🥇Plūsmas protokoli kā rīks iekšējā tīkla drošības uzraudzībai

Runājot par iekšējā korporatīvā vai departamenta tīkla drošības uzraudzību, daudzi to saista ar informācijas noplūdes kontroli un DLP risinājumu ieviešanu. Un, ja mēģināt precizēt jautājumu un jautāt, kā atklāt uzbrukumus iekšējam tīklam, tad atbilde parasti būs ielaušanās atklāšanas sistēmu (IDS) pieminēšana. Un tas, kas bija vienīgais variants pirms 10-20 gadiem, mūsdienās kļūst par anahronismu. Iekšējā tīkla uzraudzībai ir efektīvāka un dažviet arī vienīgā iespējamā iespēja – izmantojot plūsmas protokolus, kas sākotnēji bija paredzēti tīkla problēmu meklēšanai (problēmu novēršanai), bet laika gaitā pārvērtās par ļoti interesantu drošības rīku. Mēs runāsim par to, kādi ir plūsmas protokoli un kuri ir labāki tīkla uzbrukumu noteikšanai, kur vislabāk ir ieviest plūsmas uzraudzību, ko meklēt, izvietojot šādu shēmu, un pat par to, kā to visu “uzcelt” uz sadzīves iekārtām. šī raksta ietvaros.

Nekavēšos pie jautājuma “Kāpēc nepieciešama iekšējās infrastruktūras drošības uzraudzība?” Šķiet, ka atbilde ir skaidra. Bet, ja tomēr vēlaties vēlreiz pārliecināties, ka šodien jūs nevarat dzīvot bez tā, izskatu īss video par to, kā 17 veidos var iekļūt korporatīvajā tīklā, ko aizsargā ugunsmūris. Tāpēc pieņemsim, ka saprotam, ka iekšējā uzraudzība ir nepieciešama lieta un atliek tikai saprast, kā to var organizēt.

Es vēlētos izcelt trīs galvenos datu avotus infrastruktūras pārraudzībai tīkla līmenī:

“neapstrādāta” datplūsma, ko mēs uztveram un iesniedzam analīzei noteiktām analīzes sistēmām,
notikumi no tīkla ierīcēm, caur kurām šķērso trafiku,
satiksmes informācija, kas saņemta, izmantojot vienu no plūsmas protokoliem.

Neapstrādātas trafika tveršana ir vispopulārākā iespēja drošības speciālistu vidū, jo tā vēsturiski parādījās un bija pati pirmā. Tradicionālās tīkla ielaušanās noteikšanas sistēmas (pati pirmā komerciālā ielaušanās atklāšanas sistēma bija NetRanger no Wheel Group, ko 1998. gadā iegādājās Cisco) bija precīzi iesaistītas pakešu (un vēlāku sesiju) uztveršanā, kurās tika meklēti noteikti paraksti (“izšķirošie noteikumi” FSTEC terminoloģija), signalizācijas uzbrukumi. Protams, neapstrādātu trafiku var analizēt ne tikai izmantojot IDS, bet arī citus rīkus (piemēram, Wireshark, tcpdum vai NBAR2 funkcionalitāti Cisco IOS sistēmā), taču tiem parasti trūkst zināšanu bāzes, kas atšķir informācijas drošības rīku no parastajiem. IT rīks.

Tātad, uzbrukumu noteikšanas sistēmas. Vecākā un populārākā tīkla uzbrukumu noteikšanas metode, kas labi veic darbu perimetrā (vienalga ko – korporatīvo, datu centru, segmentu utt.), bet neizdodas modernos komutētajos un programmatūras definētajos tīklos. Tīkla gadījumā, kas veidots uz parasto slēdžu bāzes, uzbrukumu noteikšanas sensoru infrastruktūra kļūst pārāk liela - jums būs jāinstalē sensors katrā savienojumā ar mezglu, kuram vēlaties uzraudzīt uzbrukumus. Jebkurš ražotājs, protams, labprāt pārdos jums simtiem un tūkstošiem sensoru, bet es domāju, ka jūsu budžets nevar atbalstīt šādus izdevumus. Es varu teikt, ka pat Cisco (un mēs esam NGIPS izstrādātāji) mēs to nevarējām izdarīt, lai gan šķiet, ka cenu jautājums ir mūsu priekšā. Man nevajadzētu izturēt - tas ir mūsu pašu lēmums. Turklāt rodas jautājums, kā pieslēgt sensoru šajā versijā? Iekļūt spraugā? Ko darīt, ja pats sensors neizdodas? Vai sensorā ir nepieciešams apvada modulis? Vai izmantot sadalītājus (pieskarieties)? Tas viss padara risinājumu dārgāku un padara to par nepieņemamu jebkura lieluma uzņēmumam.

Varat mēģināt “piekārt” sensoru pie SPAN/RSPAN/ERSPAN porta un novirzīt trafiku no nepieciešamajiem slēdža portiem uz to. Šī opcija daļēji novērš iepriekšējā rindkopā aprakstīto problēmu, bet rada vēl vienu - SPAN ports nevar pieņemt pilnīgi visu trafiku, kas tam tiks nosūtīts - tam nebūs pietiekami daudz joslas platuma. Jums būs kaut kas jāupurē. Vai nu atstājiet dažus mezglus bez uzraudzības (tad vispirms tiem ir jānosaka prioritātes), vai arī nosūtiet nevis visu datplūsmu no mezgla, bet tikai noteiktu veidu. Jebkurā gadījumā mēs varam palaist garām dažus uzbrukumus. Turklāt SPAN portu var izmantot citām vajadzībām. Rezultātā mums būs jāpārskata esošā tīkla topoloģija un, iespējams, tajā jāveic korekcijas, lai maksimāli segtu jūsu tīklu ar jūsu sensoru skaitu (un tas jāsaskaņo ar IT).

Ko darīt, ja jūsu tīkls izmanto asimetriskus maršrutus? Ko darīt, ja esat ieviesis vai plānojat ieviest SDN? Ko darīt, ja jums ir jāuzrauga virtualizētās mašīnas vai konteineri, kuru satiksme vispār nesasniedz fizisko slēdzi? Šie ir jautājumi, kas tradicionālajiem IDS pārdevējiem nepatīk, jo viņi nezina, kā uz tiem atbildēt. Varbūt viņi jūs pārliecinās, ka visas šīs modernās tehnoloģijas ir ažiotāža un jums tās nav vajadzīgas. Varbūt viņi runās par nepieciešamību sākt ar mazumiņu. Vai varbūt viņi teiks, ka tīkla centrā ir jāievieto jaudīgs kuļmašīnas un jānovirza visa trafika uz to, izmantojot balansētājus. Neatkarīgi no tā, kāda iespēja jums tiek piedāvāta, jums ir skaidri jāsaprot, kā tas jums ir piemērots. Un tikai pēc tam pieņemiet lēmumu par pieejas izvēli tīkla infrastruktūras informācijas drošības uzraudzībai. Atgriežoties pie pakešu uztveršanas, gribu teikt, ka šī metode joprojām ir ļoti populāra un svarīga, taču tās galvenais mērķis ir robežkontrole; robežas starp jūsu organizāciju un internetu, robežas starp datu centru un pārējo tīklu, robežas starp procesu vadības sistēmu un korporatīvo segmentu. Šajās vietās klasiskajiem IDS/IPS joprojām ir tiesības pastāvēt un labi tikt galā ar saviem uzdevumiem.

Pāriesim pie otrā varianta. No tīkla ierīcēm nākošo notikumu analīzi var izmantot arī uzbrukumu noteikšanas nolūkos, taču ne kā galveno mehānismu, jo tā ļauj atklāt tikai nelielu ielaušanās gadījumu grupu. Turklāt tas ir raksturīgs zināmai reaktivitātei - vispirms jānotiek uzbrukumam, pēc tam tas jāreģistrē tīkla ierīcei, kas vienā vai otrā veidā signalizēs par informācijas drošības problēmu. Ir vairāki šādi veidi. Tas varētu būt syslog, RMON vai SNMP. Pēdējie divi tīkla uzraudzības protokoli informācijas drošības kontekstā tiek izmantoti tikai tad, ja mums ir nepieciešams atklāt DoS uzbrukumu pašam tīkla aprīkojumam, jo, izmantojot RMON un SNMP, ir iespējams, piemēram, uzraudzīt ierīces centrālās ierīces slodzi. procesors vai tā saskarnes. Šī ir viena no “lētākajām” (visiem ir syslog vai SNMP), bet arī visneefektīvākā no visām iekšējās infrastruktūras informācijas drošības uzraudzības metodēm - daudzi uzbrukumi no tā vienkārši tiek paslēpti. Protams, tos nevajadzētu atstāt novārtā, un tā pati syslog analīze palīdz savlaicīgi identificēt pašas ierīces konfigurācijas izmaiņas, tās apdraudējumu, taču tā nav īpaši piemērota, lai atklātu uzbrukumus visam tīklam.

Trešā iespēja ir analizēt informāciju par trafiku, kas šķērso ierīci, kas atbalsta vienu no vairākiem plūsmas protokoliem. Šajā gadījumā, neatkarīgi no protokola, vītņu infrastruktūra noteikti sastāv no trim komponentiem:

Plūsmas ģenerēšana vai eksportēšana. Šī loma parasti tiek piešķirta maršrutētājam, slēdžam vai citai tīkla ierīcei, kas, nododot tīkla trafiku caur sevi, ļauj iegūt no tā galvenos parametrus, kas pēc tam tiek pārsūtīti uz savākšanas moduli. Piemēram, Cisco atbalsta Netflow protokolu ne tikai maršrutētājos un slēdžos, tostarp virtuālajos un rūpnieciskajos, bet arī bezvadu kontrolleros, ugunsmūros un pat serveros.
Kolekcijas plūsma. Ņemot vērā, ka mūsdienu tīklā parasti ir vairāk nekā viena tīkla ierīce, rodas plūsmu savākšanas un konsolidācijas problēma, kas tiek atrisināta, izmantojot tā sauktos kolektorus, kas apstrādā saņemtās plūsmas un pēc tam nosūta tās analīzei.
Plūsmas analīze Analizators uzņemas galveno intelektuālo uzdevumu un, izmantojot dažādus algoritmus plūsmām, izdara noteiktus secinājumus. Piemēram, IT funkcijas ietvaros šāds analizators var identificēt tīkla vājās vietas vai analizēt trafika slodzes profilu turpmākai tīkla optimizācijai. Un informācijas drošībai šāds analizators var atklāt datu noplūdes, ļaunprātīga koda izplatību vai DoS uzbrukumus.

Nedomājiet, ka šī trīs līmeņu arhitektūra ir pārāk sarežģīta - visas pārējās iespējas (izņemot, iespējams, tīkla uzraudzības sistēmas, kas darbojas ar SNMP un RMON) arī darbojas saskaņā ar to. Mums ir datu ģenerators analīzei, kas var būt tīkla ierīce vai atsevišķs sensors. Mums ir trauksmes savākšanas sistēma un vadības sistēma visai uzraudzības infrastruktūrai. Pēdējos divus komponentus var apvienot vienā mezglā, bet vairāk vai mazāk lielos tīklos tie parasti tiek izkliedēti vismaz divās ierīcēs, lai nodrošinātu mērogojamību un uzticamību.

Atšķirībā no pakešu analīzes, kas balstās uz katras paketes un sesiju, no kurām tā sastāv, galvenes un pamatdatu izpēti, plūsmas analīze balstās uz metadatu vākšanu par tīkla trafiku. Kad, cik, no kurienes un kur, kā... uz šiem jautājumiem atbild tīkla telemetrijas analīze, izmantojot dažādus plūsmas protokolus. Sākotnēji tos izmantoja statistikas analīzei un IT problēmu atrašanai tīklā, bet pēc tam, attīstoties analītiskajiem mehānismiem, kļuva iespējams drošības nolūkos tos piemērot tai pašai telemetrijai. Vēlreiz ir vērts atzīmēt, ka plūsmas analīze neaizstāj vai neaizstāj pakešu uztveršanu. Katrai no šīm metodēm ir sava pielietojuma joma. Bet šī raksta kontekstā tieši plūsmas analīze ir vispiemērotākā iekšējās infrastruktūras uzraudzībai. Jums ir tīkla ierīces (neatkarīgi no tā, vai tās darbojas programmatūras definētā paradigmā vai saskaņā ar statiskiem noteikumiem), kuras uzbrukums nevar apiet. Tas var apiet klasisko IDS sensoru, bet tīkla ierīce, kas atbalsta plūsmas protokolu, nevar. Tā ir šīs metodes priekšrocība.

Savukārt, ja nepieciešami pierādījumi tiesībsargājošajām iestādēm vai savai incidentu izmeklēšanas grupai, neiztikt bez pakešu uztveršanas – tīkla telemetrija nav trafika kopija, ko var izmantot pierādījumu vākšanai; tas ir nepieciešams ātrai atklāšanai un lēmumu pieņemšanai informācijas drošības jomā. No otras puses, izmantojot telemetrijas analīzi, jūs varat “rakstīt” ne visu tīkla trafiku (ja kas, Cisco nodarbojas ar datu centriem :-), bet tikai to, kas ir iesaistīts uzbrukumā. Telemetrijas analīzes rīki šajā ziņā labi papildinās tradicionālos pakešu uztveršanas mehānismus, dodot komandas selektīvai uztveršanai un uzglabāšanai. Pretējā gadījumā jums būs jābūt kolosālai uzglabāšanas infrastruktūrai.

Iedomāsimies tīklu, kas darbojas ar ātrumu 250 Mbit/sek. Ja vēlaties saglabāt visu šo apjomu, jums būs nepieciešams 31 MB krātuve vienai trafika pārraides sekundei, 1,8 GB vienai minūtei, 108 GB vienai stundai un 2,6 TB vienai dienai. Lai saglabātu ikdienas datus no tīkla ar joslas platumu 10 Gbit/s, jums būs nepieciešama 108 TB krātuve. Taču daži regulatori pieprasa drošības datu glabāšanu gadiem ilgi... Ierakstīšana pēc pieprasījuma, kuru plūsmas analīze palīdz ieviest, palīdz samazināt šīs vērtības par lielumu kārtām. Starp citu, ja mēs runājam par reģistrēto tīkla telemetrijas datu apjoma un pilnīgas datu tveršanas attiecību, tad tas ir aptuveni 1 pret 500. Tādām pašām vērtībām, kas norādītas iepriekš, tiek saglabāts visas dienas trafika pilns atšifrējums. būs attiecīgi 5 un 216 GB (varat pat ierakstīt parastajā zibatmiņas diskā).

Ja tīkla neapstrādātu datu analīzes rīkiem to iegūšanas metode ir gandrīz vienāda no piegādātāja līdz pārdevējam, tad plūsmas analīzes gadījumā situācija ir atšķirīga. Plūsmas protokoliem ir vairākas iespējas, atšķirības, par kurām jums jāzina drošības kontekstā. Vispopulārākais ir Cisco izstrādātais Netflow protokols. Šim protokolam ir vairākas versijas, kas atšķiras pēc iespējām un ierakstītās satiksmes informācijas apjoma. Pašreizējā versija ir devītā (Netflow v9), uz kuras pamata tika izstrādāts nozares standarts Netflow v10, kas pazīstams arī kā IPFIX. Mūsdienās lielākā daļa tīkla pārdevēju savā aprīkojumā atbalsta Netflow vai IPFIX. Bet ir vēl dažādas plūsmas protokolu iespējas - sFlow, jFlow, cFlow, rFlow, NetStream utt., no kuriem sFlow ir vispopulārākais. Tieši šo veidu vietējie tīkla iekārtu ražotāji visbiežāk atbalsta tā ieviešanas vienkāršības dēļ. Kādas ir galvenās atšķirības starp Netflow, kas ir kļuvis par de facto standartu, un sFlow? Es izcelšu vairākus galvenos. Pirmkārt, Netflow ir lietotāja pielāgojami lauki pretstatā fiksētajiem sFlow laukiem. Un, otrkārt, un tas ir vissvarīgākais mūsu gadījumā, sFlow apkopo tā saukto izlases telemetriju; atšķirībā no neatlasītā Netflow un IPFIX. Kāda ir atšķirība starp tām?

Iedomājieties, ka jūs nolemjat izlasīt grāmatu "Drošības operāciju centrs: SOC izveide, darbība un uzturēšana” manu kolēģu - Gerija Makintara, Džozefa Munica un Nadema Alfardana (daļu grāmatas varat lejupielādēt no saites). Lai sasniegtu savu mērķi, jums ir trīs iespējas — izlasīt visu grāmatu, pārlūkot to, apstājoties pie katras 10. vai 20. lappuses, vai mēģināt atrast galveno jēdzienu pārstāstu emuārā vai pakalpojumā, piemēram, SmartReading. Tātad neatlasītā telemetrija nolasa katru tīkla trafika “lapu”, tas ir, analizē katras paketes metadatus. Izlases telemetrija ir selektīva trafika izpēte, cerot, ka atlasītajos paraugos būs tas, kas jums nepieciešams. Atkarībā no kanāla ātruma parauga telemetrija tiks nosūtīta analīzei katru 64., 200., 500., 1000., 2000. vai pat 10000. paketi.

Informācijas drošības uzraudzības kontekstā tas nozīmē, ka izlases telemetrija ir labi piemērota DDoS uzbrukumu noteikšanai, skenēšanai un ļaunprātīga koda izplatīšanai, taču var palaist garām atomu vai vairāku pakešu uzbrukumus, kas nebija iekļauti analīzei nosūtītajā paraugā. Neatlasītai telemetrijai šādu trūkumu nav. Tādējādi atklāto uzbrukumu klāsts ir daudz plašāks. Šeit ir īss notikumu saraksts, kurus var noteikt, izmantojot tīkla telemetrijas analīzes rīkus.

Protams, daži atvērtā pirmkoda Netflow analizatori to neļaus izdarīt, jo tā galvenais uzdevums ir apkopot telemetriju un veikt tā pamata analīzi no IT viedokļa. Lai identificētu informācijas drošības draudus, pamatojoties uz plūsmu, nepieciešams aprīkot analizatoru ar dažādiem dzinējiem un algoritmiem, kas identificēs kiberdrošības problēmas, pamatojoties uz standarta vai pielāgotiem Netflow laukiem, bagātinās standarta datus ar ārējiem datiem no dažādiem Threat Intelligence avotiem utt.

Tāpēc, ja jums ir izvēle, izvēlieties Netflow vai IPFIX. Bet pat tad, ja jūsu aprīkojums darbojas tikai ar sFlow, piemēram, vietējie ražotāji, pat šajā gadījumā jūs varat gūt labumu no tā drošības kontekstā.

2019. gada vasarā es analizēju iespējas, kādas ir Krievijas tīkla aparatūras ražotājiem, un tās visas, izņemot NSG, Polygon un Craftway, paziņoja par atbalstu sFlow (vismaz Zelax, Natex, Eltex, QTech, Rusteleteh).

Nākamais jautājums, ar kuru jūs saskarsities, ir tas, kur ieviest plūsmas atbalstu drošības nolūkos? Patiesībā jautājums nav uzdots pilnīgi pareizi. Mūsdienu aprīkojums gandrīz vienmēr atbalsta plūsmas protokolus. Tāpēc es jautājumu pārformulētu savādāk - kur ir visefektīvāk apkopot telemetriju no drošības viedokļa? Atbilde būs diezgan acīmredzama - piekļuves līmenī, kur jūs redzēsiet 100% no visas trafika, kur jums būs detalizēta informācija par hostiem (MAC, VLAN, interfeisa ID), kur jūs pat varat uzraudzīt P2P trafiku starp hostiem, kas ir ļoti svarīga, lai skenētu ļaunprātīga koda atklāšanu un izplatīšanu. Pamatlīmenī jūs varat vienkārši neredzēt daļu trafika, bet perimetra līmenī jūs redzēsit ceturto daļu no visas tīkla trafika. Bet, ja kāda iemesla dēļ jūsu tīklā ir svešas ierīces, kas ļauj uzbrucējiem “iekļūt un iziet”, neapejot perimetru, tad telemetrijas analīze no tā jums neko nedos. Tāpēc, lai nodrošinātu maksimālu pārklājumu, ir ieteicams piekļuves līmenī iespējot telemetrijas datu apkopošanu. Tajā pašā laikā ir vērts atzīmēt, ka pat tad, ja mēs runājam par virtualizāciju vai konteineriem, plūsmas atbalsts bieži ir atrodams arī mūsdienu virtuālajos slēdžos, kas ļauj kontrolēt trafiku arī tur.

Bet, tā kā es izvirzīju tēmu, man ir jāatbild uz jautājumu: ko darīt, ja aprīkojums, fiziskais vai virtuālais, neatbalsta plūsmas protokolus? Vai arī tā iekļaušana ir aizliegta (piemēram, rūpnieciskajos segmentos, lai nodrošinātu uzticamību)? Vai arī tā ieslēgšana noved pie lielas CPU slodzes (tas notiek ar vecāku aparatūru)? Lai atrisinātu šo problēmu, ir specializēti virtuālie sensori (plūsmas sensori), kas būtībā ir parastie sadalītāji, kas laiž cauri satiksmi un pārraida to plūsmas veidā uz savākšanas moduli. Tiesa, šajā gadījumā mēs iegūstam visas problēmas, par kurām mēs runājām iepriekš saistībā ar pakešu uztveršanas rīkiem. Tas ir, jums ir jāsaprot ne tikai plūsmas analīzes tehnoloģijas priekšrocības, bet arī tās ierobežojumi.

Vēl viens punkts, kas ir svarīgi atcerēties, runājot par plūsmas analīzes rīkiem. Ja saistībā ar tradicionālajiem drošības notikumu ģenerēšanas līdzekļiem mēs izmantojam EPS metriku (notikums sekundē), tad šis rādītājs nav piemērojams telemetrijas analīzei; to aizstāj ar FPS (plūsma sekundē). Tāpat kā EPS gadījumā, to nevar aprēķināt iepriekš, bet jūs varat novērtēt aptuveno pavedienu skaitu, ko konkrētā ierīce ģenerē atkarībā no tās uzdevuma. Internetā varat atrast tabulas ar aptuvenām vērtībām dažāda veida uzņēmuma ierīcēm un apstākļiem, kas ļaus novērtēt, kādas licences ir nepieciešamas analīzes rīkiem un kāda būs to arhitektūra? Fakts ir tāds, ka IDS sensoru ierobežo noteikts joslas platums, ko tas var “vilkt”, un plūsmas kolektoram ir savi ierobežojumi, kas ir jāsaprot. Tāpēc lielos, ģeogrāfiski sadalītos tīklos parasti ir vairāki kolektori. Kad es aprakstīju kā tīkls tiek uzraudzīts iekš Cisco, es jau norādīju mūsu kolekcionāru skaitu - to ir 21. Un tas ir tīklam, kas izkaisīts piecos kontinentos un kurā ir aptuveni pusmiljons aktīvo ierīču).

Mēs izmantojam savu risinājumu kā Netflow uzraudzības sistēmu Cisco Stealthwatch, kas ir īpaši vērsta uz drošības problēmu risināšanu. Tajā ir iebūvēti daudzi dzinēji anomālu, aizdomīgu un nepārprotami ļaunprātīgu darbību noteikšanai, kas ļauj atklāt visdažādākos draudus – no šifrēšanas līdz informācijas noplūdei, no kaitīga koda izplatības līdz krāpšanai. Tāpat kā lielākā daļa plūsmas analizatoru, arī Stealthwatch ir veidots pēc trīs līmeņu shēmas (ģenerators - kolektors - analizators), taču tas ir papildināts ar vairākām interesantām funkcijām, kas ir svarīgas aplūkojamā materiāla kontekstā. Pirmkārt, tas ir integrēts ar pakešu uztveršanas risinājumiem (piemēram, Cisco Security Packet Analyzer), kas ļauj ierakstīt atlasītās tīkla sesijas vēlākai padziļinātai izmeklēšanai un analīzei. Otrkārt, īpaši drošības uzdevumu paplašināšanai esam izstrādājuši īpašu nvzFlow protokolu, kas ļauj gala mezglos (serveros, darbstacijās u.c.) esošo lietojumprogrammu darbību “pārraidīt” telemetrijā un pārsūtīt uz kolektoru tālākai analīzei. Ja sākotnējā versijā Stealthwatch darbojas ar jebkuru plūsmas protokolu (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) tīkla līmenī, tad nvzFlow atbalsts ļauj veikt datu korelāciju arī mezgla līmenī, tādējādi. palielinot visas sistēmas efektivitāti un redzot vairāk uzbrukumu nekā parastie tīkla plūsmas analizatori.

Ir skaidrs, ka, runājot par Netflow analīzes sistēmām no drošības viedokļa, tirgus neaprobežojas tikai ar vienu Cisco risinājumu. Varat izmantot gan komerciālus, gan bezmaksas vai shareware risinājumus. Ir diezgan dīvaini, ja Cisco emuārā kā piemērus minu konkurentu risinājumus, tāpēc teikšu dažus vārdus par to, kā tīkla telemetriju var analizēt, izmantojot divus populārus, pēc nosaukuma līdzīgus, bet tomēr atšķirīgus rīkus - SiLK un ELK.

SiLK ir rīku komplekts (Internet-Level Knowledge sistēma) trafika analīzei, ko izstrādājis amerikāņu CERT/CC un kas šodienas raksta kontekstā atbalsta Netflow (5. un 9., populārākās versijas), IPFIX. un sFlow un izmantojot dažādas utilītas (rwfilter, rwcount, rwflowpack u.c.), lai veiktu dažādas darbības tīkla telemetrijā, lai atklātu tajā nesankcionētu darbību pazīmes. Bet ir jāņem vērā pāris svarīgi punkti. SiLK ir komandrindas rīks, kas veic tiešsaistes analīzi, ievadot šādas komandas (ICMP pakešu noteikšana, kas lielākas par 200 baitiem):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ne pārāk ērti. Jūs varat izmantot iSiLK GUI, taču tas jūsu dzīvi īpaši nepadarīs vieglāku, atrisinot tikai vizualizācijas funkciju, nevis nomainot analītiķi. Un tas ir otrais punkts. Atšķirībā no komerciālajiem risinājumiem, kuriem jau ir stabila analītiskā bāze, anomāliju noteikšanas algoritmi, atbilstoša darbplūsma utt., SiLK gadījumā tas viss būs jādara pašam, kas prasīs no jums nedaudz atšķirīgas kompetences nekā no jau gatavas lietojami instrumenti. Tas nav ne labi, ne slikti — šī ir gandrīz jebkura bezmaksas rīka iezīme, kas paredz, ka jūs zināt, kas jādara, un tas jums tikai palīdzēs (komerciālie rīki ir mazāk atkarīgi no lietotāju kompetences, lai gan viņi arī pieņem ka analītiķi saprot vismaz tīkla izmeklēšanas un uzraudzības pamatus). Bet atgriezīsimies pie SiLK. Analītiķa darba cikls ar to izskatās šādi:

Hipotēzes formulēšana. Mums ir jāsaprot, ko mēs meklēsim tīkla telemetrijā, jāzina unikālie atribūti, pēc kuriem mēs identificēsim noteiktas anomālijas vai draudus.
Modeļa veidošana. Pēc hipotēzes formulēšanas mēs to programmējam, izmantojot to pašu Python, apvalku vai citus rīkus, kas nav iekļauti SiLK.
Testēšana. Tagad pienāk kārta pārbaudīt mūsu hipotēzes pareizību, kas tiek apstiprināta vai atspēkota, izmantojot SiLK utilītus, kas sākas ar 'rw', 'set', 'bag'.
Reālu datu analīze. Rūpnieciskajā darbībā SiLK palīdz mums kaut ko identificēt un analītiķim ir jāatbild uz jautājumiem “Vai atradām to, ko gaidījām?”, “Vai tas atbilst mūsu hipotēzei?”, “Kā samazināt viltus pozitīvo rezultātu skaitu?”, “Kā lai uzlabotu atpazīstamības līmeni? » un tā tālāk.
Uzlabošana. Pēdējā posmā mēs uzlabojam iepriekš paveikto - veidojam veidnes, uzlabojam un optimizējam kodu, pārformulējam un precizējam hipotēzi utt.

Šis cikls būs piemērojams arī Cisco Stealthwatch, tikai pēdējais maksimāli automatizē šīs piecas darbības, samazinot analītiķu kļūdu skaitu un palielinot incidentu noteikšanas efektivitāti. Piemēram, SiLK var bagātināt tīkla statistiku ar ārējiem datiem par ļaunprātīgiem IP, izmantojot ar roku rakstītus skriptus, savukārt programmā Cisco Stealthwatch tā ir iebūvēta funkcija, kas nekavējoties parāda trauksmi, ja tīkla trafiks satur mijiedarbību ar IP adresēm no melnā saraksta.

Ja pakāpsies augstāk “apmaksātajā” plūsmas analīzes programmatūras piramīdā, tad pēc absolūti bezmaksas SiLK būs shareware ELK, kas sastāv no trim galvenajām sastāvdaļām - Elasticsearch (indeksēšana, meklēšana un datu analīze), Logstash (datu ievade/izvade). ) un Kibana (vizualizācija). Atšķirībā no SiLK, kur viss jāraksta pašam, ELK jau ir daudz gatavu bibliotēku/moduļu (daži maksas, daži ne), kas automatizē tīkla telemetrijas analīzi. Piemēram, GeoIP filtrs Logstash ļauj saistīt uzraudzītās IP adreses ar to ģeogrāfisko atrašanās vietu (Stealthwatch ir šī iebūvētā funkcija).

ELK ir arī diezgan liela kopiena, kas papildina šim uzraudzības risinājumam trūkstošās sastāvdaļas. Piemēram, lai strādātu ar Netflow, IPFIX un sFlow, varat izmantot moduli elastība, ja neesat apmierināts ar Logstash Netflow moduli, kas atbalsta tikai Netflow.

Lai gan ELK nodrošina lielāku efektivitāti plūsmas savākšanā un meklēšanā tajā, ELK pašlaik trūkst bagātīgas iebūvētas analīzes, lai noteiktu anomālijas un draudus tīkla telemetrijā. Tas ir, ievērojot iepriekš aprakstīto dzīves ciklu, jums būs patstāvīgi jāapraksta pārkāpumu modeļi un pēc tam jāizmanto kaujas sistēmā (tur nav iebūvētu modeļu).

ELK, protams, ir arī sarežģītāki paplašinājumi, kuros jau ir daži modeļi tīkla telemetrijas anomāliju noteikšanai, taču šādi paplašinājumi maksā naudu un jautājums ir, vai spēle ir sveces vērta - uzraksti pats līdzīgu modeli, iegādājies tā realizāciju. savam uzraudzības rīkam vai iegādājieties gatavu Tīkla trafika analīzes klases risinājumu.

Vispār nevēlos iedziļināties debatēs par to, ka labāk ir tērēt naudu un nopirkt gatavu risinājumu tīkla telemetrijas anomāliju un draudu uzraudzībai (piemēram, Cisco Stealthwatch) vai izdomāt pats un pielāgot to pašu. SiLK, ELK vai nfdump vai OSU plūsmas rīki katram jaunam apdraudējumam (es runāju par pēdējiem diviem no tiem stāstīja pēdējo reizi)? Katrs izvēlas pats un katram ir savs motīvs izvēlēties kādu no divām iespējām. Vēlējos tikai parādīt, ka tīkla telemetrija ir ļoti svarīgs instruments Jūsu iekšējās infrastruktūras tīkla drošības nodrošināšanā un nevajag to atstāt novārtā, lai neiekļūtu to uzņēmumu sarakstā, kuru vārds medijos tiek minēts līdz ar epitetiem “ uzlauzts”, “informācijas drošības prasībām neatbilstošs”, “nedomā par savu un klientu datu drošību”.

Apkopojot, es vēlos uzskaitīt galvenos padomus, kas jums jāievēro, veidojot savas iekšējās infrastruktūras informācijas drošības uzraudzību:

Neierobežojiet sevi tikai ar perimetru! Izmantojiet (un izvēlieties) tīkla infrastruktūru ne tikai, lai pārvietotu trafiku no punkta A uz punktu B, bet arī lai risinātu kiberdrošības problēmas.
Izpētiet esošos informācijas drošības uzraudzības mehānismus savā tīkla aprīkojumā un izmantojiet tos.
Iekšējai uzraudzībai dodiet priekšroku telemetrijas analīzei - tā ļauj atklāt līdz 80-90% no visiem tīkla informācijas drošības incidentiem, vienlaikus darot to, kas nav iespējams, tverot tīkla paketes un ietaupot vietu visu informācijas drošības notikumu glabāšanai.
Plūsmu uzraudzībai izmantojiet Netflow v9 vai IPFIX – tie sniedz vairāk informācijas drošības kontekstā un ļauj pārraudzīt ne tikai IPv4, bet arī IPv6, MPLS u.c.
Izmantojiet neatlasītu plūsmas protokolu — tas sniedz vairāk informācijas draudu noteikšanai. Piemēram, Netflow vai IPFIX.
Pārbaudiet tīkla aprīkojuma noslogojumu — tas var arī nespēs apstrādāt plūsmas protokolu. Pēc tam apsveriet iespēju izmantot virtuālos sensorus vai Netflow Generation Appliance.
Ieviesiet kontroli, pirmkārt, piekļuves līmenī - tas dos jums iespēju redzēt 100% no visas trafika.
Ja jums nav izvēles un izmantojat krievu tīkla aprīkojumu, izvēlieties tādu, kas atbalsta plūsmas protokolus vai kam ir SPAN/RSPAN porti.
Apvienojiet ielaušanās/uzbrukuma noteikšanas/novēršanas sistēmas malās un plūsmas analīzes sistēmas iekšējā tīklā (tostarp mākoņos).

Attiecībā uz pēdējo padomu es vēlos sniegt ilustrāciju, ko jau esmu sniedzis iepriekš. Redziet, ja iepriekš Cisco informācijas drošības dienests gandrīz pilnībā veidoja savu informācijas drošības uzraudzības sistēmu, pamatojoties uz ielaušanās atklāšanas sistēmām un parakstu metodēm, tad tagad tās veido tikai 20% incidentu. Vēl 20% attiecas uz plūsmas analīzes sistēmām, kas liecina, ka šie risinājumi nav kaprīze, bet gan reāls instruments mūsdienu uzņēmuma informācijas drošības dienestu darbībā. Turklāt jums ir vissvarīgākais to ieviešanai - tīkla infrastruktūra, kurā investīcijas var vēl vairāk aizsargāt, piešķirot tīklam informācijas drošības uzraudzības funkcijas.

Speciāli nepieskāros tēmai par reaģēšanu uz tīkla plūsmās konstatētajām anomālijām vai draudiem, bet domāju, ka jau tagad ir skaidrs, ka monitoringam nevajadzētu beigties tikai ar apdraudējuma konstatēšanu. Tam vajadzētu sekot atbildei un vēlams automātiskā vai automatizētā režīmā. Bet šī ir atsevišķa raksta tēma.

Papildus informācija:

PS. Ja jums ir vieglāk dzirdēt visu iepriekš rakstīto, varat noskatīties stundu garo prezentāciju, kas bija šīs piezīmes pamatā.

Avots: www.habr.com

Plūsmas protokoli kā instruments iekšējā tīkla drošības uzraudzībai

Pievieno komentāru Atcelt atbildi