Protokol aliran minangka alat kanggo ngawasi keamanan jaringan internal

Nalika nerangake ngawasi keamanan jaringan internal perusahaan utawa departemen, akeh sing nggandhengake karo ngontrol bocor informasi lan ngleksanakake solusi DLP. Lan yen sampeyan nyoba njlentrehake pitakonan lan takon carane ndeteksi serangan ing jaringan internal, jawaban bakal, minangka aturan, bakal sebutno sistem deteksi intrusi (IDS). Lan pilihan mung 10-20 taun kepungkur dadi anakronisme saiki. Ana luwih efektif, lan ing sawetara panggonan, mung pilihan bisa kanggo ngawasi jaringan internal - nggunakake protokol aliran, kang Originally dirancang kanggo nelusuri masalah jaringan (troubleshooting), nanging liwat wektu rubah menyang alat keamanan menarik banget. Kita bakal ngomong babagan protokol aliran apa sing ana lan sing luwih apik kanggo ndeteksi serangan jaringan, sing paling apik kanggo ngleksanakake pemantauan aliran, apa sing kudu digoleki nalika ngetrapake skema kasebut, lan uga carane "ngangkat" kabeh iki ing peralatan domestik. ing ruang lingkup artikel iki.

Aku ora bakal mikir babagan pitakonan "Napa perlu ngawasi keamanan infrastruktur internal?" Jawabane katon cetha. Nanging yen sampeyan pengin nggawe manawa maneh dina iki sampeyan ora bisa urip tanpa iku, dipikir video singkat babagan carane sampeyan bisa nembus jaringan perusahaan sing dilindhungi dening firewall ing 17 cara. Mula, kita bakal nganggep manawa kita ngerti manawa ngawasi internal minangka perkara sing dibutuhake lan kabeh sing isih ana yaiku ngerti carane bisa diatur.

Aku bakal nyorot telung sumber data utama kanggo ngawasi infrastruktur ing tingkat jaringan:

• lalu lintas "mentah" sing dijupuk lan dikirim kanggo analisis menyang sistem analisis tartamtu,
• acara saka piranti jaringan sing dilewati lalu lintas,
• informasi lalu lintas ditampa liwat salah siji saka protokol aliran.

Nangkep lalu lintas mentah minangka pilihan sing paling populer ing kalangan spesialis keamanan, amarga sacara historis muncul lan dadi sing pertama. Sistem deteksi gangguan jaringan konvensional (sistem deteksi intrusi komersial pisanan yaiku NetRanger saka Wheel Group, sing dituku ing taun 1998 dening Cisco) kanthi tepat melu njupuk paket (lan sesi sabanjure) ing ngendi tandha-tandha tartamtu digoleki ("aturan sing nemtokake" ing terminologi FSTEC), serangan sinyal. Mesthi, sampeyan bisa nganalisa lalu lintas mentahan ora mung nggunakake IDS, nanging uga nggunakake piranti liyane (contone, Wireshark, tcpdum utawa fungsi NBAR2 ing Cisco IOS), nanging biasane kurang basis kawruh sing mbedakake piranti keamanan informasi saka biasa. alat IT.

Dadi, sistem deteksi serangan. Cara sing paling tuwa lan paling populer kanggo ndeteksi serangan jaringan, sing nindakake tugas sing apik ing keliling (ora ketompo - perusahaan, pusat data, segmen, lan liya-liyane), nanging gagal ing jaringan modern lan piranti lunak sing ditemtokake. Ing kasus jaringan sing dibangun kanthi basis switch konvensional, infrastruktur sensor deteksi serangan dadi gedhe banget - sampeyan kudu nginstal sensor ing saben sambungan menyang simpul sing pengin dipantau serangan. Sembarang pabrikan, mesthi, bakal seneng adol atusan lan ewu sensor, nanging aku mikir anggaran sampeyan ora bisa ndhukung biaya kasebut. Aku bisa ngomong sing malah ing Cisco (lan kita pangembang NGIPS) kita ora bisa nindakake iki, sanajan iku bakal katon yen masalah rega sadurunge kita. Aku ora kudu ngadeg - iku kaputusan kita dhewe. Kajaba iku, pitakonan muncul, carane nyambungake sensor ing versi iki? Ing jurang? Apa yen sensor dhewe gagal? Mbutuhake modul bypass ing sensor? Gunakake splitter (tap)? Kabeh iki ndadekake solusi luwih larang lan ora bisa dituku kanggo perusahaan saka ukuran apa wae.

Sampeyan bisa nyoba "nyumerepi" sensor ing port SPAN / RSPAN / ERSPAN lan lalu lintas langsung saka port ngalih sing dibutuhake. Opsi iki mbusak sebagian masalah sing diterangake ing paragraf sadurunge, nanging ndadekake siji liyane - port SPAN ora bisa nampa kabeh lalu lintas sing bakal dikirim menyang - ora bakal duwe bandwidth sing cukup. Sampeyan bakal kudu kurban soko. Ninggalake sawetara simpul tanpa ngawasi (banjur sampeyan kudu menehi prioritas dhisik), utawa ngirim ora kabeh lalu lintas saka simpul, nanging mung jinis tartamtu. Ing kasus apa wae, kita bisa uga kantun sawetara serangan. Kajaba iku, port SPAN bisa digunakake kanggo kabutuhan liyane. Akibaté, kita kudu mriksa topologi jaringan sing ana lan bisa uga nggawe pangaturan supaya bisa nutupi jaringan kanthi maksimal kanthi jumlah sensor sing sampeyan duwe (lan koordinasi karo IT).

Apa yen jaringan sampeyan nggunakake rute asimetris? Kepiye yen sampeyan wis ngetrapake utawa ngrancang kanggo ngetrapake SDN? Apa yen sampeyan kudu ngawasi mesin virtual utawa wadhah sing lalu lintas ora tekan switch fisik? Iki minangka pitakonan sing ora disenengi vendor IDS tradisional amarga ora ngerti carane mangsuli. Bisa uga dheweke bakal mbujuk sampeyan manawa kabeh teknologi modern iki hype lan sampeyan ora butuh. Mbok menawa dheweke bakal ngomong babagan kudu miwiti cilik. Utawa mungkin dheweke bakal ujar manawa sampeyan kudu nyelehake thresher sing kuat ing tengah jaringan lan ngarahake kabeh lalu lintas menyang nggunakake balancers. Apa wae pilihan sing ditawakake kanggo sampeyan, sampeyan kudu ngerti kanthi jelas carane cocog karo sampeyan. Lan mung sawise nggawe keputusan kanggo milih pendekatan kanggo ngawasi keamanan informasi infrastruktur jaringan. Bali menyang packet capture, aku pengin ngomong yen cara iki terus populer lan penting, nanging tujuan utamane yaiku kontrol wates; wates antarane organisasi lan Internet, wates antarane pusat data lan liyane saka jaringan, wates antarane sistem kontrol proses lan bagean perusahaan. Ing papan kasebut, IDS / IPS klasik isih duwe hak kanggo ana lan ngrampungake tugas kanthi apik.

Ayo pindhah menyang pilihan kapindho. Analisis acara sing teka saka piranti jaringan uga bisa digunakake kanggo tujuan deteksi serangan, nanging ora minangka mekanisme utama, amarga ngidini ndeteksi mung intrusi kelas cilik. Kajaba iku, ana sawetara reaktivitas - serangan kasebut kudu kedadeyan dhisik, banjur kudu direkam dening piranti jaringan, sing kanthi cara siji utawa liyane bakal menehi tandha masalah keamanan informasi. Ana sawetara cara kasebut. Iki bisa dadi syslog, RMON utawa SNMP. Rong protokol pungkasan kanggo ngawasi jaringan ing konteks keamanan informasi digunakake mung yen kita kudu ndeteksi serangan DoS ing peralatan jaringan dhewe, amarga nggunakake RMON lan SNMP bisa, contone, kanggo ngawasi beban ing tengah piranti. prosesor utawa antarmuka sawijining. Iki minangka salah sawijining "paling murah" (kabeh wong duwe syslog utawa SNMP), nanging uga sing paling ora efektif ing kabeh cara kanggo ngawasi keamanan informasi infrastruktur internal - akeh serangan sing mung didhelikake. Mesthi, padha ora kudu nguciwakake, lan analisis syslog padha mbantu pas wektune ngenali owah-owahan ing konfigurasi saka piranti dhewe, kompromi saka iku, nanging ora cocok banget kanggo ndeteksi serangan ing kabeh jaringan.

Opsi katelu yaiku nganalisa informasi babagan lalu lintas sing ngliwati piranti sing ndhukung salah siji saka sawetara protokol aliran. Ing kasus iki, preduli saka protokol, infrastruktur threading kudu kalebu telung komponen:

• Generasi utawa ekspor aliran. Peran iki biasane ditugasake menyang router, switch utawa piranti jaringan liyane, sing, kanthi ngliwati lalu lintas jaringan dhewe, ngidini sampeyan ngekstrak paramèter kunci kasebut, sing banjur dikirim menyang modul koleksi. Contone, Cisco ndhukung protokol Netflow ora mung ing router lan switch, kalebu virtual lan industri, nanging uga ing pengontrol nirkabel, firewall lan malah server.
• Aliran koleksi. Ngelingi yen jaringan modern biasane duwe luwih saka siji piranti jaringan, masalah ngumpulake lan nggabungake aliran muncul, sing ditanggulangi nggunakake kolektor sing disebut, sing ngolah aliran sing ditampa banjur ngirimake kanggo analisis.
• Analisis aliran Analisa njupuk tugas intelektual utama lan, nglamar macem-macem algoritma kanggo stream, nggawe kesimpulan tartamtu. Contone, minangka bagéan saka fungsi IT, analisa kuwi bisa ngenali bottlenecks jaringan utawa nganalisa profil beban lalu lintas kanggo optimasi jaringan luwih. Lan kanggo keamanan informasi, analisa kasebut bisa ndeteksi bocor data, panyebaran kode jahat utawa serangan DoS.

Aja mikir yen arsitektur telung tingkat iki rumit banget - kabeh opsi liyane (kajaba, mbok menawa, sistem pemantauan jaringan sing digunakake karo SNMP lan RMON) uga bisa digunakake. Kita duwe generator data kanggo analisis, sing bisa dadi piranti jaringan utawa sensor mandiri. Kita duwe sistem koleksi weker lan sistem manajemen kanggo kabeh infrastruktur pemantauan. Loro komponen pungkasan bisa digabungake ing siji simpul, nanging ing jaringan luwih utawa kurang gedhe biasane nyebar ing paling ora rong piranti kanggo njamin skalabilitas lan linuwih.

Ora kaya analisis paket, sing adhedhasar sinau header lan data awak saben paket lan sesi kasebut, analisis aliran gumantung ing ngumpulake metadata babagan lalu lintas jaringan. Kapan, pira, saka ngendi lan ing ngendi, kepiye ... iki pitakonan sing dijawab kanthi analisis telemetri jaringan nggunakake macem-macem protokol aliran. Kaping pisanan, padha digunakake kanggo nganalisa statistik lan nemokake masalah IT ing jaringan, nanging banjur, minangka mekanisme analitis dikembangaké, iku bisa kanggo aplikasi menyang telemetri padha kanggo tujuan keamanan. Perlu dicathet maneh yen analisis aliran ora ngganti utawa ngganti panangkepan paket. Saben metode kasebut duwe area aplikasi dhewe. Nanging ing konteks artikel iki, analisis aliran sing paling cocog kanggo ngawasi infrastruktur internal. Sampeyan duwe piranti jaringan (apa padha operate ing paradigma software-ditetepake utawa miturut aturan statis) sing serangan ora bisa lulus. Bisa ngliwati sensor IDS klasik, nanging piranti jaringan sing ndhukung protokol aliran ora bisa. Iki minangka kauntungan saka metode iki.

Ing sisih liya, yen sampeyan butuh bukti kanggo penegak hukum utawa tim investigasi insiden sampeyan dhewe, sampeyan ora bisa nindakake tanpa panangkepan paket - telemetry jaringan ora salinan lalu lintas sing bisa digunakake kanggo ngumpulake bukti; dibutuhake kanggo deteksi kanthi cepet lan nggawe keputusan ing bidang keamanan informasi. Ing tangan liyane, nggunakake analisis telemetri, sampeyan bisa "nulis" ora kabeh lalu lintas jaringan (yen ana, Cisco tawaran karo pusat data :-), nanging mung sing melu ing serangan. Alat analisis telemetri babagan iki bakal nglengkapi mekanisme panangkepan paket tradisional kanthi apik, menehi perintah kanggo njupuk lan panyimpenan sing selektif. Yen ora, sampeyan kudu duwe infrastruktur panyimpenan kolosal.

Coba bayangake jaringan sing beroperasi kanthi kacepetan 250 Mbit/detik. Yen sampeyan pengin nyimpen kabeh volume iki, sampeyan kudu 31 MB panyimpenan kanggo siji detik saka transmisi lalu lintas, 1,8 GB kanggo siji menit, 108 GB kanggo siji jam, lan 2,6 TB kanggo sedina. Kanggo nyimpen data saben dina saka jaringan kanthi bandwidth 10 Gbit/s, sampeyan butuh panyimpenan 108 TB. Nanging sawetara regulator mbutuhake nyimpen data keamanan nganti pirang-pirang taun. Miturut cara, yen kita ngomong babagan rasio volume data telemetri jaringan sing direkam lan njupuk data lengkap, mula kira-kira 1 nganti 500. Kanggo nilai sing padha ing ndhuwur, nyimpen transkrip lengkap kabeh lalu lintas saben dina. bakal 5 lan 216 GB, mungguh (sampeyan bisa malah ngrekam ing flash drive biasa ).

Yen kanggo alat kanggo nganalisa data jaringan mentah, cara njupuk meh padha saka vendor menyang vendor, banjur ing kasus analisis aliran kahanan beda. Ana sawetara opsi kanggo protokol aliran, beda sing sampeyan kudu ngerti babagan konteks keamanan. Paling populer yaiku protokol Netflow sing dikembangake dening Cisco. Ana sawetara versi protokol iki, beda karo kemampuan lan jumlah informasi lalu lintas sing direkam. Versi saiki yaiku nomer sanga (Netflow v9), sing adhedhasar standar industri Netflow v10, uga dikenal minangka IPFIX, dikembangake. Saiki, umume vendor jaringan ndhukung Netflow utawa IPFIX ing peralatane. Nanging ana macem-macem opsi liyane kanggo protokol aliran - sFlow, jFlow, cFlow, rFlow, NetStream, etc., kang sFlow paling populer. Iki jinis sing paling kerep didhukung dening manufaktur domestik peralatan jaringan amarga gampang kanggo implementasine. Apa bedane utama antarane Netflow, sing wis dadi standar de facto, lan sFlow? Aku bakal nyorot sawetara tombol. Kaping pisanan, Netflow nduweni kolom sing bisa disesuaikan karo pangguna tinimbang kolom tetep ing sFlow. Lan kapindho, lan iki sing paling penting ing kasus kita, sFlow nglumpukake supaya disebut-telemetri sampel; ing kontras kanggo unsampled kanggo Netflow lan IPFIX. Apa bedane antarane wong-wong mau?

Bayangna sampeyan mutusake maca buku "Pusat Operasi Keamanan: Bangunan, Operasi, lan Njaga SOC sampeyan” saka kanca-kancaku - Gary McIntyre, Joseph Munitz lan Nadem Alfardan (sampeyan bisa ngundhuh bagean saka buku saka link). Sampeyan duwe telung pilihan kanggo nggayuh tujuan sampeyan - maca kabeh buku, maca buku kasebut, mandheg ing saben kaca kaping 10 utawa kaping 20, utawa nyoba golek retelling konsep kunci ing blog utawa layanan kaya SmartReading. Dadi, telemetri tanpa sampel maca saben "kaca" lalu lintas jaringan, yaiku, nganalisa metadata kanggo saben paket. Sampled telemetry minangka studi selektif babagan lalu lintas kanthi pangarep-arep yen conto sing dipilih bakal ngemot apa sing sampeyan butuhake. Gumantung saka kacepetan saluran, telemetri sampel bakal dikirim kanggo dianalisis saben paket kaping 64, 200, 500, 1000, 2000 utawa malah kaping 10000.

Ing konteks ngawasi keamanan informasi, iki tegese telemetri sampel cocok kanggo ndeteksi serangan DDoS, mindhai, lan nyebarake kode angkoro, nanging bisa uga ora kejawab serangan atom utawa multi-paket sing ora kalebu ing sampel sing dikirim kanggo dianalisis. Telemetri tanpa sampel ora duwe kekurangan. Kanthi iki, sawetara serangan sing dideteksi luwih akeh. Iki minangka dhaptar acara sing bisa dideteksi nggunakake alat analisis telemetri jaringan.

Mesthine, sawetara penganalisa Netflow open source ora bakal ngidini sampeyan nindakake iki, amarga tugas utamane yaiku ngumpulake telemetri lan nindakake analisis dhasar saka sudut pandang IT. Kanggo ngenali ancaman keamanan informasi adhedhasar aliran, perlu kanggo nglengkapi penganalisa kanthi macem-macem mesin lan algoritma, sing bakal, adhedhasar lapangan Netflow standar utawa khusus, ngenali masalah keamanan siber, nambah data standar karo data eksternal saka macem-macem sumber Ancaman Intelligence, etc. .

Mulane, yen sampeyan duwe pilihan, banjur pilih Netflow utawa IPFIX. Nanging sanajan peralatan sampeyan mung bisa digunakake karo sFlow, kaya manufaktur domestik, sanajan ing kasus iki, sampeyan bisa entuk manfaat saka konteks keamanan.

Ing musim panas 2019, aku nganalisa kemampuan sing diduweni produsen hardware jaringan Rusia lan kabeh mau, ora kalebu NSG, Polygon lan Craftway, ngumumake dhukungan kanggo sFlow (paling ora Zelax, Natex, Eltex, QTech, Rusteleteh).

Pitakonan sabanjure sing bakal sampeyan adhepi yaiku ngendi kanggo ngetrapake dhukungan aliran kanggo tujuan keamanan? Nyatane, pitakonan kasebut ora diajukake kanthi bener. Peralatan modern meh tansah ndhukung protokol aliran. Mulane, aku bakal reformulate pitakonan beda - ngendi iku paling efektif kanggo ngumpulake telemetri saka sudut pandang keamanan? Jawaban bakal cukup ketok - ing tingkat akses, ngendi sampeyan bakal weruh 100% saka kabeh lalu lintas, ngendi sampeyan bakal duwe informasi rinci ing sarwa dumadi (MAC, VLAN, ID antarmuka), ngendi sampeyan bisa malah ngawasi lalu lintas P2P antarane sarwa dumadi, kang. kritis kanggo mindhai deteksi lan distribusi kode angkoro. Ing tingkat inti, sampeyan bisa uga ora weruh sawetara lalu lintas, nanging ing tingkat perimeter, sampeyan bakal weruh seprapat saka kabeh lalu lintas jaringan. Nanging yen ana sawetara alesan sampeyan duwe piranti manca ing jaringan sing ngidini panyerang "mlebu lan metu" tanpa ngliwati perimeter, banjur nganalisa telemetri saka iku ora bakal menehi apa-apa. Mulane, kanggo jangkoan maksimum, dianjurake kanggo ngaktifake koleksi telemetri ing tingkat akses. Ing wektu sing padha, perlu dicathet yen sanajan kita ngomong babagan virtualisasi utawa wadhah, dhukungan aliran uga asring ditemokake ing saklar virtual modern, sing ngidini sampeyan ngontrol lalu lintas ing kana.

Nanging wiwit aku wungu topik, Aku kudu njawab pitakonan: apa yen peralatan, fisik utawa virtual, ora ndhukung protokol aliran? Utawa ora dilebokake (contone, ing segmen industri kanggo njamin linuwih)? Utawa nguripake iku mimpin kanggo mbukak CPU dhuwur (iki mengkono ing hardware lawas)? Kanggo ngatasi masalah iki, ana sensor virtual khusus (sensor aliran), sing sejatine minangka splitter biasa sing ngliwati lalu lintas dhewe lan nyebarake ing wangun aliran menyang modul koleksi. Bener, ing kasus iki, kita entuk kabeh masalah sing kita rembugan ing ndhuwur babagan alat panangkepan paket. Yaiku, sampeyan kudu ngerti ora mung kaluwihan teknologi analisis aliran, nanging uga watesan.

Titik liyane sing penting kanggo elinga nalika ngomong babagan alat analisis aliran. Yen ana hubungane karo cara konvensional kanggo ngasilake acara keamanan, kita nggunakake metrik EPS (acara per detik), mula indikator iki ora bisa ditrapake kanggo analisis telemetri; iku diganti dening FPS (aliran per detik). Kaya ing kasus EPS, ora bisa diwilang luwih dhisik, nanging sampeyan bisa ngira kira-kira jumlah benang sing digawe piranti tartamtu gumantung saka tugase. Sampeyan bisa nemokake tabel ing Internet kanthi nilai kira-kira kanggo macem-macem jinis piranti lan kahanan perusahaan, sing bakal ngidini sampeyan ngira lisensi apa sing dibutuhake kanggo alat analisis lan apa arsitekture? Kasunyatane yaiku sensor IDS diwatesi dening bandwidth tartamtu sing bisa "narik", lan kolektor aliran duwe watesan dhewe sing kudu dingerteni. Mulane, ing jaringan gedhe sing disebarake sacara geografis biasane ana sawetara kolektor. Nalika aku diterangake carane jaringan wis teliti nang Cisco, Aku wis menehi nomer kolektor kita - ana 21. Lan iki kanggo jaringan sing kasebar ing limang bawana lan cacahe kira-kira setengah yuta piranti aktif).

Kita nggunakake solusi kita dhewe minangka sistem ngawasi Netflow Cisco Stealthwatch, sing fokus khusus kanggo ngrampungake masalah keamanan. Nduwe akeh mesin sing dibangun kanggo ndeteksi aktivitas anomali, curiga lan cetha, sing ngidini sampeyan ndeteksi macem-macem ancaman sing beda - saka cryptomining nganti bocor informasi, saka panyebaran kode jahat nganti penipuan. Kaya analisa aliran, Stealthwatch dibangun miturut skema telung tingkat (generator - kolektor - analisa), nanging ditambah karo sawetara fitur menarik sing penting ing konteks materi sing dipikirake. Pisanan, nggabungake karo solusi packet capture (kayata Cisco Security Packet Analyzer), sing ngidini sampeyan ngrekam sesi jaringan sing dipilih kanggo diselidiki lan analisis sing luwih jero. Kapindho, khusus kanggo nggedhekake tugas keamanan, kita wis ngembangake protokol nvzFlow khusus, sing ngidini sampeyan "nyiarake" kegiatan aplikasi ing simpul pungkasan (server, workstation, lan liya-liyane) menyang telemetri lan ngirim menyang kolektor kanggo analisis luwih lanjut. Yen ing versi asli Stealthwatch dianggo karo sembarang protokol aliran (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) ing tingkat jaringan, banjur nvzFlow support ngidini korélasi data uga ing tingkat simpul, mangkono. nambah efisiensi kabeh sistem lan ndeleng luwih akeh serangan tinimbang analisa aliran jaringan konvensional.

Cetha yen ngomong babagan sistem analisis Netflow saka sudut pandang keamanan, pasar ora diwatesi karo solusi siji saka Cisco. Sampeyan bisa nggunakake solusi komersial lan gratis utawa shareware. Cukup aneh yen aku nyebutake solusi pesaing minangka conto ing blog Cisco, mula aku bakal ngomong sawetara tembung babagan carane telemetri jaringan bisa dianalisis nggunakake rong alat sing populer, padha karo jeneng, nanging isih beda - SiLK lan ELK.

SiLK minangka sakumpulan alat (Sistem kanggo Kawruh Tingkat Internet) kanggo analisis lalu lintas, dikembangake dening CERT/CC Amerika lan ndhukung, ing konteks artikel saiki, Netflow (5th lan 9th, versi paling populer), IPFIX lan sFlow lan nggunakake macem-macem keperluan (rwfilter, rwcount, rwflowpack, etc.) kanggo nindakake macem-macem operasi ing telemetri jaringan supaya bisa ndeteksi pratandha saka tumindak ora sah ing. Nanging ana sawetara poin penting sing kudu dicathet. SiLK minangka alat baris perintah sing nindakake analisis on-line kanthi ngetik printah kaya iki (deteksi paket ICMP luwih gedhe tinimbang 200 byte):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ora kepenak banget. Sampeyan bisa nggunakake iSiLK GUI, nanging ora bakal nggawe urip luwih gampang, mung ngrampungake fungsi visualisasi lan ora ngganti Analyst. Lan iki titik kapindho. Ora kaya solusi komersial, sing wis duwe basis analitis sing padhet, algoritma deteksi anomali, alur kerja sing cocog, lan liya-liyane, ing kasus SiLK sampeyan kudu nindakake kabeh iki dhewe, sing mbutuhake kompetensi sing rada beda saka sampeyan saka nggunakake sing wis siap- alat kanggo nggunakake. Iki ora apik utawa ala - iki minangka fitur meh kabeh alat gratis sing nganggep sampeyan ngerti apa sing kudu ditindakake, lan mung bakal mbantu sampeyan (alat komersial kurang gumantung marang kompetensi pangguna, sanajan dheweke uga nganggep sing analis ngerti paling ora dhasar investigasi lan pemantauan jaringan). Nanging ayo bali menyang SiLK. Siklus kerja analis katon kaya iki:

• Ngrumusake hipotesis. Kita kudu ngerti apa sing bakal kita goleki ing telemetri jaringan, ngerti atribut unik sing bakal ngenali anomali utawa ancaman tartamtu.
• Nggawe model. Sawise ngrumusake hipotesis, program kasebut nggunakake Python, cangkang utawa alat liyane sing ora kalebu ing SiLK.
• Testing. Saiki giliran kanggo mriksa kabeneran hipotesis kita, sing dikonfirmasi utawa dibantah nggunakake keperluan SiLK diwiwiti kanthi 'rw', 'set', 'tas'.
• Analisis data nyata. Ing operasi industri, SiLK mbantu kita ngenali soko lan analis kudu njawab pitakonan "Apa kita nemokake apa sing dikarepake?", "Apa iki cocog karo hipotesis kita?", "Kepiye ngurangi jumlah positif palsu?", "Kepiye. kanggo nambah tingkat pangenalan? » lan liya-liyane.
• dandan. Ing tahap pungkasan, kita nambah apa sing ditindakake sadurunge - nggawe template, nambah lan ngoptimalake kode, ngrumusake maneh lan njlentrehake hipotesis, lsp.

Siklus iki uga bakal ditrapake kanggo Cisco Stealthwatch, mung sing pungkasan ngotomatisasi limang langkah kasebut kanthi maksimal, nyuda jumlah kesalahan analis lan nambah efisiensi deteksi kedadeyan. Contone, ing SiLK sampeyan bisa enrich statistik jaringan karo data external ing IPs angkoro nggunakake Tulisan tangan-ditulis, lan ing Cisco Stealthwatch iku fungsi dibangun ing langsung nuduhake weker yen lalu lintas jaringan ngemot interaksi karo alamat IP saka blacklist.

Yen sampeyan pindhah luwih dhuwur ing piramida "mbayar" kanggo piranti lunak analisis aliran, banjur sawise SiLK pancen gratis bakal ana ELK shareware, kalebu telung komponen utama - Elasticsearch (indeksasi, telusuran lan analisis data), Logstash (input / output data ) lan Kibana ( visualisasi ). Ora kaya SiLK, sampeyan kudu nulis kabeh dhewe, ELK wis duwe akeh perpustakaan / modul sing wis siap (sawetara sing dibayar, sawetara ora) sing ngotomatisasi analisis telemetri jaringan. Contone, panyaring GeoIP ing Logstash ngidini sampeyan nggandhengake alamat IP sing dipantau karo lokasi geografise (Stealthwatch duwe fitur sing dibangun).

ELK uga nduweni komunitas sing cukup gedhe sing ngrampungake komponen sing ilang kanggo solusi pemantauan iki. Contone, kanggo nggarap Netflow, IPFIX lan sFlow sampeyan bisa nggunakake modul kasebut elastiflow, yen sampeyan ora wareg karo Logstash Netflow Modul, kang mung ndhukung Netflow.

Nalika menehi efisiensi luwih akeh kanggo ngempalaken aliran lan nggoleki, ELK saiki ora duwe analytics sing dibangun kanggo ndeteksi anomali lan ancaman ing telemetri jaringan. Yaiku, sawise siklus urip sing diterangake ing ndhuwur, sampeyan kudu nggambarake model pelanggaran kanthi mandiri lan banjur digunakake ing sistem pertempuran (ora ana model sing dibangun ing kono).

Mesthi, ana ekstensi sing luwih canggih kanggo ELK, sing wis ngemot sawetara model kanggo ndeteksi anomali ing telemetri jaringan, nanging ekstensi kasebut larang regane lan ing kene pitakon apa game kasebut cocog karo lilin - nulis model sing padha dhewe, tuku dhewe. implementasine kanggo alat ngawasi sampeyan, utawa tuku solusi siap-siap saka kelas Analisis Lalu Lintas Jaringan.

Umumé, aku ora pengin njaluk menyang debat sing luwih apik kanggo nglampahi dhuwit lan tuku solusi siap kanggo ngawasi anomali lan ancaman ing telemetri jaringan (contone, Cisco Stealthwatch) utawa tokoh metu dhewe lan ngatur padha. SiLK, ELK utawa nfdump utawa Alat Aliran OSU kanggo saben ancaman anyar (Aku ngomong babagan loro pungkasan marang pungkasan wektu)? Saben uwong milih kanggo awake dhewe lan saben wong duwe motif dhewe kanggo milih salah siji saka rong pilihan kasebut. Aku mung pengin nuduhake yen telemetri jaringan minangka alat sing penting banget kanggo njamin keamanan jaringan infrastruktur internal sampeyan lan sampeyan ora kudu nglirwakake, supaya ora melu dhaptar perusahaan sing jenenge kasebut ing media bebarengan karo julukan " disusupi", "ora tundhuk karo syarat keamanan informasi" ", "ora mikir babagan keamanan data lan data pelanggan."

Kanggo ngringkes, aku pengin dhaptar tips utama sing kudu sampeyan tindakake nalika mbangun pemantauan keamanan informasi babagan infrastruktur internal sampeyan:

1. Aja mung matesi dhewe menyang keliling! Gunakake (lan pilih) infrastruktur jaringan ora mung kanggo mindhah lalu lintas saka titik A menyang titik B, nanging uga kanggo ngatasi masalah cybersecurity.
2. Sinau mekanisme pemantauan keamanan informasi sing ana ing peralatan jaringan lan gunakake.
3. Kanggo ngawasi internal, menehi pilihan kanggo analisis telemetri - ngidini sampeyan ndeteksi nganti 80-90% kabeh insiden keamanan informasi jaringan, nalika nindakake apa sing ora mungkin nalika njupuk paket jaringan lan ngirit papan kanggo nyimpen kabeh acara keamanan informasi.
4. Kanggo ngawasi aliran, gunakake Netflow v9 utawa IPFIX - nyedhiyakake informasi liyane ing konteks keamanan lan ngidini sampeyan ngawasi ora mung IPv4, nanging uga IPv6, MPLS, lsp.
5. Gunakake protokol aliran tanpa sampel - menehi informasi luwih lengkap kanggo ndeteksi ancaman. Contone, Netflow utawa IPFIX.
6. Priksa beban ing peralatan jaringan - bisa uga ora bisa nangani protokol aliran. Banjur nimbang nggunakake sensor virtual utawa Netflow Generation Appliance.
7. Ngleksanakake kontrol pisanan kabeh ing tingkat akses - iki bakal menehi sampeyan kesempatan kanggo ndeleng 100% saka kabeh lalu lintas.
8. Yen sampeyan ora duwe pilihan lan sampeyan nggunakake peralatan jaringan Rusia, pilih salah siji sing ndhukung protokol aliran utawa duwe port SPAN/RSPAN.
9. Gabungke sistem deteksi/pencegahan intrusi/serangan ing pinggir lan sistem analisis aliran ing jaringan internal (kalebu ing awan).

Babagan tip pungkasan, aku pengin menehi ilustrasi sing wis dakwenehake sadurunge. Sampeyan ndeleng manawa sadurunge layanan keamanan informasi Cisco meh kabeh dibangun sistem ngawasi keamanan informasi ing basis saka sistem deteksi gangguan lan cara teken, saiki padha mung 20% ​​saka kedadean. 20% liyane ana ing sistem analisis aliran, sing nuduhake yen solusi kasebut dudu kapribaden, nanging alat nyata ing aktivitas layanan keamanan informasi perusahaan modern. Kajaba iku, sampeyan duwe sing paling penting kanggo implementasine - infrastruktur jaringan, investasi sing bisa luwih dilindhungi kanthi menehi fungsi pemantauan keamanan informasi menyang jaringan.

Aku khusus ora ndemek topik nanggapi anomali utawa ancaman sing diidentifikasi ing aliran jaringan, nanging aku wis jelas manawa ngawasi ora mung mungkasi deteksi ancaman. Iku kudu ngiring dening respon lan luwih ing mode otomatis utawa otomatis. Nanging iki minangka topik kanggo artikel sing kapisah.

Informasi tambahan:

• Katrangan saka Cisco IOS Netflow
• matriks dhukungan Netflow ing macem-macem solusi Cisco
• Pandhuan kanggo Konfigurasi Netflow ing Various Platforms Cisco
• Komunitas sFlow
• Lab nggunakake Stealtjwatch, SiLK lan ELK kanggo nganalisa Netflow saka perspektif keamanan
• situs web SiLK
• Pandhuan telung atus kaca kanggo nggunakake SiLK kanthi akeh conto
• Logstash Netflow Modul
• Cisco Step-by-Step Guide kanggo Analisis Netflow ing ELK
• Analisis NetFlow v.9 Cisco ASA nggunakake Logstash (ELK)
• Cisco Stealthwatch Solution

PS. Yen luwih gampang sampeyan krungu kabeh sing ditulis ing ndhuwur, sampeyan bisa nonton presentasi jam sing dadi basis cathetan iki.

Source: www.habr.com