Wann et drëm geet d'Sécherheet vun engem internen Firmen- oder Departementsnetz ze iwwerwaachen, assoziéiert vill et mat der Kontroll vun Informatiounslecken an d'Ëmsetzung vun DLP-Léisungen. A wann Dir probéiert d'Fro ze klären an ze froen wéi Dir Attacken am internen Netz erkennt, da wäert d'Äntwert, als Regel, eng Ernimmung vun Intrusiounserkennungssystemer (IDS) sinn. A wat virun 10-20 Joer déi eenzeg Optioun war, gëtt haut en Anachronismus. Et gëtt eng méi effektiv, an op e puer Plazen, déi eenzeg méiglech Optioun fir en internt Netzwierk ze iwwerwaachen - Flowprotokoller ze benotzen, déi ursprénglech entwéckelt goufen fir Netzwierkproblemer ze sichen (Problembehandlung), awer mat der Zäit an e ganz interessant Sécherheetsinstrument transforméiert. Mir schwätzen iwwer wéi eng Flowprotokoller et ginn a wéi eng besser sinn fir Netzwierkattacken z'entdecken, wou et am beschten ass fir Flow Iwwerwaachung ëmzesetzen, wat Dir sicht wann Dir esou e Schema ofsetzt, a souguer wéi Dir dëst alles op Hausausrüstung "ophiewen" am Kader vun dësem Artikel.
Ech wäert net op d'Fro ophalen "Firwat ass intern Infrastruktur Sécherheetsiwwerwaachung néideg?" D'Äntwert schéngt kloer ze sinn. Awer wann Dir awer nach eng Kéier sécher sidd, datt Dir haut net ouni et liewen kann, e kuerze Video iwwer wéi Dir op 17 Weeër an e Firmennetz kënnt, geschützt vun enger Firewall. Dofir wäerte mir unhuelen datt mir verstinn datt intern Iwwerwaachung eng noutwendeg Saach ass an alles wat bleift ass ze verstoen wéi et organiséiert ka ginn.
Ech géif dräi Schlësseldatenquellen Highlight fir d'Iwwerwaachung vun Infrastrukturen um Netzwierkniveau:
- "raw" Traffic dee mir erfaassen a fir Analyse a bestëmmte Analysesystemer ofginn,
- Eventer vun Netzwierkgeräter duerch déi de Verkéier passéiert,
- Verkéiersinformatioun, déi iwwer ee vun de Fluxprotokoller kritt gëtt.
Matière Traffic erfaassen ass déi populärste Optioun ënner Sécherheetsspezialisten, well et historesch erschéngt a war déi éischt. Konventionell Netzwierkintrusiounserkennungssystemer (den alleréischte kommerziellen Andréngenerkennungssystem war NetRanger vun der Wheel Group, kaaft 1998 vum Cisco) ware präzis engagéiert fir Päckchen (a spéider Sessiounen) z'erhalen, an deenen bestëmmte Ënnerschrëfte gesicht goufen ("entscheedend Regelen" an FSTEC Terminologie), Signaliséierungsattacken. Natierlech kënnt Dir de rau Traffic analyséieren net nëmme mat IDS, awer och aner Tools benotzen (zum Beispill Wireshark, tcpdum oder d'NBAR2 Funktionalitéit an Cisco IOS), awer si feelen normalerweis d'Wëssenbasis, déi en Informatiounssécherheetsinstrument vun enger regulärer ënnerscheet. IT Tool.
Also, Attackerkennungssystemer. Déi eelst a beléifste Method fir Netzwierkattacken z'entdecken, déi eng gutt Aarbecht am Perimeter mécht (egal wat - Firmen, Datenzenter, Segment, asw.), awer feelt a modernen geschalteten a Software-definéiert Netzwierker. Am Fall vun engem Netz op Basis vun konventionelle Schalteren gebaut, gëtt d'Infrastruktur vun Attack Detectioun Sensoren ze grouss - Dir musst e Sensor op all Verbindung zum Node installéieren, op deem Dir Attacke wëllt iwwerwaachen. All Hiersteller wäerte selbstverständlech frou sinn Iech Honnerte an Dausende vu Sensoren ze verkafen, awer ech mengen datt Äre Budget net esou Ausgaben ënnerstëtzen kann. Ech kann soen datt och bei Cisco (a mir sinn d'Entwéckler vun NGIPS) mir konnten dat net maachen, obwuel et schéngt wéi d'Thema vum Präis virun eis ass. Ech sollt net stoen - et ass eis eegen Entscheedung. Zousätzlech stellt sech d'Fro, wéi de Sensor an dëser Versioun ze verbannen? An d'Spalt? Wat wann de Sensor selwer klappt? Verlaangt e Bypass Modul am Sensor? Splitter benotzen (Tap)? All dëst mécht d'Léisung méi deier a mécht et net bezuelbar fir eng Firma vu jidder Gréisst.
Dir kënnt probéieren de Sensor op engem SPAN / RSPAN / ERSPAN Hafen ze "hänken" an de Verkéier vun den erfuerderleche Schalterhäfen dohinner ze direkten. Dës Optioun läscht deelweis de Problem deen am virege Paragraph beschriwwe gëtt, awer stellt en aneren - de SPAN Hafen kann net absolut all de Verkéier akzeptéieren deen him geschéckt gëtt - et wäert net genuch Bandbreedung hunn. Dir musst eppes opferen. Entweder loosst e puer vun de Wirbelen ouni Iwwerwaachung (da musst Dir se als éischt prioritär stellen), oder schéckt net all Traffic vum Node, awer nëmmen e bestëmmten Typ. Mir kënnen op alle Fall e puer Attacke verpassen. Zousätzlech kann de SPAN Hafen fir aner Bedierfnesser benotzt ginn. Als Resultat musse mir déi existent Netzwierktopologie iwwerpréiwen an eventuell Upassunge maachen fir Äert Netzwierk maximal mat der Unzuel u Sensoren ze decken déi Dir hutt (a mat IT koordinéieren).
Wat wann Ären Netz asymmetresch Strecken benotzt? Wat wann Dir implementéiert hutt oder plangt SDN ëmzesetzen? Wat wann Dir virtualiséiert Maschinnen oder Container iwwerwaache musst, deenen hire Verkéier guer net de kierperleche Schalter erreecht? Dëst si Froen déi traditionell IDS Verkeefer net gär hunn well se net wësse wéi se se beäntweren. Vläicht wäerte se Iech iwwerzeegen datt all dës fashionable Technologien Hype sinn an Dir braucht et net. Vläicht wäerte se iwwer d'Noutwennegkeet schwätzen fir kleng ze starten. Oder vläicht wäerte se soen datt Dir e mächtege Thresher am Zentrum vum Netz muss setzen an all Traffic mat Balancer riichten. Egal wéi eng Optioun Iech ugebuede gëtt, musst Dir kloer verstoen wéi et Iech passt. An nëmmen duerno eng Entscheedung iwwer d'Auswiel vun enger Approche fir d'Iwwerwaachung vun der Informatiounssécherheet vun der Netzwierkinfrastruktur. Zréck op d'Packet Capture, ech wëll soen datt dës Method weider ganz populär a wichteg ass, awer säin Haaptzweck ass Grenzkontrolle; Grenzen tëscht Ärer Organisatioun an dem Internet, Grenzen tëscht dem Datenzenter an dem Rescht vum Netz, Grenzen tëscht dem Prozesskontrollsystem an dem Firmensegment. Op deene Plazen hunn déi klassesch IDS/IPS nach ëmmer e Recht ze existéieren a gutt mat hiren Aufgaben ëmzegoen.
Loosst eis op déi zweet Optioun goen. Analyse vun Eventer, déi aus Netzgeräter kommen, kënnen och fir Attackerkennungszwecker benotzt ginn, awer net als Haaptmechanismus, well et erlaabt nëmmen eng kleng Klass vun Intrusiounen z'entdecken. Zousätzlech ass et an enger Reaktivitéit inherent - den Attack muss als éischt geschéien, da muss et vun engem Netzwierkapparat opgeholl ginn, deen op eng oder aner Manéier e Problem mat Informatiounssécherheet signaliséiert. Et gi verschidde sou Weeër. Dëst kéint Syslog, RMON oder SNMP sinn. Déi lescht zwee Protokoller fir Netzwierk Iwwerwaachung am Kontext vun Informatiounssécherheet ginn nëmme benotzt wa mir en DoS Attack op d'Netzwierkausrüstung selwer musse feststellen, well mat RMON an SNMP et méiglech ass, zum Beispill d'Laascht op der Zentral vum Apparat ze iwwerwaachen. Prozessor oder seng Interfaces. Dëst ass ee vun de "bëllegsten" (jiddereen huet Syslog oder SNMP), awer och déi effektivst vun all Methode fir d'Informatiounssécherheet vun der interner Infrastruktur ze iwwerwaachen - vill Attacke sinn einfach dovun verstoppt. Natierlech sollten se net vernoléissegt ginn, an déiselwecht Syslog Analyse hëlleft Iech fristgerecht Ännerungen an der Konfiguratioun vum Apparat selwer z'identifizéieren, de Kompromëss dovun, awer et ass net ganz gëeegent fir Attacken op de ganzen Netzwierk z'entdecken.
Déi drëtt Optioun ass d'Informatioun iwwer de Verkéier ze analyséieren, deen duerch en Apparat passéiert, deen ee vun e puer Flowprotokoller ënnerstëtzt. An dësem Fall, onofhängeg vum Protokoll, besteet d'Threading Infrastruktur onbedéngt aus dräi Komponenten:
- Generatioun oder Export vu Flux. Dës Roll gëtt normalerweis un engem Router, engem Schalter oder engem aneren Netzwierkapparat zougewisen, deen, andeems Dir den Netzverkéier duerch sech selwer passéiert, erlaabt Iech Schlësselparameter dovunner ze extrahieren, déi dann an de Sammelmodul iwwerdroen ginn. Zum Beispill ënnerstëtzt Cisco den Netflow Protokoll net nëmmen op Router a Schalter, dorënner virtuell an industriell, awer och op drahtlose Controller, Firewalls a souguer Serveren.
- Kollektioun Flux. Bedenkt datt e modernt Netzwierk normalerweis méi wéi ee Netzwierkapparat huet, entsteet de Problem vun der Sammelen an der Konsolidéierung vu Fluxen, wat mat sougenannte Sammler geléist gëtt, déi d'empfangene Floss veraarbecht an se dann zur Analyse iwwerginn.
- Flow Analyse Den Analysator iwwerhëlt d'Haaptintellektuell Aufgab an, andeems verschidde Algorithmen op Streamen applizéiert ginn, zéien gewësse Conclusiounen. Zum Beispill, als Deel vun enger IT-Funktioun, kann esou en Analyser Netzkäschten identifizéieren oder de Verkéierslaaschtprofil fir weider Netzoptimiséierung analyséieren. A fir d'Informatiounssécherheet kann esou en Analyser Datelekken, d'Verbreedung vu béiswëllegen Code oder DoS Attacken entdecken.
Denkt net datt dës dräistäckeg Architektur ze komplizéiert ass - all aner Optiounen (ausser, vläicht, Netzwierk Iwwerwaachungssystemer déi mat SNMP an RMON schaffen) funktionnéieren och no. Mir hunn en Datengenerator fir Analyse, deen e Netzwierkapparat oder e Stand-alone Sensor kann sinn. Mir hunn en Alarmsammlungssystem an e Managementsystem fir déi ganz Iwwerwaachungsinfrastruktur. Déi lescht zwee Komponente kënnen an engem eenzegen Node kombinéiert ginn, awer a méi oder manner grousse Netzwierker gi se normalerweis iwwer op d'mannst zwee Apparater verbreet fir Skalierbarkeet an Zouverlässegkeet ze garantéieren.
Am Géigesaz zu der Paketanalyse, déi baséiert op d'Studie vun den Header- a Kierperdaten vun all Paket an de Sessiounen aus deem et besteet, hänkt d'Flowanalyse op d'Sammelen vun Metadaten iwwer de Netzverkéier. Wéini, wéi vill, vu wou a wou, wéi ... dat sinn d'Froe beäntwert duerch d'Analyse vun der Netzwierktelemetrie mat verschiddene Flowprotokoller. Am Ufank goufen se benotzt fir Statistiken ze analyséieren an IT-Problemer am Netz ze fannen, awer dunn, wéi analytesch Mechanismen entwéckelt goufen, gouf et méiglech fir se op déiselwecht Telemetrie fir Sécherheetszwecker z'applizéieren. Et ass derwäert nach eng Kéier ze notéieren datt d'Flowanalyse net d'Paketfangerung ersetzt oder ersetzt. Jiddereng vun dëse Methoden huet säin eegene Applikatiounsberäich. Awer am Kontext vun dësem Artikel ass et Flowanalyse déi am Beschten gëeegent ass fir intern Infrastruktur ze iwwerwaachen. Dir hutt Netzwierkapparater (egal ob se an engem Software-definéierte Paradigma funktionnéieren oder no statesche Regelen) déi en Attack net kann ëmgoen. Et kann e klassesche IDS-Sensor ëmgoen, awer en Netzwierkapparat deen de Flowprotokoll ënnerstëtzt kann net. Dëst ass de Virdeel vun dëser Method.
Op der anerer Säit, wann Dir Beweiser fir d'Haftpflicht oder Ären eegene Incident Enquêteteam braucht, kënnt Dir net ouni Packet Capture maachen - Netzwierk Telemetrie ass keng Kopie vum Traffic dee benotzt ka ginn fir Beweiser ze sammelen; et ass néideg fir séier Detektioun an Entscheedungsprozess am Beräich vun der Informatiounssécherheet. Op der anerer Säit, andeems Dir Telemetrieanalyse benotzt, kënnt Dir net all Netzverkéier "schreiwen" (wann iwwerhaapt, Cisco beschäftegt sech mat Datenzenteren :-), awer nëmmen dat wat an der Attack involvéiert ass. Telemetrie Analyse Tools an dëser Hisiicht ergänzen traditionell Packet Capture Mechanismen gutt, ginn Kommandoe fir selektiv Erfaassung a Lagerung. Soss musst Dir eng kolossal Späicherinfrastruktur hunn.
Loosst eis e Netzwierk virstellen, deen mat enger Geschwindegkeet vun 250 Mbit / sec funktionnéiert. Wann Dir all dëst Volumen späichere wëllt, da braucht Dir 31 MB Späichere fir eng Sekonn Trafficiwwerdroung, 1,8 GB fir eng Minutt, 108 GB fir eng Stonn, an 2,6 TB fir een Dag. Fir alldeeglech Daten aus engem Netzwierk mat enger Bandbreedung vun 10 Gbit / s ze späicheren, brauch Dir 108 TB Späichere. Awer e puer Reguléierer erfuerderen d'Sécherheetsdaten fir Joeren ze späicheren ... On-Demande Recording, déi Flowanalyse hëlleft Iech ëmzesetzen, hëlleft dës Wäerter duerch Uerder vun der Gréisst ze reduzéieren. Iwwregens, wa mir iwwer de Verhältnis vum Volume vun opgeholl Netzwierktelemetriedaten a komplette Datenerfaassung schwätzen, ass et ongeféier 1 bis 500. Fir déiselwecht Wäerter hei uewen, späichert e komplette Transkript vun all deegleche Verkéier. wäert 5 an 216 GB, respektiv (Dir kënnt et souguer op engem normale Flash fueren Rekord).
Wann d'Tools fir Matière Netzwierkdaten ze analyséieren, ass d'Method fir se z'erfaassen bal d'selwecht vu Verkeefer zu Verkeefer, dann am Fall vun der Flowanalyse ass d'Situatioun anescht. Et gi verschidde Méiglechkeeten fir Flowprotokoller, d'Ënnerscheeder an deenen Dir am Kontext vun der Sécherheet wësse musst. De populärste ass den Netflow Protokoll entwéckelt vu Cisco. Et gi verschidde Versioune vun dësem Protokoll, ënnerscheeden sech an hire Fäegkeeten an d'Quantitéit u Trafficinformatioun opgeholl. Déi aktuell Versioun ass déi néngten (Netflow v9), op Basis vun deem den Industriestandard Netflow v10, och bekannt als IPFIX, entwéckelt gouf. Haut ënnerstëtzen déi meescht Netzwierk Ubidder Netflow oder IPFIX an hirer Ausrüstung. Awer et gi verschidde aner Optiounen fir Flowprotokoller - sFlow, jFlow, cFlow, rFlow, NetStream, etc., vun deenen sFlow déi populär ass. Et ass dës Zort, déi meeschtens vun Gewalt Hiersteller vun Netzwierkausrüstung ënnerstëtzt gëtt wéinst senger einfacher Ëmsetzung. Wat sinn d'SchlësselËnnerscheeder tëscht Netflow, deen e de facto Standard ginn ass, an sFlow? Ech géif e puer Schlëssel Highlight. Als éischt huet Netflow Benotzer personaliséierbar Felder am Géigesaz zu de fixe Felder am sFlow. An zweetens, an dat ass dat Wichtegst an eisem Fall, sammelt sFlow sougenannte Sampled Telemetrie; am Géigesaz zu der unsampled fir Netflow an IPFIX. Wat ass den Ënnerscheed tëscht hinnen?
Stellt Iech vir datt Dir décidéiert d'Buch ze liesen "” vu menge Kollegen - Gary McIntyre, Joseph Munitz an Nadem Alfardan (Dir kënnt en Deel vum Buch vum Link eroflueden). Dir hutt dräi Méiglechkeeten fir Äert Zil z'erreechen - liest dat ganzt Buch, schimmt et duerch, stoppt op all 10. oder 20. Säit, oder probéiert eng Retelling vu Schlësselkonzepter op engem Blog oder Service wéi SmartReading ze fannen. Also, onsampled Telemetrie liest all "Säit" vum Netzverkéier, dat heescht d'Analyse vun Metadaten fir all Paket. Sampled Telemetrie ass déi selektiv Studie vum Traffic an der Hoffnung datt déi gewielte Proben enthalen wat Dir braucht. Ofhängeg vun der Kanalgeschwindegkeet gëtt d'probéiert Telemetrie fir Analyse all 64th, 200th, 500th, 1000th, 2000th oder souguer 10000th Packet geschéckt.
Am Kontext vun der Informatiounssécherheetsiwwerwaachung bedeit dëst datt d'Sample-Telemetrie gutt gëeegent ass fir DDoS-Attacke z'entdecken, ze scannen an ze verbreeden béiswëlleg Code, awer atomar oder Multi-Packet Attacke verpassen, déi net an der Probe fir Analyse geschéckt goufen. Unsampled Telemetrie huet net sou Nodeeler. Mat dësem ass d'Gamme vun detektéierten Attacke vill méi breet. Hei ass eng kuerz Lëscht vun Eventer déi mat Netz Telemetrie Analyse Tools erkannt kënne ginn.
Natierlech erlaabt e puer Open Source Netflow Analyser Iech dëst net ze maachen, well seng Haaptaufgab ass Telemetrie ze sammelen an eng Basisanalyse dovun aus IT Siicht ze maachen. Fir Informatiounssécherheetsbedrohungen op Basis vu Flow z'identifizéieren, ass et néideg den Analysator mat verschiddene Motoren an Algorithmen auszestellen, déi Cybersécherheetsproblemer op Basis vu Standard oder personaliséierte Netflow Felder identifizéieren, Standarddaten mat externen Daten aus verschiddene Threat Intelligence Quellen beräicheren, etc.
Dofir, wann Dir e Choix hutt, da wielt Netflow oder IPFIX. Awer och wann Är Ausrüstung nëmme mat sFlow funktionnéiert, wéi Hausfabrikanten, da kënnt Dir och an dësem Fall an engem Sécherheetskontext dovunner profitéieren.
Am Summer 2019 hunn ech d'Kapazitéiten analyséiert déi russesch Netzwierk Hardware Hiersteller hunn an all vun hinnen, ausser NSG, Polygon a Craftway, hunn Ënnerstëtzung fir sFlow ugekënnegt (op d'mannst Zelax, Natex, Eltex, QTech, Rusteleteh).
Déi nächst Fro déi Dir wäert stellen ass wou Dir Flow Support fir Sécherheetszwecker implementéiere kënnt? Tatsächlech ass d'Fro net ganz korrekt gestallt. Modern Ausrüstung ënnerstëtzt bal ëmmer Flowprotokoller. Dofir géif ech d'Fro anescht reformuléieren - wou ass et am effizientesten Telemetrie aus Sécherheetssiicht ze sammelen? D'Äntwert wäert ganz offensichtlech sinn - um Zougangsniveau, wou Dir 100% vum ganzen Traffic gesitt, wou Dir detailléiert Informatioun iwwer Hosten hutt (MAC, VLAN, Interface ID), wou Dir souguer P2P Traffic tëscht Hosten iwwerwaache kënnt, wat ass kritesch fir d'Erkennung an d'Verdeelung vu béiswëllegen Code ze scannen. Um Kärniveau kënnt Dir einfach e puer vum Traffic net gesinn, awer um Perimeterniveau gesitt Dir e Véierel vun Ärem Netzverkéier. Awer wann Dir aus irgendege Grënn auslännesch Apparater op Ärem Netz hutt, déi Ugräifer erlaben "anzeginn an erauszegoen" ouni de Perimeter ze ëmgoen, dann d'Analyse vun der Telemetrie dovunner wäert Iech näischt ginn. Dofir, fir maximal Ofdeckung, ass et recommandéiert d'Telemetriesammlung um Zougangsniveau z'erméiglechen. Zur selwechter Zäit ass et derwäert ze bemierken datt och wa mir iwwer Virtualiséierung oder Container schwätzen, gëtt de Flow Support och dacks a modernen virtuelle Schalter fonnt, wat Iech erlaabt de Verkéier och do ze kontrolléieren.
Awer well ech d'Thema opgeworf hunn, muss ech d'Fro beäntweren: wat wann d'Ausrüstung, kierperlech oder virtuell, net Flowprotokoller ënnerstëtzt? Oder ass seng Inklusioun verbueden (zum Beispill an industrielle Segmenter fir Zouverlässegkeet ze garantéieren)? Oder féiert d'Uschalten zu enger héijer CPU-Laascht (dëst geschitt op eeler Hardware)? Fir dëse Problem ze léisen, ginn et spezialiséiert virtuelle Sensoren (Flowsensoren), déi am Wesentlechen gewéinleche Splitter sinn, déi de Traffic duerch sech selwer passéieren an a Form vu Flow an de Sammelmodul ausstrahlen. Richteg, an dësem Fall kréie mir all d'Problemer iwwer déi mir hei uewe geschwat hunn a Relatioun mat Packet Capture Tools. Dat ass, Dir musst net nëmmen d'Virdeeler vun der Flowanalysetechnologie verstoen, awer och seng Aschränkungen.
En anere Punkt dee wichteg ass ze erënneren wann Dir iwwer Flowanalyse Tools schwätzt. Wann a Relatioun zu konventionelle Mëttele fir Sécherheetsevenementer ze generéieren, benotze mir d'EPS Metrik (Event pro Sekonn), dann ass dësen Indikator net uwendbar fir Telemetrieanalyse; et gëtt duerch FPS (Flow pro Sekonn) ersat. Wéi am Fall vun EPS, kann et net am Viraus berechent ginn, mä Dir kënnt d'ongeféier Unzuel vun thread schätzen, datt e bestëmmten Apparat je seng Aufgab generéiert. Dir kënnt Dëscher um Internet fannen mat ongeféiere Wäerter fir verschidden Aarte vun Enterprise-Geräter a Bedéngungen, déi Iech erlaben ze schätzen wéi eng Lizenzen Dir braucht fir Analyse-Tools a wat hir Architektur wäert sinn? D'Tatsaach ass datt den IDS-Sensor duerch eng gewësse Bandbreed limitéiert ass, déi et kann "zéien", an de Flowsammler huet seng eegen Aschränkungen, déi musse verstane ginn. Dofir, a grousse, geographesch verdeelt Netzwierker ginn et normalerweis e puer Sammler. Wann ech beschriwwen , Ech hu schonn d'Zuel vun eise Sammler uginn - et sinn der 21. An dat ass fir e Reseau, deen iwwer fënnef Kontinenter verspreet ass an ongeféier eng hallef Millioun aktive Geräter nummeréiert).
Mir benotzen eis eege Léisung als Netflow Iwwerwaachungssystem , déi speziell op d'Léisung vu Sécherheetsproblemer konzentréiert ass. Et huet vill agebaute Motore fir anomal, verdächteg a kloer béiswëlleg Aktivitéit z'entdecken, wat et erlaabt eng breet Palette vu verschiddene Geforen z'entdecken - vu Kryptominéierung bis Informatiounslecken, vun der Verbreedung vu béiswëllegen Code bis Bedruch. Wéi déi meescht Flowanalysatoren, ass Stealthwatch no engem Dräi-Niveau Schema gebaut (Generator - Sammler - Analyser), awer et gëtt ergänzt mat enger Rei vun interessanten Features, déi wichteg sinn am Kontext vum Material dat berécksiichtegt gëtt. Als éischt integréiert se mat Paketfangléisungen (wéi Cisco Security Packet Analyzer), wat Iech erlaabt Iech ausgewielte Netzwierksessiounen opzehuelen fir spéider déif Enquête an Analyse. Zweetens, speziell fir d'Sécherheetsaufgaben auszebauen, hu mir e speziellen nvzFlow Protokoll entwéckelt, deen Iech erlaabt d'Aktivitéit vun Uwendungen op Endknoten (Server, Aarbechtsstatiounen, asw.) an Telemetrie ze "iwwerdroen" an de Sammler fir weider Analyse iwwerdroen. Wann a senger ursprénglecher Versioun Stealthwatch mat all Flow Protokoll funktionnéiert (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) um Netzwierkniveau, dann erlaabt nvzFlow Support Datekorrelatioun och um Nodeniveau, doduerch. d'Effizienz vum ganze System erhéijen a méi Attacke gesinn wéi konventionell Netzwierkflossanalysatoren.
Et ass kloer datt wann Dir iwwer Netflow Analysesystemer aus Sécherheetssiicht schwätzt, ass de Maart net limitéiert op eng eenzeg Léisung vu Cisco. Dir kënnt souwuel kommerziell a gratis oder shareware Léisunge benotzen. Et ass zimmlech komesch wann ech d'Léisungen vun de Konkurrenten als Beispiller am Cisco Blog zitéieren, also wäert ech e puer Wierder soen iwwer wéi d'Netztelemetrie analyséiert ka ginn mat zwee populäre, ähnlechen Numm, awer ëmmer nach verschidden Tools - SiLK an ELK.
SiLK ass eng Rei vun Tools (de System fir Internet-Level Knowledge) fir Verkéiersanalyse, entwéckelt vum amerikanesche CERT/CC an déi am Kontext vum heitegen Artikel Netflow (5. an 9., déi populärste Versiounen), IPFIX ënnerstëtzt an sFlow a benotzt verschidden Utilities (rwfilter, rwcount, rwflowpack, etc.) Awer et ginn e puer wichteg Punkten ze notéieren. SiLK ass e Kommandozeil-Tool deen Online-Analyse ausféiert andeems Dir Kommandoe wéi dës agitt (Detektioun vun ICMP Pakete méi grouss wéi 200 Bytes):
rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15
net ganz bequem. Dir kënnt d'iSiLK GUI benotzen, awer et wäert Äert Liewen net vill méi einfach maachen, nëmmen d'Visualiséierungsfunktioun léisen an den Analyst net ersetzen. An dat ass den zweete Punkt. Am Géigesaz zu kommerziellen Léisungen, déi schonn eng zolidd analytesch Basis hunn, Algorithmen fir Anomalierkennung, entspriechend Workflow, asw., am Fall vu SiLK musst Dir dëst alles selwer maachen, wat e bëssen aner Kompetenzen vun Iech erfuerdert wéi vu scho fäerdeg- Tools ze benotzen. Dëst ass weder gutt nach schlecht - dëst ass eng Feature vu bal all gratis Tool dat ugeholl datt Dir wësst wat Dir maache musst, an et hëlleft Iech nëmme mat dësem (kommerziell Tools si manner ofhängeg vun de Kompetenzen vu senge Benotzer, obwuel se och unhuelen datt Analysten op d'mannst d'Grondlage vun den Netzwierkuntersuchungen an Iwwerwaachung verstinn). Mee loosst eis zréck op SiLK. D'Aarbechtszyklus vum Analyst domat gesäit esou aus:
- Formuléierung vun enger Hypothese. Mir musse verstoen wat mir bannent Netzwierktelemetrie sichen, déi eenzegaarteg Attributer kennen, duerch déi mir gewësse Anomalien oder Gefore identifizéieren.
- Bauen e Modell. Nodeems mir eng Hypothese formuléiert hunn, programméiere mir se mat deemselwechte Python, Shell oder aner Tools déi net am SiLK abegraff sinn.
- Testen. Elo kënnt den Tour fir d'Korrektheet vun eiser Hypothese ze kontrolléieren, déi mat SiLK Utilities bestätegt oder refuséiert gëtt, ugefaange mat 'rw', 'set', 'bag'.
- Analyse vun real Daten. An der industrieller Operatioun hëlleft SiLK eis eppes z'identifizéieren an den Analyst muss d'Froen beäntweren "Hunne mir fonnt wat mir erwaart hunn?", "Entsprécht dat eiser Hypothes?", "Wéi d'Zuel vu falschen Positiven ze reduzéieren?", "Wéi den Niveau vun der Unerkennung ze verbesseren? » a sou weider.
- Verbesserung. An der leschter Etapp verbesseren mir dat wat virdru gemaach gouf - mir erstellen Templates, verbesseren an optimiséieren de Code, reformuléieren a klären d'Hypothese, asw.
Dësen Zyklus wäert och op Cisco Stealthwatch applicabel sinn, nëmmen déi lescht automatiséiert dës fënnef Schrëtt op de Maximum, reduzéiert d'Zuel vun Analystfehler an erhéicht d'Effizienz vun der Tëschefalldetektioun. Zum Beispill, am SiLK kënnt Dir Netzwierkstatistike mat externen Donnéeën iwwer béiswëlleg IPs mat handgeschriwwe Skripte beräicheren, an an Cisco Stealthwatch ass et eng agebaute Funktioun déi direkt en Alarm weist wann de Netzverkéier Interaktioune mat IP Adressen aus der schwaarzer Lëscht enthält.
Wann Dir méi héich an der "bezuelter" Pyramid fir Flowanalysesoftware gitt, da gëtt et no der absolut gratis SiLK e Shareware ELK, besteet aus dräi Schlësselkomponenten - Elasticsearch (Indexéiere, Sichen an Datenanalyse), Logstash (Dateinput / Output) ) a Kibana (Visualiséierung). Am Géigesaz zu SiLK, wou Dir alles selwer schreiwen muss, huet ELK scho vill fäerdeg Bibliothéiken / Moduler (e puer bezuelt, e puer net) déi d'Analyse vun der Netzwierktelemetrie automatiséieren. Zum Beispill, de GeoIP Filter am Logstash erlaabt Iech iwwerwaacht IP Adressen mat hirer geographescher Lag ze associéieren (Stealthwatch huet dës agebaute Feature).
ELK huet och eng zimlech grouss Gemeinschaft déi déi fehlend Komponente fir dës Iwwerwaachungsléisung fäerdeg mécht. Zum Beispill, fir mat Netflow, IPFIX a sFlow ze schaffen, kënnt Dir de Modul benotzen , wann Dir net zefridden sidd mam Logstash Netflow Modul, deen nëmmen Netflow ënnerstëtzt.
Wärend méi Effizienz gëtt fir de Flux ze sammelen an doranner ze sichen, feelt ELK momentan räich agebaute Analyse fir Anomalien a Bedrohungen an der Netzwierktelemetrie z'entdecken. Dat ass, no der uewe beschriwwen Liewenszyklus, musst Dir onofhängeg Violatiounsmodeller beschreiwen an se dann am Kampfsystem benotzen (et gi keng agebaute Modeller do).
Et ginn natierlech méi raffinéiert Extensiounen fir ELK, déi schonn e puer Modeller enthalen fir Anomalien an der Netztelemetrie z'entdecken, awer sou Extensiounen kaschten Geld an d'Fro ass ob d'Spill d'Käerz wäert ass - schreift en ähnleche Modell selwer, kaaft seng Ëmsetzung fir Är Iwwerwachungsinstrument, oder kaaft färdeg Léisung vun der Network Traffic Analysis Klass.
Am Allgemengen wëll ech net an d'Debatt kommen, datt et besser ass Suen auszeginn an eng fäerdeg Léisung ze kafen fir Anomalien a Bedrohungen an der Netzwierktelemetrie ze iwwerwaachen (zum Beispill Cisco Stealthwatch) oder selwer erauszefannen an datselwecht ze personaliséieren SiLK, ELK oder nfdump oder OSU Flow Tools fir all nei Bedrohung (ech schwätzen iwwer déi lescht zwee vun hinnen d'lescht Kéier)? Jidderee wielt fir sech a jiddereen huet seng eege Motiver fir eng vun deenen zwou Méiglechkeeten ze wielen. Ech wollt just weisen datt d'Netz Telemetrie e ganz wichtegt Instrument ass fir d'Netzsécherheet vun Ärer interner Infrastruktur ze garantéieren an Dir sollt et net vernoléissegen, fir net op d'Lëscht vun de Firmen ze kommen, deenen hiren Numm an de Medien ernimmt gëtt mat den Epitheten " gehackt", "net konform mat Informatiounssécherheetsufuerderungen", "net un d'Sécherheet vun hiren Donnéeën a Clientdaten ze denken."
Fir ze resuméieren, wëll ech d'Schlëssel Tipps oplëschten déi Dir sollt verfollegen wann Dir Informatiounssécherheetsiwwerwaachung vun Ärer interner Infrastruktur bauen:
- Limitéiert Iech net nëmmen op de Perimeter! Benotzt (a wielt) Netzwierkinfrastruktur net nëmme fir de Verkéier vum Punkt A op de Punkt B ze bewegen, awer och fir d'Cybersecurity Themen unzegoen.
- Studéiert déi existent Informatiounssécherheets Iwwerwaachungsmechanismen an Ärem Netzwierkausrüstung a benotzt se.
- Fir intern Iwwerwachung, gitt Preferenz fir Telemetrie Analyse - et erlaabt Iech bis zu 80-90% vun all Netzwierkinformatiounssécherheetsvirfäll z'entdecken, wärend Dir maacht wat onméiglech ass wann Dir Netzwierkpakete erfaasst a Plaz spuert fir all Informatiounssécherheetsevenementer ze späicheren.
- Fir Flëss ze iwwerwaachen, benotzt Netflow v9 oder IPFIX - si bidden méi Informatioun an engem Sécherheetskontext an erlaben Iech net nëmmen IPv4 ze iwwerwaachen, awer och IPv6, MPLS, etc.
- Benotzt en unsample Flow Protokoll - et gëtt méi Informatioun fir Bedrohungen z'entdecken. Zum Beispill Netflow oder IPFIX.
- Kontrolléiert d'Laascht op Ärem Netzwierkausrüstung - et kann och net de Flowprotokoll handhaben. Betruecht dann virtuell Sensoren oder Netflow Generation Appliance ze benotzen.
- Ëmsetzen Kontroll éischt vun all um Zougang Niveau - dëst gëtt Iech d'Méiglechkeet ginn 100% vun all Traffic ze gesinn.
- Wann Dir keng Wiel hutt an Dir benotzt russesch Netzwierkausrüstung, wielt dann een deen Flowprotokoller ënnerstëtzt oder SPAN/RSPAN Ports huet.
- Kombinéiert Intrusiouns- / Attackerkennung / Präventiounssystemer op de Kanten a Flowanalysesystemer am internen Netzwierk (och an de Wolleken).
Wat de leschten Tipp ugeet, wëll ech eng Illustratioun ginn, déi ech scho virdru ginn hunn. Dir gesitt datt wann de Cisco Informatiounssécherheetsservice virdru bal ganz seng Informatiounssécherheetsiwwerwaachungssystem op Basis vun Intrusiounserkennungssystemer an Ënnerschrëftmethoden gebaut huet, elo sinn se nëmmen 20% vun Tëschefäll. Aner 20% fällt op Flowanalysesystemer, wat suggeréiert datt dës Léisungen net e Geck sinn, awer e richtegt Instrument an den Aktivitéite vun Informatiounssécherheetsservicer vun enger moderner Entreprise. Desweideren, hutt Dir déi wichtegst Saach fir hir Ëmsetzung - Reseau Infrastruktur, Investitiounen an deem kann weider geschützt ginn duerch Informatiounen Sécherheet Iwwerwachung Funktiounen un d'Netz zougewisen.
Ech hunn speziell net op d'Thema vun der Äntwert op Anomalien oder Bedrohungen beréiert, déi an de Netzwierkfloss identifizéiert ginn, awer ech mengen datt et scho kloer ass datt d'Iwwerwaachung net nëmme mat der Detektioun vun enger Bedrohung soll ophalen. Et soll vun enger Äntwert gefollegt ginn an am léifsten an engem automateschen oder automatiséiert Modus. Awer dëst ass en Thema fir en separaten Artikel.
Weider Informatiounen:
PS. Wann et méi einfach ass fir Iech alles ze héieren wat uewe geschriwwe gouf, da kënnt Dir d'Stonnelaang Presentatioun kucken, déi d'Basis vun dëser Notiz geformt huet.
Source: will.com