RunÄjot par iekÅ”ÄjÄ korporatÄ«vÄ vai departamenta tÄ«kla droŔības uzraudzÄ«bu, daudzi to saista ar informÄcijas noplÅ«des kontroli un DLP risinÄjumu ievieÅ”anu. Un, ja mÄÄ£inÄt precizÄt jautÄjumu un jautÄt, kÄ atklÄt uzbrukumus iekÅ”Äjam tÄ«klam, tad atbilde parasti bÅ«s ielauÅ”anÄs atklÄÅ”anas sistÄmu (IDS) pieminÄÅ”ana. Un tas, kas bija vienÄ«gais variants pirms 10-20 gadiem, mÅ«sdienÄs kļūst par anahronismu. IekÅ”ÄjÄ tÄ«kla uzraudzÄ«bai ir efektÄ«vÄka un dažviet arÄ« vienÄ«gÄ iespÄjamÄ iespÄja ā izmantojot plÅ«smas protokolus, kas sÄkotnÄji bija paredzÄti tÄ«kla problÄmu meklÄÅ”anai (problÄmu novÄrÅ”anai), bet laika gaitÄ pÄrvÄrtÄs par ļoti interesantu droŔības rÄ«ku. MÄs runÄsim par to, kÄdi ir plÅ«smas protokoli un kuri ir labÄki tÄ«kla uzbrukumu noteikÅ”anai, kur vislabÄk ir ieviest plÅ«smas uzraudzÄ«bu, ko meklÄt, izvietojot Å”Ädu shÄmu, un pat par to, kÄ to visu āuzceltā uz sadzÄ«ves iekÄrtÄm. Ŕī raksta ietvaros.
NekavÄÅ”os pie jautÄjuma āKÄpÄc nepiecieÅ”ama iekÅ”ÄjÄs infrastruktÅ«ras droŔības uzraudzÄ«ba?ā Å Ä·iet, ka atbilde ir skaidra. Bet, ja tomÄr vÄlaties vÄlreiz pÄrliecinÄties, ka Å”odien jÅ«s nevarat dzÄ«vot bez tÄ, izskatu Ä«ss video par to, kÄ 17 veidos var iekļūt korporatÄ«vajÄ tÄ«klÄ, ko aizsargÄ ugunsmÅ«ris. TÄpÄc pieÅemsim, ka saprotam, ka iekÅ”ÄjÄ uzraudzÄ«ba ir nepiecieÅ”ama lieta un atliek tikai saprast, kÄ to var organizÄt.
Es vÄlÄtos izcelt trÄ«s galvenos datu avotus infrastruktÅ«ras pÄrraudzÄ«bai tÄ«kla lÄ«menÄ«:
āneapstrÄdÄtaā datplÅ«sma, ko mÄs uztveram un iesniedzam analÄ«zei noteiktÄm analÄ«zes sistÄmÄm,
notikumi no tÄ«kla ierÄ«cÄm, caur kurÄm ŔķÄrso trafiku,
satiksmes informÄcija, kas saÅemta, izmantojot vienu no plÅ«smas protokoliem.
NeapstrÄdÄtas trafika tverÅ”ana ir vispopulÄrÄkÄ iespÄja droŔības speciÄlistu vidÅ«, jo tÄ vÄsturiski parÄdÄ«jÄs un bija pati pirmÄ. TradicionÄlÄs tÄ«kla ielauÅ”anÄs noteikÅ”anas sistÄmas (pati pirmÄ komerciÄlÄ ielauÅ”anÄs atklÄÅ”anas sistÄma bija NetRanger no Wheel Group, ko 1998. gadÄ iegÄdÄjÄs Cisco) bija precÄ«zi iesaistÄ«tas pakeÅ”u (un vÄlÄku sesiju) uztverÅ”anÄ, kurÄs tika meklÄti noteikti paraksti (āizŔķiroÅ”ie noteikumiā FSTEC terminoloÄ£ija), signalizÄcijas uzbrukumi. Protams, neapstrÄdÄtu trafiku var analizÄt ne tikai izmantojot IDS, bet arÄ« citus rÄ«kus (piemÄram, Wireshark, tcpdum vai NBAR2 funkcionalitÄti Cisco IOS sistÄmÄ), taÄu tiem parasti trÅ«kst zinÄÅ”anu bÄzes, kas atŔķir informÄcijas droŔības rÄ«ku no parastajiem. IT rÄ«ks.
TÄtad, uzbrukumu noteikÅ”anas sistÄmas. VecÄkÄ un populÄrÄkÄ tÄ«kla uzbrukumu noteikÅ”anas metode, kas labi veic darbu perimetrÄ (vienalga ko ā korporatÄ«vo, datu centru, segmentu utt.), bet neizdodas modernos komutÄtajos un programmatÅ«ras definÄtajos tÄ«klos. TÄ«kla gadÄ«jumÄ, kas veidots uz parasto slÄdžu bÄzes, uzbrukumu noteikÅ”anas sensoru infrastruktÅ«ra kļūst pÄrÄk liela - jums bÅ«s jÄinstalÄ sensors katrÄ savienojumÄ ar mezglu, kuram vÄlaties uzraudzÄ«t uzbrukumus. JebkurÅ” ražotÄjs, protams, labprÄt pÄrdos jums simtiem un tÅ«kstoÅ”iem sensoru, bet es domÄju, ka jÅ«su budžets nevar atbalstÄ«t Å”Ädus izdevumus. Es varu teikt, ka pat Cisco (un mÄs esam NGIPS izstrÄdÄtÄji) mÄs to nevarÄjÄm izdarÄ«t, lai gan Ŕķiet, ka cenu jautÄjums ir mÅ«su priekÅ”Ä. Man nevajadzÄtu izturÄt - tas ir mÅ«su paÅ”u lÄmums. TurklÄt rodas jautÄjums, kÄ pieslÄgt sensoru Å”ajÄ versijÄ? Iekļūt spraugÄ? Ko darÄ«t, ja pats sensors neizdodas? Vai sensorÄ ir nepiecieÅ”ams apvada modulis? Vai izmantot sadalÄ«tÄjus (pieskarieties)? Tas viss padara risinÄjumu dÄrgÄku un padara to par nepieÅemamu jebkura lieluma uzÅÄmumam.
Varat mÄÄ£inÄt āpiekÄrtā sensoru pie SPAN/RSPAN/ERSPAN porta un novirzÄ«t trafiku no nepiecieÅ”amajiem slÄdža portiem uz to. Å Ä« opcija daļÄji novÄrÅ” iepriekÅ”ÄjÄ rindkopÄ aprakstÄ«to problÄmu, bet rada vÄl vienu - SPAN ports nevar pieÅemt pilnÄ«gi visu trafiku, kas tam tiks nosÅ«tÄ«ts - tam nebÅ«s pietiekami daudz joslas platuma. Jums bÅ«s kaut kas jÄupurÄ. Vai nu atstÄjiet dažus mezglus bez uzraudzÄ«bas (tad vispirms tiem ir jÄnosaka prioritÄtes), vai arÄ« nosÅ«tiet nevis visu datplÅ«smu no mezgla, bet tikai noteiktu veidu. JebkurÄ gadÄ«jumÄ mÄs varam palaist garÄm dažus uzbrukumus. TurklÄt SPAN portu var izmantot citÄm vajadzÄ«bÄm. RezultÄtÄ mums bÅ«s jÄpÄrskata esoÅ”Ä tÄ«kla topoloÄ£ija un, iespÄjams, tajÄ jÄveic korekcijas, lai maksimÄli segtu jÅ«su tÄ«klu ar jÅ«su sensoru skaitu (un tas jÄsaskaÅo ar IT).
Ko darÄ«t, ja jÅ«su tÄ«kls izmanto asimetriskus marÅ”rutus? Ko darÄ«t, ja esat ieviesis vai plÄnojat ieviest SDN? Ko darÄ«t, ja jums ir jÄuzrauga virtualizÄtÄs maŔīnas vai konteineri, kuru satiksme vispÄr nesasniedz fizisko slÄdzi? Å ie ir jautÄjumi, kas tradicionÄlajiem IDS pÄrdevÄjiem nepatÄ«k, jo viÅi nezina, kÄ uz tiem atbildÄt. VarbÅ«t viÅi jÅ«s pÄrliecinÄs, ka visas Ŕīs modernÄs tehnoloÄ£ijas ir ažiotÄža un jums tÄs nav vajadzÄ«gas. VarbÅ«t viÅi runÄs par nepiecieÅ”amÄ«bu sÄkt ar mazumiÅu. Vai varbÅ«t viÅi teiks, ka tÄ«kla centrÄ ir jÄievieto jaudÄ«gs kuļmaŔīnas un jÄnovirza visa trafika uz to, izmantojot balansÄtÄjus. NeatkarÄ«gi no tÄ, kÄda iespÄja jums tiek piedÄvÄta, jums ir skaidri jÄsaprot, kÄ tas jums ir piemÄrots. Un tikai pÄc tam pieÅemiet lÄmumu par pieejas izvÄli tÄ«kla infrastruktÅ«ras informÄcijas droŔības uzraudzÄ«bai. Atgriežoties pie pakeÅ”u uztverÅ”anas, gribu teikt, ka Ŕī metode joprojÄm ir ļoti populÄra un svarÄ«ga, taÄu tÄs galvenais mÄrÄ·is ir robežkontrole; robežas starp jÅ«su organizÄciju un internetu, robežas starp datu centru un pÄrÄjo tÄ«klu, robežas starp procesu vadÄ«bas sistÄmu un korporatÄ«vo segmentu. Å ajÄs vietÄs klasiskajiem IDS/IPS joprojÄm ir tiesÄ«bas pastÄvÄt un labi tikt galÄ ar saviem uzdevumiem.
PÄriesim pie otrÄ varianta. No tÄ«kla ierÄ«cÄm nÄkoÅ”o notikumu analÄ«zi var izmantot arÄ« uzbrukumu noteikÅ”anas nolÅ«kos, taÄu ne kÄ galveno mehÄnismu, jo tÄ Ä¼auj atklÄt tikai nelielu ielauÅ”anÄs gadÄ«jumu grupu. TurklÄt tas ir raksturÄ«gs zinÄmai reaktivitÄtei - vispirms jÄnotiek uzbrukumam, pÄc tam tas jÄreÄ£istrÄ tÄ«kla ierÄ«cei, kas vienÄ vai otrÄ veidÄ signalizÄs par informÄcijas droŔības problÄmu. Ir vairÄki Å”Ädi veidi. Tas varÄtu bÅ«t syslog, RMON vai SNMP. PÄdÄjie divi tÄ«kla uzraudzÄ«bas protokoli informÄcijas droŔības kontekstÄ tiek izmantoti tikai tad, ja mums ir nepiecieÅ”ams atklÄt DoS uzbrukumu paÅ”am tÄ«kla aprÄ«kojumam, jo, izmantojot RMON un SNMP, ir iespÄjams, piemÄram, uzraudzÄ«t ierÄ«ces centrÄlÄs ierÄ«ces slodzi. procesors vai tÄ saskarnes. Å Ä« ir viena no ālÄtÄkajÄmā (visiem ir syslog vai SNMP), bet arÄ« visneefektÄ«vÄkÄ no visÄm iekÅ”ÄjÄs infrastruktÅ«ras informÄcijas droŔības uzraudzÄ«bas metodÄm - daudzi uzbrukumi no tÄ vienkÄrÅ”i tiek paslÄpti. Protams, tos nevajadzÄtu atstÄt novÄrtÄ, un tÄ pati syslog analÄ«ze palÄ«dz savlaicÄ«gi identificÄt paÅ”as ierÄ«ces konfigurÄcijas izmaiÅas, tÄs apdraudÄjumu, taÄu tÄ nav Ä«paÅ”i piemÄrota, lai atklÄtu uzbrukumus visam tÄ«klam.
TreÅ”Ä iespÄja ir analizÄt informÄciju par trafiku, kas ŔķÄrso ierÄ«ci, kas atbalsta vienu no vairÄkiem plÅ«smas protokoliem. Å ajÄ gadÄ«jumÄ, neatkarÄ«gi no protokola, vÄ«tÅu infrastruktÅ«ra noteikti sastÄv no trim komponentiem:
PlÅ«smas Ä£enerÄÅ”ana vai eksportÄÅ”ana. Å Ä« loma parasti tiek pieŔķirta marÅ”rutÄtÄjam, slÄdžam vai citai tÄ«kla ierÄ«cei, kas, nododot tÄ«kla trafiku caur sevi, ļauj iegÅ«t no tÄ galvenos parametrus, kas pÄc tam tiek pÄrsÅ«tÄ«ti uz savÄkÅ”anas moduli. PiemÄram, Cisco atbalsta Netflow protokolu ne tikai marÅ”rutÄtÄjos un slÄdžos, tostarp virtuÄlajos un rÅ«pnieciskajos, bet arÄ« bezvadu kontrolleros, ugunsmÅ«ros un pat serveros.
Kolekcijas plÅ«sma. Å emot vÄrÄ, ka mÅ«sdienu tÄ«klÄ parasti ir vairÄk nekÄ viena tÄ«kla ierÄ«ce, rodas plÅ«smu savÄkÅ”anas un konsolidÄcijas problÄma, kas tiek atrisinÄta, izmantojot tÄ sauktos kolektorus, kas apstrÄdÄ saÅemtÄs plÅ«smas un pÄc tam nosÅ«ta tÄs analÄ«zei.
PlÅ«smas analÄ«ze Analizators uzÅemas galveno intelektuÄlo uzdevumu un, izmantojot dažÄdus algoritmus plÅ«smÄm, izdara noteiktus secinÄjumus. PiemÄram, IT funkcijas ietvaros Å”Äds analizators var identificÄt tÄ«kla vÄjÄs vietas vai analizÄt trafika slodzes profilu turpmÄkai tÄ«kla optimizÄcijai. Un informÄcijas droŔībai Å”Äds analizators var atklÄt datu noplÅ«des, ļaunprÄtÄ«ga koda izplatÄ«bu vai DoS uzbrukumus.
NedomÄjiet, ka Ŕī trÄ«s lÄ«meÅu arhitektÅ«ra ir pÄrÄk sarežģīta - visas pÄrÄjÄs iespÄjas (izÅemot, iespÄjams, tÄ«kla uzraudzÄ«bas sistÄmas, kas darbojas ar SNMP un RMON) arÄ« darbojas saskaÅÄ ar to. Mums ir datu Ä£enerators analÄ«zei, kas var bÅ«t tÄ«kla ierÄ«ce vai atseviŔķs sensors. Mums ir trauksmes savÄkÅ”anas sistÄma un vadÄ«bas sistÄma visai uzraudzÄ«bas infrastruktÅ«rai. PÄdÄjos divus komponentus var apvienot vienÄ mezglÄ, bet vairÄk vai mazÄk lielos tÄ«klos tie parasti tiek izkliedÄti vismaz divÄs ierÄ«cÄs, lai nodroÅ”inÄtu mÄrogojamÄ«bu un uzticamÄ«bu.
AtŔķirÄ«bÄ no pakeÅ”u analÄ«zes, kas balstÄs uz katras paketes un sesiju, no kurÄm tÄ sastÄv, galvenes un pamatdatu izpÄti, plÅ«smas analÄ«ze balstÄs uz metadatu vÄkÅ”anu par tÄ«kla trafiku. Kad, cik, no kurienes un kur, kÄ... uz Å”iem jautÄjumiem atbild tÄ«kla telemetrijas analÄ«ze, izmantojot dažÄdus plÅ«smas protokolus. SÄkotnÄji tos izmantoja statistikas analÄ«zei un IT problÄmu atraÅ”anai tÄ«klÄ, bet pÄc tam, attÄ«stoties analÄ«tiskajiem mehÄnismiem, kļuva iespÄjams droŔības nolÅ«kos tos piemÄrot tai paÅ”ai telemetrijai. VÄlreiz ir vÄrts atzÄ«mÄt, ka plÅ«smas analÄ«ze neaizstÄj vai neaizstÄj pakeÅ”u uztverÅ”anu. Katrai no Ŕīm metodÄm ir sava pielietojuma joma. Bet Ŕī raksta kontekstÄ tieÅ”i plÅ«smas analÄ«ze ir vispiemÄrotÄkÄ iekÅ”ÄjÄs infrastruktÅ«ras uzraudzÄ«bai. Jums ir tÄ«kla ierÄ«ces (neatkarÄ«gi no tÄ, vai tÄs darbojas programmatÅ«ras definÄtÄ paradigmÄ vai saskaÅÄ ar statiskiem noteikumiem), kuras uzbrukums nevar apiet. Tas var apiet klasisko IDS sensoru, bet tÄ«kla ierÄ«ce, kas atbalsta plÅ«smas protokolu, nevar. TÄ ir Ŕīs metodes priekÅ”rocÄ«ba.
SavukÄrt, ja nepiecieÅ”ami pierÄdÄ«jumi tiesÄ«bsargÄjoÅ”ajÄm iestÄdÄm vai savai incidentu izmeklÄÅ”anas grupai, neiztikt bez pakeÅ”u uztverÅ”anas ā tÄ«kla telemetrija nav trafika kopija, ko var izmantot pierÄdÄ«jumu vÄkÅ”anai; tas ir nepiecieÅ”ams Ätrai atklÄÅ”anai un lÄmumu pieÅemÅ”anai informÄcijas droŔības jomÄ. No otras puses, izmantojot telemetrijas analÄ«zi, jÅ«s varat ārakstÄ«tā ne visu tÄ«kla trafiku (ja kas, Cisco nodarbojas ar datu centriem :-), bet tikai to, kas ir iesaistÄ«ts uzbrukumÄ. Telemetrijas analÄ«zes rÄ«ki Å”ajÄ ziÅÄ labi papildinÄs tradicionÄlos pakeÅ”u uztverÅ”anas mehÄnismus, dodot komandas selektÄ«vai uztverÅ”anai un uzglabÄÅ”anai. PretÄjÄ gadÄ«jumÄ jums bÅ«s jÄbÅ«t kolosÄlai uzglabÄÅ”anas infrastruktÅ«rai.
IedomÄsimies tÄ«klu, kas darbojas ar Ätrumu 250 Mbit/sek. Ja vÄlaties saglabÄt visu Å”o apjomu, jums bÅ«s nepiecieÅ”ams 31 MB krÄtuve vienai trafika pÄrraides sekundei, 1,8 GB vienai minÅ«tei, 108 GB vienai stundai un 2,6 TB vienai dienai. Lai saglabÄtu ikdienas datus no tÄ«kla ar joslas platumu 10 Gbit/s, jums bÅ«s nepiecieÅ”ama 108 TB krÄtuve. TaÄu daži regulatori pieprasa droŔības datu glabÄÅ”anu gadiem ilgi... IerakstÄ«Å”ana pÄc pieprasÄ«juma, kuru plÅ«smas analÄ«ze palÄ«dz ieviest, palÄ«dz samazinÄt Ŕīs vÄrtÄ«bas par lielumu kÄrtÄm. Starp citu, ja mÄs runÄjam par reÄ£istrÄto tÄ«kla telemetrijas datu apjoma un pilnÄ«gas datu tverÅ”anas attiecÄ«bu, tad tas ir aptuveni 1 pret 500. TÄdÄm paÅ”Äm vÄrtÄ«bÄm, kas norÄdÄ«tas iepriekÅ”, tiek saglabÄts visas dienas trafika pilns atÅ”ifrÄjums. bÅ«s attiecÄ«gi 5 un 216 GB (varat pat ierakstÄ«t parastajÄ zibatmiÅas diskÄ).
Ja tÄ«kla neapstrÄdÄtu datu analÄ«zes rÄ«kiem to iegÅ«Å”anas metode ir gandrÄ«z vienÄda no piegÄdÄtÄja lÄ«dz pÄrdevÄjam, tad plÅ«smas analÄ«zes gadÄ«jumÄ situÄcija ir atŔķirÄ«ga. PlÅ«smas protokoliem ir vairÄkas iespÄjas, atŔķirÄ«bas, par kurÄm jums jÄzina droŔības kontekstÄ. VispopulÄrÄkais ir Cisco izstrÄdÄtais Netflow protokols. Å im protokolam ir vairÄkas versijas, kas atŔķiras pÄc iespÄjÄm un ierakstÄ«tÄs satiksmes informÄcijas apjoma. PaÅ”reizÄjÄ versija ir devÄ«tÄ (Netflow v9), uz kuras pamata tika izstrÄdÄts nozares standarts Netflow v10, kas pazÄ«stams arÄ« kÄ IPFIX. MÅ«sdienÄs lielÄkÄ daļa tÄ«kla pÄrdevÄju savÄ aprÄ«kojumÄ atbalsta Netflow vai IPFIX. Bet ir vÄl dažÄdas plÅ«smas protokolu iespÄjas - sFlow, jFlow, cFlow, rFlow, NetStream utt., no kuriem sFlow ir vispopulÄrÄkais. TieÅ”i Å”o veidu vietÄjie tÄ«kla iekÄrtu ražotÄji visbiežÄk atbalsta tÄ ievieÅ”anas vienkÄrŔības dÄļ. KÄdas ir galvenÄs atŔķirÄ«bas starp Netflow, kas ir kļuvis par de facto standartu, un sFlow? Es izcelÅ”u vairÄkus galvenos. PirmkÄrt, Netflow ir lietotÄja pielÄgojami lauki pretstatÄ fiksÄtajiem sFlow laukiem. Un, otrkÄrt, un tas ir vissvarÄ«gÄkais mÅ«su gadÄ«jumÄ, sFlow apkopo tÄ saukto izlases telemetriju; atŔķirÄ«bÄ no neatlasÄ«tÄ Netflow un IPFIX. KÄda ir atŔķirÄ«ba starp tÄm?
IedomÄjieties, ka jÅ«s nolemjat izlasÄ«t grÄmatu "DroŔības operÄciju centrs: SOC izveide, darbÄ«ba un uzturÄÅ”anaā manu kolÄÄ£u - Gerija Makintara, Džozefa Munica un Nadema Alfardana (daļu grÄmatas varat lejupielÄdÄt no saites). Lai sasniegtu savu mÄrÄ·i, jums ir trÄ«s iespÄjas ā izlasÄ«t visu grÄmatu, pÄrlÅ«kot to, apstÄjoties pie katras 10. vai 20. lappuses, vai mÄÄ£inÄt atrast galveno jÄdzienu pÄrstÄstu emuÄrÄ vai pakalpojumÄ, piemÄram, SmartReading. TÄtad neatlasÄ«tÄ telemetrija nolasa katru tÄ«kla trafika ālapuā, tas ir, analizÄ katras paketes metadatus. Izlases telemetrija ir selektÄ«va trafika izpÄte, cerot, ka atlasÄ«tajos paraugos bÅ«s tas, kas jums nepiecieÅ”ams. AtkarÄ«bÄ no kanÄla Ätruma parauga telemetrija tiks nosÅ«tÄ«ta analÄ«zei katru 64., 200., 500., 1000., 2000. vai pat 10000. paketi.
InformÄcijas droŔības uzraudzÄ«bas kontekstÄ tas nozÄ«mÄ, ka izlases telemetrija ir labi piemÄrota DDoS uzbrukumu noteikÅ”anai, skenÄÅ”anai un ļaunprÄtÄ«ga koda izplatÄ«Å”anai, taÄu var palaist garÄm atomu vai vairÄku pakeÅ”u uzbrukumus, kas nebija iekļauti analÄ«zei nosÅ«tÄ«tajÄ paraugÄ. NeatlasÄ«tai telemetrijai Å”Ädu trÅ«kumu nav. TÄdÄjÄdi atklÄto uzbrukumu klÄsts ir daudz plaÅ”Äks. Å eit ir Ä«ss notikumu saraksts, kurus var noteikt, izmantojot tÄ«kla telemetrijas analÄ«zes rÄ«kus.
Protams, daži atvÄrtÄ pirmkoda Netflow analizatori to neļaus izdarÄ«t, jo tÄ galvenais uzdevums ir apkopot telemetriju un veikt tÄ pamata analÄ«zi no IT viedokļa. Lai identificÄtu informÄcijas droŔības draudus, pamatojoties uz plÅ«smu, nepiecieÅ”ams aprÄ«kot analizatoru ar dažÄdiem dzinÄjiem un algoritmiem, kas identificÄs kiberdroŔības problÄmas, pamatojoties uz standarta vai pielÄgotiem Netflow laukiem, bagÄtinÄs standarta datus ar ÄrÄjiem datiem no dažÄdiem Threat Intelligence avotiem utt.
TÄpÄc, ja jums ir izvÄle, izvÄlieties Netflow vai IPFIX. Bet pat tad, ja jÅ«su aprÄ«kojums darbojas tikai ar sFlow, piemÄram, vietÄjie ražotÄji, pat Å”ajÄ gadÄ«jumÄ jÅ«s varat gÅ«t labumu no tÄ droŔības kontekstÄ.
2019. gada vasarÄ es analizÄju iespÄjas, kÄdas ir Krievijas tÄ«kla aparatÅ«ras ražotÄjiem, un tÄs visas, izÅemot NSG, Polygon un Craftway, paziÅoja par atbalstu sFlow (vismaz Zelax, Natex, Eltex, QTech, Rusteleteh).
NÄkamais jautÄjums, ar kuru jÅ«s saskarsities, ir tas, kur ieviest plÅ«smas atbalstu droŔības nolÅ«kos? PatiesÄ«bÄ jautÄjums nav uzdots pilnÄ«gi pareizi. MÅ«sdienu aprÄ«kojums gandrÄ«z vienmÄr atbalsta plÅ«smas protokolus. TÄpÄc es jautÄjumu pÄrformulÄtu savÄdÄk - kur ir visefektÄ«vÄk apkopot telemetriju no droŔības viedokļa? Atbilde bÅ«s diezgan acÄ«mredzama - piekļuves lÄ«menÄ«, kur jÅ«s redzÄsiet 100% no visas trafika, kur jums bÅ«s detalizÄta informÄcija par hostiem (MAC, VLAN, interfeisa ID), kur jÅ«s pat varat uzraudzÄ«t P2P trafiku starp hostiem, kas ir ļoti svarÄ«ga, lai skenÄtu ļaunprÄtÄ«ga koda atklÄÅ”anu un izplatÄ«Å”anu. PamatlÄ«menÄ« jÅ«s varat vienkÄrÅ”i neredzÄt daļu trafika, bet perimetra lÄ«menÄ« jÅ«s redzÄsit ceturto daļu no visas tÄ«kla trafika. Bet, ja kÄda iemesla dÄļ jÅ«su tÄ«klÄ ir sveÅ”as ierÄ«ces, kas ļauj uzbrucÄjiem āiekļūt un izietā, neapejot perimetru, tad telemetrijas analÄ«ze no tÄ jums neko nedos. TÄpÄc, lai nodroÅ”inÄtu maksimÄlu pÄrklÄjumu, ir ieteicams piekļuves lÄ«menÄ« iespÄjot telemetrijas datu apkopoÅ”anu. TajÄ paÅ”Ä laikÄ ir vÄrts atzÄ«mÄt, ka pat tad, ja mÄs runÄjam par virtualizÄciju vai konteineriem, plÅ«smas atbalsts bieži ir atrodams arÄ« mÅ«sdienu virtuÄlajos slÄdžos, kas ļauj kontrolÄt trafiku arÄ« tur.
Bet, tÄ kÄ es izvirzÄ«ju tÄmu, man ir jÄatbild uz jautÄjumu: ko darÄ«t, ja aprÄ«kojums, fiziskais vai virtuÄlais, neatbalsta plÅ«smas protokolus? Vai arÄ« tÄ iekļauÅ”ana ir aizliegta (piemÄram, rÅ«pnieciskajos segmentos, lai nodroÅ”inÄtu uzticamÄ«bu)? Vai arÄ« tÄ ieslÄgÅ”ana noved pie lielas CPU slodzes (tas notiek ar vecÄku aparatÅ«ru)? Lai atrisinÄtu Å”o problÄmu, ir specializÄti virtuÄlie sensori (plÅ«smas sensori), kas bÅ«tÄ«bÄ ir parastie sadalÄ«tÄji, kas laiž cauri satiksmi un pÄrraida to plÅ«smas veidÄ uz savÄkÅ”anas moduli. Tiesa, Å”ajÄ gadÄ«jumÄ mÄs iegÅ«stam visas problÄmas, par kurÄm mÄs runÄjÄm iepriekÅ” saistÄ«bÄ ar pakeÅ”u uztverÅ”anas rÄ«kiem. Tas ir, jums ir jÄsaprot ne tikai plÅ«smas analÄ«zes tehnoloÄ£ijas priekÅ”rocÄ«bas, bet arÄ« tÄs ierobežojumi.
VÄl viens punkts, kas ir svarÄ«gi atcerÄties, runÄjot par plÅ«smas analÄ«zes rÄ«kiem. Ja saistÄ«bÄ ar tradicionÄlajiem droŔības notikumu Ä£enerÄÅ”anas lÄ«dzekļiem mÄs izmantojam EPS metriku (notikums sekundÄ), tad Å”is rÄdÄ«tÄjs nav piemÄrojams telemetrijas analÄ«zei; to aizstÄj ar FPS (plÅ«sma sekundÄ). TÄpat kÄ EPS gadÄ«jumÄ, to nevar aprÄÄ·inÄt iepriekÅ”, bet jÅ«s varat novÄrtÄt aptuveno pavedienu skaitu, ko konkrÄtÄ ierÄ«ce Ä£enerÄ atkarÄ«bÄ no tÄs uzdevuma. InternetÄ varat atrast tabulas ar aptuvenÄm vÄrtÄ«bÄm dažÄda veida uzÅÄmuma ierÄ«cÄm un apstÄkļiem, kas ļaus novÄrtÄt, kÄdas licences ir nepiecieÅ”amas analÄ«zes rÄ«kiem un kÄda bÅ«s to arhitektÅ«ra? Fakts ir tÄds, ka IDS sensoru ierobežo noteikts joslas platums, ko tas var āvilktā, un plÅ«smas kolektoram ir savi ierobežojumi, kas ir jÄsaprot. TÄpÄc lielos, Ä£eogrÄfiski sadalÄ«tos tÄ«klos parasti ir vairÄki kolektori. Kad es aprakstÄ«ju kÄ tÄ«kls tiek uzraudzÄ«ts iekÅ” Cisco, es jau norÄdÄ«ju mÅ«su kolekcionÄru skaitu - to ir 21. Un tas ir tÄ«klam, kas izkaisÄ«ts piecos kontinentos un kurÄ ir aptuveni pusmiljons aktÄ«vo ierÄ«Äu).
MÄs izmantojam savu risinÄjumu kÄ Netflow uzraudzÄ«bas sistÄmu Cisco Stealthwatch, kas ir Ä«paÅ”i vÄrsta uz droŔības problÄmu risinÄÅ”anu. TajÄ ir iebÅ«vÄti daudzi dzinÄji anomÄlu, aizdomÄ«gu un nepÄrprotami ļaunprÄtÄ«gu darbÄ«bu noteikÅ”anai, kas ļauj atklÄt visdažÄdÄkos draudus ā no Å”ifrÄÅ”anas lÄ«dz informÄcijas noplÅ«dei, no kaitÄ«ga koda izplatÄ«bas lÄ«dz krÄpÅ”anai. TÄpat kÄ lielÄkÄ daļa plÅ«smas analizatoru, arÄ« Stealthwatch ir veidots pÄc trÄ«s lÄ«meÅu shÄmas (Ä£enerators - kolektors - analizators), taÄu tas ir papildinÄts ar vairÄkÄm interesantÄm funkcijÄm, kas ir svarÄ«gas aplÅ«kojamÄ materiÄla kontekstÄ. PirmkÄrt, tas ir integrÄts ar pakeÅ”u uztverÅ”anas risinÄjumiem (piemÄram, Cisco Security Packet Analyzer), kas ļauj ierakstÄ«t atlasÄ«tÄs tÄ«kla sesijas vÄlÄkai padziļinÄtai izmeklÄÅ”anai un analÄ«zei. OtrkÄrt, Ä«paÅ”i droŔības uzdevumu paplaÅ”inÄÅ”anai esam izstrÄdÄjuÅ”i Ä«paÅ”u nvzFlow protokolu, kas ļauj gala mezglos (serveros, darbstacijÄs u.c.) esoÅ”o lietojumprogrammu darbÄ«bu āpÄrraidÄ«tā telemetrijÄ un pÄrsÅ«tÄ«t uz kolektoru tÄlÄkai analÄ«zei. Ja sÄkotnÄjÄ versijÄ Stealthwatch darbojas ar jebkuru plÅ«smas protokolu (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) tÄ«kla lÄ«menÄ«, tad nvzFlow atbalsts ļauj veikt datu korelÄciju arÄ« mezgla lÄ«menÄ«, tÄdÄjÄdi. palielinot visas sistÄmas efektivitÄti un redzot vairÄk uzbrukumu nekÄ parastie tÄ«kla plÅ«smas analizatori.
Ir skaidrs, ka, runÄjot par Netflow analÄ«zes sistÄmÄm no droŔības viedokļa, tirgus neaprobežojas tikai ar vienu Cisco risinÄjumu. Varat izmantot gan komerciÄlus, gan bezmaksas vai shareware risinÄjumus. Ir diezgan dÄ«vaini, ja Cisco emuÄrÄ kÄ piemÄrus minu konkurentu risinÄjumus, tÄpÄc teikÅ”u dažus vÄrdus par to, kÄ tÄ«kla telemetriju var analizÄt, izmantojot divus populÄrus, pÄc nosaukuma lÄ«dzÄ«gus, bet tomÄr atŔķirÄ«gus rÄ«kus - SiLK un ELK.
SiLK ir rÄ«ku komplekts (Internet-Level Knowledge sistÄma) trafika analÄ«zei, ko izstrÄdÄjis amerikÄÅu CERT/CC un kas Å”odienas raksta kontekstÄ atbalsta Netflow (5. un 9., populÄrÄkÄs versijas), IPFIX. un sFlow un izmantojot dažÄdas utilÄ«tas (rwfilter, rwcount, rwflowpack u.c.), lai veiktu dažÄdas darbÄ«bas tÄ«kla telemetrijÄ, lai atklÄtu tajÄ nesankcionÄtu darbÄ«bu pazÄ«mes. Bet ir jÄÅem vÄrÄ pÄris svarÄ«gi punkti. SiLK ir komandrindas rÄ«ks, kas veic tieÅ”saistes analÄ«zi, ievadot Å”Ädas komandas (ICMP pakeÅ”u noteikÅ”ana, kas lielÄkas par 200 baitiem):
ne pÄrÄk Ärti. JÅ«s varat izmantot iSiLK GUI, taÄu tas jÅ«su dzÄ«vi Ä«paÅ”i nepadarÄ«s vieglÄku, atrisinot tikai vizualizÄcijas funkciju, nevis nomainot analÄ«tiÄ·i. Un tas ir otrais punkts. AtŔķirÄ«bÄ no komerciÄlajiem risinÄjumiem, kuriem jau ir stabila analÄ«tiskÄ bÄze, anomÄliju noteikÅ”anas algoritmi, atbilstoÅ”a darbplÅ«sma utt., SiLK gadÄ«jumÄ tas viss bÅ«s jÄdara paÅ”am, kas prasÄ«s no jums nedaudz atŔķirÄ«gas kompetences nekÄ no jau gatavas lietojami instrumenti. Tas nav ne labi, ne slikti ā Ŕī ir gandrÄ«z jebkura bezmaksas rÄ«ka iezÄ«me, kas paredz, ka jÅ«s zinÄt, kas jÄdara, un tas jums tikai palÄ«dzÄs (komerciÄlie rÄ«ki ir mazÄk atkarÄ«gi no lietotÄju kompetences, lai gan viÅi arÄ« pieÅem ka analÄ«tiÄ·i saprot vismaz tÄ«kla izmeklÄÅ”anas un uzraudzÄ«bas pamatus). Bet atgriezÄ«simies pie SiLK. AnalÄ«tiÄ·a darba cikls ar to izskatÄs Å”Ädi:
HipotÄzes formulÄÅ”ana. Mums ir jÄsaprot, ko mÄs meklÄsim tÄ«kla telemetrijÄ, jÄzina unikÄlie atribÅ«ti, pÄc kuriem mÄs identificÄsim noteiktas anomÄlijas vai draudus.
Modeļa veidoÅ”ana. PÄc hipotÄzes formulÄÅ”anas mÄs to programmÄjam, izmantojot to paÅ”u Python, apvalku vai citus rÄ«kus, kas nav iekļauti SiLK.
TestÄÅ”ana. Tagad pienÄk kÄrta pÄrbaudÄ«t mÅ«su hipotÄzes pareizÄ«bu, kas tiek apstiprinÄta vai atspÄkota, izmantojot SiLK utilÄ«tus, kas sÄkas ar 'rw', 'set', 'bag'.
ReÄlu datu analÄ«ze. RÅ«pnieciskajÄ darbÄ«bÄ SiLK palÄ«dz mums kaut ko identificÄt un analÄ«tiÄ·im ir jÄatbild uz jautÄjumiem āVai atradÄm to, ko gaidÄ«jÄm?ā, āVai tas atbilst mÅ«su hipotÄzei?ā, āKÄ samazinÄt viltus pozitÄ«vo rezultÄtu skaitu?ā, āKÄ lai uzlabotu atpazÄ«stamÄ«bas lÄ«meni? Ā» un tÄ tÄlÄk.
UzlaboÅ”ana. PÄdÄjÄ posmÄ mÄs uzlabojam iepriekÅ” paveikto - veidojam veidnes, uzlabojam un optimizÄjam kodu, pÄrformulÄjam un precizÄjam hipotÄzi utt.
Å is cikls bÅ«s piemÄrojams arÄ« Cisco Stealthwatch, tikai pÄdÄjais maksimÄli automatizÄ Å”Ä«s piecas darbÄ«bas, samazinot analÄ«tiÄ·u kļūdu skaitu un palielinot incidentu noteikÅ”anas efektivitÄti. PiemÄram, SiLK var bagÄtinÄt tÄ«kla statistiku ar ÄrÄjiem datiem par ļaunprÄtÄ«giem IP, izmantojot ar roku rakstÄ«tus skriptus, savukÄrt programmÄ Cisco Stealthwatch tÄ ir iebÅ«vÄta funkcija, kas nekavÄjoties parÄda trauksmi, ja tÄ«kla trafiks satur mijiedarbÄ«bu ar IP adresÄm no melnÄ saraksta.
Ja pakÄpsies augstÄk āapmaksÄtajÄā plÅ«smas analÄ«zes programmatÅ«ras piramÄ«dÄ, tad pÄc absolÅ«ti bezmaksas SiLK bÅ«s shareware ELK, kas sastÄv no trim galvenajÄm sastÄvdaļÄm - Elasticsearch (indeksÄÅ”ana, meklÄÅ”ana un datu analÄ«ze), Logstash (datu ievade/izvade). ) un Kibana (vizualizÄcija). AtŔķirÄ«bÄ no SiLK, kur viss jÄraksta paÅ”am, ELK jau ir daudz gatavu bibliotÄku/moduļu (daži maksas, daži ne), kas automatizÄ tÄ«kla telemetrijas analÄ«zi. PiemÄram, GeoIP filtrs Logstash ļauj saistÄ«t uzraudzÄ«tÄs IP adreses ar to Ä£eogrÄfisko atraÅ”anÄs vietu (Stealthwatch ir Ŕī iebÅ«vÄtÄ funkcija).
ELK ir arÄ« diezgan liela kopiena, kas papildina Å”im uzraudzÄ«bas risinÄjumam trÅ«kstoÅ”Äs sastÄvdaļas. PiemÄram, lai strÄdÄtu ar Netflow, IPFIX un sFlow, varat izmantot moduli elastÄ«ba, ja neesat apmierinÄts ar Logstash Netflow moduli, kas atbalsta tikai Netflow.
Lai gan ELK nodroÅ”ina lielÄku efektivitÄti plÅ«smas savÄkÅ”anÄ un meklÄÅ”anÄ tajÄ, ELK paÅ”laik trÅ«kst bagÄtÄ«gas iebÅ«vÄtas analÄ«zes, lai noteiktu anomÄlijas un draudus tÄ«kla telemetrijÄ. Tas ir, ievÄrojot iepriekÅ” aprakstÄ«to dzÄ«ves ciklu, jums bÅ«s patstÄvÄ«gi jÄapraksta pÄrkÄpumu modeļi un pÄc tam jÄizmanto kaujas sistÄmÄ (tur nav iebÅ«vÄtu modeļu).
ELK, protams, ir arÄ« sarežģītÄki paplaÅ”inÄjumi, kuros jau ir daži modeļi tÄ«kla telemetrijas anomÄliju noteikÅ”anai, taÄu Å”Ädi paplaÅ”inÄjumi maksÄ naudu un jautÄjums ir, vai spÄle ir sveces vÄrta - uzraksti pats lÄ«dzÄ«gu modeli, iegÄdÄjies tÄ realizÄciju. savam uzraudzÄ«bas rÄ«kam vai iegÄdÄjieties gatavu TÄ«kla trafika analÄ«zes klases risinÄjumu.
VispÄr nevÄlos iedziļinÄties debatÄs par to, ka labÄk ir tÄrÄt naudu un nopirkt gatavu risinÄjumu tÄ«kla telemetrijas anomÄliju un draudu uzraudzÄ«bai (piemÄram, Cisco Stealthwatch) vai izdomÄt pats un pielÄgot to paÅ”u. SiLK, ELK vai nfdump vai OSU plÅ«smas rÄ«ki katram jaunam apdraudÄjumam (es runÄju par pÄdÄjiem diviem no tiem stÄstÄ«ja pÄdÄjo reizi)? Katrs izvÄlas pats un katram ir savs motÄ«vs izvÄlÄties kÄdu no divÄm iespÄjÄm. VÄlÄjos tikai parÄdÄ«t, ka tÄ«kla telemetrija ir ļoti svarÄ«gs instruments JÅ«su iekÅ”ÄjÄs infrastruktÅ«ras tÄ«kla droŔības nodroÅ”inÄÅ”anÄ un nevajag to atstÄt novÄrtÄ, lai neiekļūtu to uzÅÄmumu sarakstÄ, kuru vÄrds medijos tiek minÄts lÄ«dz ar epitetiem ā uzlauztsā, āinformÄcijas droŔības prasÄ«bÄm neatbilstoÅ”sā, ānedomÄ par savu un klientu datu droŔībuā.
Apkopojot, es vÄlos uzskaitÄ«t galvenos padomus, kas jums jÄievÄro, veidojot savas iekÅ”ÄjÄs infrastruktÅ«ras informÄcijas droŔības uzraudzÄ«bu:
Neierobežojiet sevi tikai ar perimetru! Izmantojiet (un izvÄlieties) tÄ«kla infrastruktÅ«ru ne tikai, lai pÄrvietotu trafiku no punkta A uz punktu B, bet arÄ« lai risinÄtu kiberdroŔības problÄmas.
IekÅ”Äjai uzraudzÄ«bai dodiet priekÅ”roku telemetrijas analÄ«zei - tÄ Ä¼auj atklÄt lÄ«dz 80-90% no visiem tÄ«kla informÄcijas droŔības incidentiem, vienlaikus darot to, kas nav iespÄjams, tverot tÄ«kla paketes un ietaupot vietu visu informÄcijas droŔības notikumu glabÄÅ”anai.
PlÅ«smu uzraudzÄ«bai izmantojiet Netflow v9 vai IPFIX ā tie sniedz vairÄk informÄcijas droŔības kontekstÄ un ļauj pÄrraudzÄ«t ne tikai IPv4, bet arÄ« IPv6, MPLS u.c.
Izmantojiet neatlasÄ«tu plÅ«smas protokolu ā tas sniedz vairÄk informÄcijas draudu noteikÅ”anai. PiemÄram, Netflow vai IPFIX.
PÄrbaudiet tÄ«kla aprÄ«kojuma noslogojumu ā tas var arÄ« nespÄs apstrÄdÄt plÅ«smas protokolu. PÄc tam apsveriet iespÄju izmantot virtuÄlos sensorus vai Netflow Generation Appliance.
Ieviesiet kontroli, pirmkÄrt, piekļuves lÄ«menÄ« - tas dos jums iespÄju redzÄt 100% no visas trafika.
Ja jums nav izvÄles un izmantojat krievu tÄ«kla aprÄ«kojumu, izvÄlieties tÄdu, kas atbalsta plÅ«smas protokolus vai kam ir SPAN/RSPAN porti.
AttiecÄ«bÄ uz pÄdÄjo padomu es vÄlos sniegt ilustrÄciju, ko jau esmu sniedzis iepriekÅ”. Redziet, ja iepriekÅ” Cisco informÄcijas droŔības dienests gandrÄ«z pilnÄ«bÄ veidoja savu informÄcijas droŔības uzraudzÄ«bas sistÄmu, pamatojoties uz ielauÅ”anÄs atklÄÅ”anas sistÄmÄm un parakstu metodÄm, tad tagad tÄs veido tikai 20% incidentu. VÄl 20% attiecas uz plÅ«smas analÄ«zes sistÄmÄm, kas liecina, ka Å”ie risinÄjumi nav kaprÄ«ze, bet gan reÄls instruments mÅ«sdienu uzÅÄmuma informÄcijas droŔības dienestu darbÄ«bÄ. TurklÄt jums ir vissvarÄ«gÄkais to ievieÅ”anai - tÄ«kla infrastruktÅ«ra, kurÄ investÄ«cijas var vÄl vairÄk aizsargÄt, pieŔķirot tÄ«klam informÄcijas droŔības uzraudzÄ«bas funkcijas.
SpeciÄli nepieskÄros tÄmai par reaÄ£ÄÅ”anu uz tÄ«kla plÅ«smÄs konstatÄtajÄm anomÄlijÄm vai draudiem, bet domÄju, ka jau tagad ir skaidrs, ka monitoringam nevajadzÄtu beigties tikai ar apdraudÄjuma konstatÄÅ”anu. Tam vajadzÄtu sekot atbildei un vÄlams automÄtiskÄ vai automatizÄtÄ režīmÄ. Bet Ŕī ir atseviŔķa raksta tÄma.