StealthWatch: ניתוח וחקירה של אירועים. חלק 3

Cisco StealthWatch הינו פתרון אנליטי בתחום אבטחת המידע המעניק ניטור מקיף של איומים ברשת מבוזרת. StealthWatch מבוסס על איסוף NetFlow ו-IPFIX מנתבים, מתגים והתקני רשת אחרים. כתוצאה מכך, הרשת הופכת לחיישן רגיש ומאפשרת למנהל המערכת להסתכל על מקומות שאליהם שיטות אבטחת רשת מסורתיות, כמו חומת האש של הדור הבא, אינן יכולות להגיע.

במאמרים קודמים כבר כתבתי על StealthWatch: היכרות ראשונה והזדמנויותו - פריסה ותצורה. כעת אני מציע להמשיך הלאה ולדון כיצד לעבוד עם אזעקות ולחקור אירועי אבטחה שהפתרון מייצר. יהיו 6 דוגמאות שאני מקווה שיתנו מושג טוב לגבי התועלת של המוצר.

ראשית, יש לומר של-StealthWatch יש חלוקה מסוימת של אזעקות בין אלגוריתמים והזנות. הראשונים הם סוגים שונים של אזעקות (התראות), כאשר מופעלות, אתה יכול לזהות דברים חשודים ברשת. השני הם אירועים ביטחוניים. מאמר זה יסתכל על 4 דוגמאות של אלגוריתמים שהופעלו ו-2 דוגמאות של עדכונים.

1. ניתוח האינטראקציות הגדולות ביותר בתוך הרשת

השלב הראשוני בהגדרת StealthWatch הוא הגדרת מארחים ורשתות לקבוצות. בלשונית ממשק האינטרנט תצורה > ניהול קבוצות מארח יש לסווג רשתות, מארחים ושרתים לקבוצות מתאימות. אתה יכול גם ליצור קבוצות משלך. אגב, ניתוח אינטראקציות בין מארחים ב-Cisco StealthWatch הוא די נוח, מכיוון שאתה יכול לא רק לשמור מסנני חיפוש לפי זרם, אלא גם את התוצאות עצמן.

מלכתחילה, בממשק האינטרנט עליך לעבור ללשונית ניתוח > חיפוש זרימה. לאחר מכן עליך להגדיר את הפרמטרים הבאים:

• סוג חיפוש - שיחות מובילות (האינטראקציות הפופולריות ביותר)
• טווח זמן - 24 שעות (פרק זמן, אתה יכול להשתמש באחר)
• שם חיפוש - שיחות מובילות בפנים-בפנים (כל שם ידידותי)
• נושא - קבוצות מארחות → מארחים פנימיים (מקור - קבוצת מארחים פנימיים)
• חיבור (תוכל לציין יציאות, יישומים)
• עמית - קבוצות מארח → מארחים פנימיים (יעד - קבוצת צמתים פנימיים)
• באפשרויות מתקדמות, ניתן בנוסף לציין את האספן שממנו יוצגו הנתונים, מיון הפלט (לפי בתים, זרמים וכו'). אני אשאיר את זה כברירת מחדל.

לאחר לחיצה על הכפתור חיפוש מוצגת רשימה של אינטראקציות שכבר ממוינות לפי כמות הנתונים שהועברה.

בדוגמה שלי המארח 10.150.1.201 (שרת) מועבר בתוך שרשור אחד בלבד 1.5 GB תנועה למארח 10.150.1.200 (לקוח) לפי פרוטוקול MySQL. לַחְצָן נהל עמודות מאפשר לך להוסיף עוד עמודות לנתוני הפלט.

לאחר מכן, לפי שיקול דעתו של המנהל, תוכל ליצור כלל מותאם אישית שתמיד יפעיל סוג זה של אינטראקציה ויודיע לך באמצעות SNMP, אימייל או Syslog.

2. ניתוח של אינטראקציות לקוח-שרת האיטיות ביותר ברשת עבור עיכובים

תגיות SRT (זמן תגובה של שרת), RTT (זמן נסיעה הלוך ושוב) מאפשרים לך לגלות עיכובים בשרת ועיכובים כלליים ברשת. כלי זה שימושי במיוחד כאשר אתה צריך למצוא במהירות את הסיבה לתלונות משתמשים על יישום שפועל לאט.

שים לב: כמעט כל יצואני Netflow לא יודע איך שלח תגי SRT, RTT, לעתים קרובות כל כך, כדי לראות נתונים כאלה על FlowSensor, אתה צריך להגדיר שליחת עותק של תעבורה מהתקני רשת. FlowSensor בתורו שולח את ה-IPFIX המורחב אל FlowCollector.

נוח יותר לבצע את הניתוח הזה באפליקציית ה-Java StealtWatch, המותקנת במחשב המנהל.

כפתור ימני בעכבר מופעל מארחים מבפנים ועבור לכרטיסייה טבלת זרימה.

לחץ על סינון ולהגדיר את הפרמטרים הדרושים. לדוגמא:

• תאריך/שעה - ב-3 הימים האחרונים
• ביצועים — זמן נסיעה הלוך ושוב ממוצע >=50ms

לאחר הצגת הנתונים, עלינו להוסיף את שדות RTT ו-SRT שמעניינים אותנו. לשם כך, לחץ על העמודה בצילום המסך ובחר בלחצן הימני של העכבר נהל עמודות. לאחר מכן, לחץ על פרמטרי RTT, SRT.

לאחר עיבוד הבקשה, מיינתי לפי ממוצע RTT וראיתי את האינטראקציות האיטיות ביותר.

כדי להיכנס למידע מפורט, לחץ לחיצה ימנית על הזרם ובחר תצוגה מהירה עבור Flow.

מידע זה מציין שהמארח 10.201.3.59 מהקבוצה מכירות ושיווק לפי פרוטוקול NFS מושך ל שרת DNS לדקה ו-23 שניות ויש לו פיגור נוראי. בכרטיסייה ממשקים תוכל לגלות מאיזה יצואן נתונים של Netflow המידע התקבל. בכרטיסייה טבלתי מידע מפורט יותר על האינטראקציה מוצג.

לאחר מכן, עליך לברר אילו מכשירים שולחים תנועה אל FlowSensor וסביר להניח שהבעיה טמונה שם.

יתרה מכך, StealthWatch ייחודי בכך שהיא מנהלת מניעת כפילות נתונים (משלבים את אותם זרמים). לכן, אתה יכול לאסוף כמעט מכל מכשירי Netflow ולא לפחד שיהיו הרבה נתונים כפולים. להיפך, בתכנית זו זה יעזור להבין לאיזה הופ יש את העיכובים הגדולים ביותר.

3. ביקורת של פרוטוקולי הצפנה של HTTPS

ETA (ניתוח תנועה מוצפן) היא טכנולוגיה שפותחה על ידי סיסקו המאפשרת לך לזהות חיבורים זדוניים בתעבורה מוצפנת מבלי לפענח אותה. יתרה מכך, טכנולוגיה זו מאפשרת לך "לנתח" HTTPS לגרסאות TLS ולפרוטוקולים קריפטוגרפיים המשמשים במהלך חיבורים. פונקציונליות זו שימושית במיוחד כאשר אתה צריך לזהות צמתי רשת המשתמשים בתקני קריפטו חלשים.

שים לב: תחילה עליך להתקין את אפליקציית הרשת ב-StealthWatch - ביקורת קריפטוגרפית של ETA.

עבור לכרטיסייה לוחות מחוונים ← ביקורת קריפטוגרפית של ETA ובחר את קבוצת המארחים שאנו מתכננים לנתח. עבור התמונה הכוללת, בואו לבחור מארחים מבפנים.

אתה יכול לראות שגרסת ה-TLS ותקן הקריפטו המתאים מופקים. לפי הסכימה הרגילה בעמודה פעולות לך ל הצג זרימות והחיפוש מתחיל בלשונית חדשה.

מהפלט ניתן לראות שהמארח 198.19.20.136 מעל שעות 12 השתמש ב-HTTPS עם TLS 1.2, שבו אלגוריתם ההצפנה AES-256 ופונקציית Hash SHA-384. לפיכך, ETA מאפשר לך למצוא אלגוריתמים חלשים ברשת.

4. ניתוח אנומליות ברשת

Cisco StealthWatch יכול לזהות חריגות תנועה ברשת באמצעות שלושה כלים: אירועי ליבה (אירועים ביטחוניים), אירועי זוגיות (אירועים של אינטראקציות בין מקטעים, צמתי רשת) ו ניתוח התנהגותי.

ניתוח התנהגות, בתורו, מאפשר לאורך זמן לבנות מודל התנהגות עבור מארח מסוים או קבוצת מארחים. ככל שתעבור יותר תנועה דרך StealthWatch, ההתראות יהיו מדויקות יותר הודות לניתוח זה. בהתחלה, המערכת מפעילה הרבה באופן שגוי, ולכן יש "לעוות" את הכללים ביד. אני ממליץ להתעלם מאירועים כאלה בשבועות הראשונים, מכיוון שהמערכת תתאים את עצמה, או תוסיף אותם לחריגים.

להלן דוגמה לכלל מוגדר מראש אנומליה, הקובע שהאירוע יפעל ללא אזעקה אם מארח בקבוצת Inside Hosts מקיים אינטראקציה עם קבוצת Inside Hosts ותוך 24 שעות התעבורה תעלה על 10 מגה בייט.

לדוגמה, בואו ניקח אזעקה אגירת נתונים, מה שאומר שמקור/יעד כלשהו העלה/הורד כמות גדולה באופן חריג של נתונים מקבוצת מארחים או מארח. לחץ על האירוע ועבור לטבלה שבה מצוינים המארחים המפעילים. לאחר מכן, בחר את המארח שאנו מעוניינים בו בעמודה אגירת נתונים.

מוצג אירוע המציין ש-162 "נקודות" זוהו, ולפי המדיניות, מותרות 100 "נקודות" - אלו מדדי StealthWatch פנימיים. בעמודה פעולות לִדחוֹף הצג זרימות.

אנחנו יכולים לראות את זה מארח נתון קיים אינטראקציה עם המארח בלילה 10.201.3.47 מהמחלקה שיווק ומכירות לפי פרוטוקול HTTPS והורדה 1.4 GB. אולי הדוגמה הזו לא לגמרי מוצלחת, אבל זיהוי של אינטראקציות אפילו עבור כמה מאות גיגה-בייט מתבצע בדיוק באותו אופן. לכן, חקירה נוספת של החריגות עשויה להוביל לתוצאות מעניינות.

שים לב: בממשק האינטרנט של SMC, הנתונים נמצאים בכרטיסיות לוחות מחוונים מוצגים רק עבור השבוע האחרון ובכרטיסייה צג במהלך השבועיים האחרונים. כדי לנתח אירועים ישנים יותר ולהפיק דוחות, עליך לעבוד עם מסוף ה-Java במחשב המנהל.

5. מציאת סריקות רשת פנימיות

עכשיו בואו נסתכל על כמה דוגמאות של עדכונים - אירועי אבטחת מידע. פונקציונליות זו מעניינת יותר אנשי אבטחה.

ישנם מספר סוגי אירועי סריקה מוגדרים מראש ב-StealthWatch:

• סריקת יציאות - המקור סורק יציאות מרובות במארח היעד.
• Addr tcp scan - המקור סורק את כל הרשת באותה יציאת TCP, משנה את כתובת ה-IP היעד. במקרה זה, המקור מקבל מנות TCP Reset או אינו מקבל תגובות כלל.
• Addr udp scan - המקור סורק את כל הרשת באותה יציאת UDP, תוך כדי שינוי כתובת ה-IP היעד. במקרה זה, המקור מקבל מנות ICMP Port Unreachable או אינו מקבל תגובות כלל.
• Ping Scan - המקור שולח בקשות ICMP לכל הרשת על מנת לחפש תשובות.
• Stealth Scan tсp/udp - המקור השתמש באותה יציאה כדי להתחבר למספר יציאות בצומת היעד בו זמנית.

כדי שיהיה נוח יותר למצוא את כל הסורקים הפנימיים בבת אחת, קיימת אפליקציית רשת עבור StealthWatch - הערכת נראות. עוברים ללשונית לוחות מחוונים ← הערכת נראות ← סורקי רשת פנימיים תראה אירועי אבטחה הקשורים לסריקה בשבועיים האחרונים.

על ידי לחיצה על הכפתור פרטים, תראה את תחילת הסריקה של כל רשת, את מגמת התעבורה ואת האזעקות המתאימות.

לאחר מכן, תוכל "להיכשל" בכניסה למארח מהכרטיסייה בצילום המסך הקודם ולראות אירועי אבטחה, כמו גם פעילות במהלך השבוע האחרון עבור מארח זה.

כדוגמה, בואו ננתח את האירוע סריקת יציאות מהמארח 10.201.3.149 על 10.201.0.72, לחיצה פעולות > זרימות קשורות. חיפוש שרשור מופעל ומוצג מידע רלוונטי.

איך אנחנו רואים את המארח הזה מאחד היציאות שלו 51508 / TCP סרק לפני 3 שעות את מארח היעד לפי נמל 22, 28, 42, 41, 36, 40 (TCP). חלק מהשדות אינם מציגים מידע גם מכיוון שלא כל שדות Netflow נתמכים ביצואן Netflow.

6. ניתוח תוכנות זדוניות שהורדו באמצעות CTA

CTA (Cognitive Threat Analytics) — ניתוח ענן של Cisco, שמשתלב בצורה מושלמת עם Cisco StealthWatch ומאפשר לך להשלים ניתוח נטול חתימות עם ניתוח חתימות. זה מאפשר לזהות סוסים טרויאניים, תולעי רשת, תוכנות זדוניות של Zero Day ותוכנות זדוניות אחרות ולהפיץ אותן בתוך הרשת. כמו כן, טכנולוגיית ETA שהוזכרה בעבר מאפשרת לך לנתח תקשורת זדונית כזו בתעבורה מוצפנת.

ממש בכרטיסייה הראשונה בממשק האינטרנט יש יישומון מיוחד ניתוח איומים קוגניטיבי. סיכום קצר מצביע על איומים שזוהו על מארחים של משתמשים: טרויאניות, תוכנות הונאה, תוכנות פרסום מעצבנות. המילה "מוצפן" מציינת למעשה את העבודה של ETA. על ידי לחיצה על מארח, כל המידע עליו, אירועי אבטחה, כולל יומני CTA, מופיע.

על ידי ריחוף מעל כל שלב ב-CTA, האירוע מציג מידע מפורט על האינטראקציה. לניתוח מלא, לחץ כאן צפה בפרטי האירוע, ותועבר לקונסולה נפרדת ניתוח איומים קוגניטיבי.

בפינה הימנית העליונה, מסנן מאפשר לך להציג אירועים לפי רמת חומרה. כאשר אתה מצביע על חריגה ספציפית, יומנים מופיעים בתחתית המסך עם ציר זמן מתאים בצד ימין. לפיכך, מומחה אבטחת המידע מבין בבירור איזה מארח נגוע, לאחר אילו פעולות, החל לבצע אילו פעולות.

להלן דוגמה נוספת - טרויאני בנקאי שהדביק את המארח 198.19.30.36. מארח זה החל לקיים אינטראקציה עם דומיינים זדוניים, והיומנים מציגים מידע על זרימת האינטראקציות הללו.

בשלב הבא, אחד הפתרונות הטובים ביותר שיכולים להיות הוא להסגר את המארח בזכות היליד שילוב עם Cisco ISE להמשך טיפול וניתוח.

מסקנה

פתרון Cisco StealthWatch הוא אחד המובילים בין מוצרי ניטור הרשת הן מבחינת ניתוח רשת והן מבחינת אבטחת מידע. הודות לו, אתה יכול לזהות אינטראקציות לא לגיטימיות בתוך הרשת, עיכובים באפליקציות, המשתמשים הפעילים ביותר, חריגות, תוכנות זדוניות ו-APTs. יתר על כן, אתה יכול למצוא סורקים, גולשים ולבצע ביקורת קריפטו של תעבורת HTTPS. אתה יכול למצוא אפילו יותר מקרי שימוש ב קשר.

אם תרצו לבדוק עד כמה הכל עובד בצורה חלקה ויעילה ברשת שלכם, שלח בקשה.
בעתיד הקרוב, אנו מתכננים עוד מספר פרסומים טכניים על מוצרי אבטחת מידע שונים. אם אתה מעוניין בנושא זה, עקוב אחר העדכונים בערוצים שלנו (מברק, פייסבוק, VK, בלוג פתרונות TS)!

מקור: www.habr.com