou chwazi yon apwòch pou kontwole sekirite enfòmasyon nan enfrastrikti rezo a. Retounen nan kaptire pake, mwen vle di ke metòd sa a kontinye ap trè popilè ak enpòtan, men objektif prensipal li se kontwòl fwontyè; fwontyè ant òganizasyon w lan ak entènèt la, fwontyè ant sant done a ak rès rezo a, fwontyè ant sistèm kontwòl pwosesis la ak segman antrepriz la. Nan kote sa yo, IDS / IPS klasik toujou gen dwa egziste epi fè fas byen ak travay yo.

Ann ale nan dezyèm opsyon an. Analiz de evènman ki soti nan aparèy rezo yo ka itilize tou pou rezon deteksyon atak, men se pa kòm mekanis prensipal la, paske li pèmèt detekte sèlman yon ti klas nan entrizyon. Anplis de sa, li se nannan nan kèk reyaksyon - atak la dwe premye rive, Lè sa a, li dwe anrejistre pa yon aparèy rezo, ki nan yon fason oswa yon lòt pral siyal yon pwoblèm ak sekirite enfòmasyon. Gen plizyè fason sa yo. Sa a ta ka syslog, RMON oswa SNMP. De dènye pwotokòl yo pou siveyans rezo a nan yon kontèks sekirite enfòmasyon yo itilize sèlman si nou bezwen detekte yon atak DoS sou ekipman rezo a li menm, depi lè l sèvi avèk RMON ak SNMP li posib, pou egzanp, kontwole chaj la sou santral aparèy la. processeur oswa koòdone li yo. Sa a se youn nan "pi bon mache" (tout moun gen syslog oswa SNMP), men tou, pi efikas nan tout metòd pou kontwole sekirite enfòmasyon nan enfrastrikti entèn yo - anpil atak yo tou senpleman kache nan li. Natirèlman, yo pa ta dwe neglije, ak menm analiz syslog la ede ou alè idantifye chanjman nan konfigirasyon aparèy la tèt li, konpwomi a nan li, men li pa trè apwopriye pou detekte atak sou rezo a tout antye.

Twazyèm opsyon a se analize enfòmasyon sou trafik k ap pase nan yon aparèy ki sipòte youn nan plizyè pwotokòl koule. Nan ka sa a, kèlkeswa pwotokòl la, enfrastrikti fil la nesesèman konsiste de twa eleman:

• Jenerasyon oswa ekspòtasyon koule. Wòl sa a anjeneral asiyen nan yon routeur, switch oswa lòt aparèy rezo, ki, lè yo pase trafik rezo nan tèt li, pèmèt ou ekstrè paramèt kle nan li, ki yo Lè sa a, transmèt nan modil la koleksyon. Pou egzanp, Cisco sipòte pwotokòl Netflow la pa sèlman sou routeurs ak switch, ki gen ladan yo vityèl ak endistriyèl, men tou sou kontwolè san fil, firewall e menm sèvè.
• Koleksyon koule. Lè ou konsidere ke yon rezo modèn anjeneral gen plis pase yon aparèy rezo, pwoblèm nan kolekte ak konsolide koule rive, ki rezoud lè l sèvi avèk sa yo rele pèseptè, ki trete koule yo resevwa ak Lè sa a, transmèt yo pou analiz.
• Analiz koule Analizè a pran sou travay prensipal la entelektyèl epi, aplike divès algoritm nan kouran dlo, tire sèten konklizyon. Pou egzanp, kòm yon pati nan yon fonksyon IT, tankou yon analizeur ka idantifye bouche rezo oswa analize pwofil la chaj trafik pou plis optimize rezo. Ak pou sekirite enfòmasyon, tankou yon analizeur ka detekte fwit done, gaye nan kòd move oswa atak DoS.

Pa panse ke achitekti twa-niveau sa a twò konplike - tout lòt opsyon (eksepte, petèt, sistèm siveyans rezo k ap travay ak SNMP ak RMON) tou travay dapre li. Nou gen yon dèlko done pou analiz, ki kapab yon aparèy rezo oswa yon Capteur otonòm. Nou gen yon sistèm koleksyon alam ak yon sistèm jesyon pou tout enfrastrikti siveyans la. De dènye eleman yo ka konbine nan yon sèl ne, men nan rezo plis oswa mwens gwo yo anjeneral gaye sou omwen de aparèy yo nan lòd asire évolutivité ak fyab.

Kontrèman ak analiz pake, ki baze sou etidye antèt ak done kò chak pake ak sesyon yo li konsiste de, analiz koule depann sou kolekte metadata sou trafik rezo a. Lè, konbyen, ki kote ak ki kote, ki jan... sa yo se kesyon yo reponn nan analiz la nan telemetri rezo lè l sèvi avèk pwotokòl koule divès kalite. Okòmansman, yo te itilize yo analize estatistik ak jwenn pwoblèm IT sou rezo a, men answit, kòm mekanis analyse devlope, li te vin posib pou aplike yo nan menm telemetri a pou rezon sekirite. Li vo anyen ankò ke analiz koule pa ranplase oswa ranplase kaptire pake. Chak nan metòd sa yo gen pwòp zòn aplikasyon li yo. Men, nan kontèks atik sa a, se analiz koule ki pi byen adapte pou kontwole enfrastrikti entèn yo. Ou gen aparèy rezo (si yo opere nan yon paradigm lojisyèl defini oswa selon règ estatik) ke yon atak pa ka kontoune. Li ka kontoune yon Capteur IDS klasik, men yon aparèy rezo ki sipòte pwotokòl koule a pa kapab. Sa a se avantaj nan metòd sa a.

Nan lòt men an, si ou bezwen prèv pou fè respekte lalwa oswa pwòp ekip envestigasyon ensidan ou a, ou pa ka fè san yo pa kaptire pake - telemetri rezo se pa yon kopi trafik ki ka itilize pou kolekte prèv; li nesesè pou deteksyon rapid ak pran desizyon nan domèn sekirite enfòmasyon. Nan lòt men an, lè l sèvi avèk analiz telemetrik, ou ka "ekri" pa tout trafik rezo (si anyen, Cisco kontra ak sant done :-), men se sèlman sa ki enplike nan atak la. Zouti analiz telemetrik nan sans sa a pral konplete mekanis kaptire pake tradisyonèl yo byen, bay kòmandman pou kaptire selektif ak depo. Sinon, ou pral oblije gen yon enfrastrikti depo kolosal.

Ann imajine yon rezo k ap fonksyone ak yon vitès 250 Mbit/sec. Si ou vle estoke tout volim sa a, Lè sa a, w ap bezwen 31 MB nan depo pou yon segonn nan transmisyon trafik, 1,8 GB pou yon minit, 108 GB pou yon èdtan, ak 2,6 TB pou yon sèl jou. Pou estoke done chak jou ki sòti nan yon rezo ki gen yon lajè 10 Gbit/s, w ap bezwen 108 TB depo. Men, kèk regilatè mande pou estoke done sekirite pou ane... Anrejistreman sou demann, ki analiz koule ede ou aplike, ede diminye valè sa yo pa lòd nan grandè. By wout la, si nou pale sou rapò a nan volim nan done telemetri rezo anrejistre ak kaptire done konplè, Lè sa a, li se apeprè 1 a 500. Pou menm valè yo bay pi wo a, estoke yon transkripsyon konplè nan tout trafik chak jou. pral 5 ak 216 GB, respektivman (ou ka menm anrejistre li sou yon kondwi flash regilye).

Si pou zouti pou analize done rezo anvan tout koreksyon, metòd pou kaptire li se prèske menm bagay la tou de machann an machann, Lè sa a, nan ka analiz koule sitiyasyon an diferan. Gen plizyè opsyon pou pwotokòl koule, diferans ki genyen nan ki ou bezwen konnen sou nan yon kontèks sekirite. Ki pi popilè a se pwotokòl Netflow devlope pa Cisco. Gen plizyè vèsyon pwotokòl sa a, diferan nan kapasite yo ak kantite enfòmasyon trafik yo anrejistre. Vèsyon aktyèl la se nevyèm lan (Netflow v9), sou baz endistri estanda Netflow v10, ke yo rele tou IPFIX, te devlope. Jodi a, pifò machann rezo sipòte Netflow oswa IPFIX nan ekipman yo. Men, gen plizyè lòt opsyon pou pwotokòl koule - sFlow, jFlow, cFlow, rFlow, NetStream, elatriye, nan ki sFlow se pi popilè. Li se kalite sa a ki pi souvan sipòte pa manifaktirè domestik nan ekipman rezo akòz fasilite li yo nan aplikasyon. Ki diferans ki genyen ant Netflow, ki te vin tounen yon estanda defakto, ak sFlow? Mwen ta mete aksan sou plizyè kle yo. Premyèman, Netflow gen jaden itilizatè-personnalizable kòm opoze ak jaden yo fiks nan sFlow. Ak dezyèmman, e sa a se bagay ki pi enpòtan nan ka nou an, sFlow kolekte sa yo rele telemetry echantiyon; Kontrèman ak yon sèl ki pa echantiyon pou Netflow ak IPFIX. Ki diferans ki genyen ant yo?

Imajine ke ou deside li liv la "Sant Operasyon Sekirite: Konstriksyon, Opere, ak Antretyen SOC ou a” nan kòlèg mwen yo - Gary McIntyre, Joseph Munitz ak Nadem Alfardan (ou ka telechaje yon pati nan liv la nan lyen an). Ou gen twa opsyon pou reyalize objektif ou - li tout liv la, ekreme nan li, kanpe nan chak 10yèm oswa 20yèm paj, oswa eseye jwenn yon rakonte konsèp kle sou yon blog oswa sèvis tankou SmartReading. Se konsa, telemetri san echantiyon ap li chak "paj" nan trafik rezo a, se sa ki, analize metadata pou chak pake. Sampled telemetry se etid la selektif nan trafik nan espwa ke echantiyon yo chwazi yo pral genyen sa ou bezwen. Tou depan de vitès chanèl la, yo pral voye echantiyon telemetri pou analiz chak 64yèm, 200yèm, 500yèm, 1000yèm, 2000yèm oswa menm 10000yèm pake.

Nan kontèks siveyans sekirite enfòmasyon, sa vle di ke echantiyon telemetrik byen adapte pou detekte atak DDoS, analize, ak gaye kòd move, men li ka rate atak atomik oswa milti-pake ki pa te enkli nan echantiyon an voye pou analiz la. Télémétrie san echantiyon pa gen dezavantaj sa yo. Avèk sa a, seri atak detekte yo pi laj. Men yon ti lis evènman ki ka detekte lè l sèvi avèk zouti analiz telemetri rezo.

Natirèlman, kèk analizè Netflow sous louvri pa pral pèmèt ou fè sa, depi travay prensipal li se kolekte telemetri ak fè analiz debaz sou li nan yon pwen de vi IT. Pou idantifye menas sekirite enfòmasyon ki baze sou koule, li nesesè pou ekipe analizè a ak divès kalite motè ak algoritm, ki pral idantifye pwoblèm sekirite cybersecurity ki baze sou jaden Netflow estanda oswa koutim, anrichi done estanda ak done ekstèn ki soti nan divès sous entèlijans menas, elatriye.

Se poutèt sa, si ou gen yon chwa, Lè sa a, chwazi Netflow oswa IPFIX. Men, menm si ekipman ou a sèlman travay ak sFlow, tankou manifaktirè domestik, Lè sa a, menm nan ka sa a ou ka benefisye de li nan yon kontèks sekirite.

Nan ete 2019 la, mwen te analize kapasite ke manifaktirè rezo pyès ki nan konpitè Larisi yo genyen ak tout yo, eksepte NSG, Polygon ak Craftway, te anonse sipò pou sFlow (omwen Zelax, Natex, Eltex, QTech, Rusteleteh).

Pwochen kesyon ou pral fè fas a se ki kote pou aplike sipò koule pou rezon sekirite? An reyalite, kesyon an pa poze totalman kòrèkteman. Ekipman modèn prèske toujou sipòte pwotokòl koule. Se poutèt sa, mwen ta refòmile kesyon an yon fason diferan - ki kote li pi efikas nan kolekte telemetry soti nan yon pwen de vi sekirite? Repons lan pral byen evidan - nan nivo aksè, kote ou pral wè 100% nan tout trafik, kote ou pral gen enfòmasyon detaye sou lame (MAC, VLAN, ID koòdone), kote ou ka menm kontwole trafik P2P ant lame, ki se kritik pou eskanè deteksyon ak distribisyon kòd move. Nan nivo debaz la, ou ka tou senpleman pa wè kèk nan trafik la, men nan nivo perimèt la, ou pral wè yon ka nan tout trafik rezo ou. Men, si pou kèk rezon ou gen aparèy etranje sou rezo ou ki pèmèt atakè yo "antre ak sòti" san yo pa kontoune perimèt la, Lè sa a, analize telemetri a soti nan li pa pral ba ou anyen. Se poutèt sa, pou pwoteksyon maksimòm, li rekòmande pou pèmèt koleksyon telemetrik nan nivo aksè. An menm tan an, li vo anyen ke menm si nou ap pale de Virtualization oswa resipyan, sipò koule tou souvan jwenn nan switch modèn vityèl, ki pèmèt ou kontwole trafik la tou.

Men, depi mwen te soulve sijè a, mwen bezwen reponn kesyon an: e si ekipman an, fizik oswa vityèl, pa sipòte pwotokòl koule? Oswa èske enklizyon li yo entèdi (pa egzanp, nan segman endistriyèl asire fyab)? Oswa èske vire li sou mennen nan gwo chaj CPU (sa rive sou pyès ki nan konpitè ki pi gran)? Pou rezoud pwoblèm sa a, gen espesyalize detèktè vityèl (detèktè koule), ki se esansyèlman divizeur òdinè ki pase trafik nan tèt yo epi difize li nan fòm lan nan koule nan modil koleksyon an. Se vre, nan ka sa a nou jwenn tout pwoblèm sa yo ke nou te pale sou pi wo a an relasyon ak zouti kaptire pake. Sa vle di, ou bezwen konprann pa sèlman avantaj ki genyen nan teknoloji analiz koule, men tou, limit li yo.

Yon lòt pwen ki enpòtan sonje lè w ap pale de zouti analiz koule. Si an relasyon ak mwayen konvansyonèl yo jenere evènman sekirite nou itilize metrik EPS (evènman pou chak segonn), Lè sa a, endikatè sa a pa aplikab nan analiz telemetrik; li ranplase pa FPS (koule pou chak segonn). Kòm nan ka EPS, li pa ka kalkile davans, men ou ka estime kantite apwoksimatif fil ke yon aparèy patikilye jenere depann sou travay li. Ou ka jwenn tab sou entènèt la ak valè apwoksimatif pou diferan kalite aparèy antrepriz ak kondisyon, ki pral pèmèt ou estime ki lisans ou bezwen pou zouti analiz ak ki sa achitekti yo pral ye? Reyalite a se ke Capteur IDS la limite pa yon sèten Pleasant ke li ka "rale", ak pèseptè a koule gen limit pwòp li yo ki dwe konprann. Se poutèt sa, nan gwo rezo jeyografik distribiye anjeneral gen plizyè pèseptè. Lè mwen te dekri ki jan rezo a kontwole andedan Cisco, Mwen te deja bay nimewo a nan pèseptè nou yo - gen 21 nan yo E sa a se pou yon rezo gaye sou senk kontinan ak nimewo apeprè mwatye yon milyon aparèy aktif).

Nou itilize pwòp solisyon nou an kòm yon sistèm siveyans Netflow Sou entènèt jwèt Cisco Stealthwatch, ki espesyalman konsantre sou rezoud pwoblèm sekirite. Li gen anpil motè entegre pou detekte aktivite anòmal, sispèk ak byen klè move, sa ki pèmèt li detekte yon pakèt menas diferan - soti nan cryptomining nan fwit enfòmasyon, soti nan gaye kòd move nan fwod. Tankou pifò analizè koule, Stealthwatch bati dapre yon konplo twa nivo (dèlko - pèseptè - analizeur), men li se complétée ak yon kantite karakteristik enteresan ki enpòtan nan kontèks materyèl la anba konsiderasyon. Premyèman, li entegre ak solisyon kaptire pake (tankou Cisco Security Packet Analyzer), ki pèmèt ou anrejistre sesyon rezo chwazi pou pita ankèt apwofondi ak analiz. Dezyèmman, espesyalman pou elaji travay sekirite yo, nou devlope yon pwotokòl espesyal nvzFlow, ki pèmèt ou "difize" aktivite aplikasyon yo sou nœuds fen (sèvè, estasyon travay, elatriye) nan telemetrik epi transmèt li bay pèseptè a pou plis analiz. Si nan vèsyon orijinal li Stealthwatch travay ak nenpòt pwotokòl koule (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) nan nivo rezo a, Lè sa a, sipò nvzFlow pèmèt korelasyon done tou nan nivo ne, kidonk. ogmante efikasite nan tout sistèm nan ak wè plis atak pase analizè konvansyonèl rezo koule.

Li klè ke lè w ap pale de sistèm analiz Netflow soti nan yon pwen de vi sekirite, mache a pa limite a yon solisyon sèl soti nan Cisco. Ou ka itilize tou de solisyon komèsyal ak gratis oswa pataje. Li byen etranj si mwen site solisyon konpetitè yo kòm egzanp sou blog Cisco a, kidonk mwen pral di kèk mo sou ki jan telemetri rezo ka analize lè l sèvi avèk de popilè, menm jan an nan non, men yo toujou diferan zouti - SiLK ak ELK.

SiLK se yon seri zouti (Sistèm pou Konesans nan nivo Entènèt) pou analiz trafik, devlope pa Ameriken CERT/CC e ki sipòte, nan kontèks atik jodi a, Netflow (5yèm ak 9yèm, vèsyon ki pi popilè), IPFIX. ak sFlow epi sèvi ak divès kalite sèvis piblik (rwfilter, rwcount, rwflowpack, elatriye) pou fè divès operasyon sou telemetri rezo a pou detekte siy aksyon san otorizasyon ladan l. Men, gen yon koup nan pwen enpòtan yo sonje. SiLK se yon zouti liy kòmand ki fè analiz sou entènèt lè li antre kòmandman tankou sa a (deteksyon pake ICMP ki pi gwo pase 200 octets):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

pa trè alèz. Ou ka sèvi ak entèfas iSiLK a, men li pa pral fè lavi ou pi fasil, sèlman rezoud fonksyon vizyalizasyon an epi li pa ranplase analis la. Epi sa a se dezyèm pwen an. Kontrèman ak solisyon komèsyal yo, ki deja gen yon baz analyse solid, algoritm deteksyon anomali, workflow korespondan, elatriye, nan ka SiLK ou pral oblije fè tout bagay sa yo tèt ou, ki pral mande pou yon ti kras diferan konpetans nan men ou pase nan itilize deja pare- zouti pou itilize. Sa a se ni bon ni move - sa a se yon karakteristik nan prèske nenpòt zouti gratis ki sipoze ke ou konnen ki sa yo dwe fè, epi li pral sèlman ede ou ak sa a (zouti komèsyal yo gen mwens depann sou konpetans yo nan itilizatè li yo, byenke yo menm tou yo sipoze. ke analis yo konprann omwen baz nan envestigasyon rezo ak siveyans). Men, ann retounen nan SILK. Sik travay analis la ak li sanble sa a:

• Fòmile yon ipotèz. Nou dwe konprann ki sa nou pral chèche andedan telemetri rezo, konnen atribi inik yo pa ki nou pral idantifye anomali oswa menas sèten.
• Bati yon modèl. Lè nou te fòme yon ipotèz, nou pwograme li lè l sèvi avèk menm Python, koki oswa lòt zouti ki pa enkli nan SiLK.
• Tès. Koulye a, vini nan tcheke kòrèk ipotèz nou an, ki konfime oswa demantite lè l sèvi avèk sèvis piblik SiLK kòmanse ak 'rw', 'set', 'sak'.
• Analiz done reyèl. Nan operasyon endistriyèl, SiLK ede nou idantifye yon bagay epi analis la dwe reponn kesyon yo "Èske nou te jwenn sa nou te espere?", "Èske sa a koresponn ak ipotèz nou an?", "Ki jan pou redwi kantite fo pozitif?", "Kijan. pou amelyore nivo rekonesans? ak sou sa.
• Amelyorasyon. Nan etap final la, nou amelyore sa ki te fè pi bonè - nou kreye modèl, amelyore ak optimize kòd la, reformula ak klarifye ipotèz la, elatriye.

Sik sa a pral aplikab tou pou Cisco Stealthwatch, sèlman dènye a otomatize senk etap sa yo nan maksimòm, diminye kantite erè analis yo ak ogmante efikasite nan deteksyon ensidan. Pou egzanp, nan SiLK ou ka anrichi estatistik rezo a ak done ekstèn sou IP move lè l sèvi avèk scripts ekri alamen, ak nan Cisco Stealthwatch li se yon fonksyon entegre ki imedyatman montre yon alam si trafik rezo a gen entèraksyon ak adrès IP ki soti nan lis nwa a.

Si ou ale pi wo "peye" piramid la pou lojisyèl analiz koule, Lè sa a, apre SiLK a absoliman gratis pral gen yon ELK shareware, ki gen ladan twa eleman kle - Elasticsearch (indexing, rechèch ak analiz done), Logstash (donne antre / pwodiksyon). ) ak Kibana (vizyalizasyon). Kontrèman ak SiLK, kote ou dwe ekri tout bagay tèt ou, ELK deja gen anpil bibliyotèk / modil pare (kèk peye, kèk pa) ki otomatize analiz la nan telemetri rezo. Pou egzanp, filtè GeoIP nan Logstash pèmèt ou asosye adrès IP kontwole ak kote jeyografik yo (Stealthwatch gen karakteristik sa a entegre).

ELK genyen tou yon kominote ki byen gwo k ap konplete eleman ki manke yo pou solisyon siveyans sa a. Pou egzanp, pou travay ak Netflow, IPFIX ak sFlow ou ka itilize modil la elastiflow, si ou pa satisfè ak Logstash Netflow Modil la, ki sèlman sipòte Netflow.

Pandan ke li bay plis efikasite nan kolekte koule ak rechèch nan li, ELK kounye a manke analiz rich entegre pou detekte anomali ak menas nan telemetri rezo. Sa vle di, apre sik lavi ki dekri pi wo a, w ap oblije dekri modèl vyolasyon poukont yo epi sèvi ak li nan sistèm konba a (pa gen okenn modèl entegre la).

Gen, nan kou, ekstansyon plis sofistike pou ELK, ki deja genyen kèk modèl pou detekte anomali nan telemetri rezo, men ekstansyon sa yo koute lajan ak isit la kesyon an se si jwèt la vo chandèl la - ekri yon modèl menm jan an tèt ou, achte li yo. aplikasyon pou zouti siveyans ou a, oswa achte solisyon pare-fè nan klas la Analiz Trafik Rezo.

An jeneral, mwen pa vle antre nan deba a ke li pi bon depanse lajan epi achte yon solisyon pare pou siveyans anomali ak menas nan telemetri rezo (pa egzanp, Cisco Stealthwatch) oswa kalkile li soti tèt ou ak Customize menm bagay la. SILK, ELK oswa nfdump oswa OSU Flow Tools pou chak nouvo menas (m ap pale sou de dènye yo te di Denye fwa)? Tout moun chwazi pou tèt yo ak tout moun gen pwòp motif yo pou chwazi nenpòt nan de opsyon yo. Mwen jis te vle montre ke telemetri rezo se yon zouti trè enpòtan nan asire sekirite rezo a nan enfrastrikti entèn ou epi ou pa ta dwe neglije li, se konsa yo pa rantre nan lis la nan konpayi ki gen non yo mansyone nan medya yo ansanm ak epitèt yo ". rache", "ki pa konfòme ak kondisyon sekirite enfòmasyon" ", "pa panse sou sekirite done yo ak done kliyan yo."

Pou rezime, mwen ta renmen lis konsèy kle ou ta dwe swiv lè w ap bati siveyans sekirite enfòmasyon sou enfrastrikti entèn ou:

1. Pa jis limite tèt ou nan perimèt la! Sèvi ak (epi chwazi) enfrastrikti rezo non sèlman pou deplase trafik soti nan pwen A a nan pwen B, men tou pou adrese pwoblèm sekirite sibè.
2. Etidye mekanis siveyans sekirite enfòmasyon ki egziste deja nan ekipman rezo ou epi sèvi ak yo.
3. Pou siveyans entèn, bay preferans analiz telemetrik - li pèmèt ou detekte jiska 80-90% nan tout ensidan sekirite enfòmasyon rezo a, pandan w ap fè sa ki enposib lè w ap kaptire pake rezo ak ekonomize espas pou estoke tout evènman sekirite enfòmasyon yo.
4. Pou kontwole koule, sèvi ak Netflow v9 oswa IPFIX - yo bay plis enfòmasyon nan yon kontèks sekirite epi pèmèt ou kontwole pa sèlman IPv4, men tou, IPv6, MPLS, elatriye.
5. Sèvi ak yon pwotokòl koule san echantiyon - li bay plis enfòmasyon pou detekte menas. Pou egzanp, Netflow oswa IPFIX.
6. Tcheke chaj la sou ekipman rezo ou - li ka pa kapab okipe pwotokòl la koule tou. Lè sa a, konsidere itilize detèktè vityèl oswa Netflow Generation Appliance.
7. Aplike kontwòl premye nan tout nivo aksè - sa a pral ba ou opòtinite pou wè 100% nan tout trafik.
8. Si ou pa gen okenn chwa epi w ap itilize ekipman rezo Ris, Lè sa a, chwazi youn ki sipòte pwotokòl koule oswa ki gen pò SPAN / RSPAN.
9. Konbine entrizyon/atak deteksyon/prevansyon sistèm nan bor yo ak sistèm analiz koule nan rezo entèn la (ki gen ladan nan nwaj yo).

Konsènan dènye konsèy la, mwen ta renmen bay yon ilistrasyon ke mwen te deja bay anvan. Ou wè ke si anvan sèvis sekirite enfòmasyon Cisco a prèske antyèman bati sistèm siveyans sekirite enfòmasyon li yo sou baz sistèm deteksyon entrizyon ak metòd siyati, kounye a yo konte pou sèlman 20% nan ensidan yo. Yon lòt 20% tonbe sou sistèm analiz koule, ki sijere ke solisyon sa yo se pa yon kapris, men yon zouti reyèl nan aktivite yo nan sèvis sekirite enfòmasyon nan yon antrepriz modèn. Anplis, ou gen bagay ki pi enpòtan pou aplikasyon yo - enfrastrikti rezo, envèstisman nan ki ka plis pwoteje pa plase fonksyon siveyans sekirite enfòmasyon nan rezo a.

Mwen espesyalman pa t 'manyen sou sijè a nan reponn a anomali oswa menas idantifye nan koule rezo a, men mwen panse ke li deja klè ke siveyans pa ta dwe fini sèlman ak deteksyon an nan yon menas. Li ta dwe swiv pa yon repons epi de preferans nan yon mòd otomatik oswa otomatik. Men, sa a se yon sijè pou yon atik separe.

Lòt Enfòmasyon:

• Deskripsyon Cisco IOS Netflow
• Matris sipò Netflow nan divès solisyon Cisco
• Gid pou konfigirasyon Netflow sou plizyè platfòm Cisco
• Kominote sFlow
• Laboratwa lè l sèvi avèk Stealtjwatch, SiLK ak ELK pou analize Netflow nan yon pèspektiv sekirite
• Sit entènèt SILK
• Gid twasan paj pou itilize SiLK ak tòn egzanp
• Logstash Netflow Modil
• Gid etap pa etap Cisco pou analiz Netflow nan ELK
• Analiz de NetFlow v.9 Cisco ASA lè l sèvi avèk Logstash (ELK)
• Solisyon Cisco Stealthwatch

PS. Si li pi fasil pou ou tande tout sa ki te ekri pi wo a, Lè sa a, ou ka gade prezantasyon an èdtan ki te fòme baz nòt sa a.

Sous: www.habr.com