Protokol aliran sebagai alat untuk memantau keselamatan rangkaian dalaman

Apabila ia datang untuk memantau keselamatan rangkaian korporat atau jabatan dalaman, ramai yang mengaitkannya dengan mengawal kebocoran maklumat dan melaksanakan penyelesaian DLP. Dan jika anda cuba menjelaskan soalan dan bertanya bagaimana anda mengesan serangan pada rangkaian dalaman, maka jawapannya, sebagai peraturan, akan menyebut tentang sistem pengesanan pencerobohan (IDS). Dan satu-satunya pilihan 10-20 tahun yang lalu menjadi anakronisme hari ini. Terdapat yang lebih berkesan, dan di beberapa tempat, satu-satunya pilihan yang mungkin untuk memantau rangkaian dalaman - menggunakan protokol aliran, yang pada asalnya direka untuk mencari masalah rangkaian (penyelesaian masalah), tetapi dari masa ke masa berubah menjadi alat keselamatan yang sangat menarik. Kami akan bercakap tentang protokol aliran yang ada dan yang mana lebih baik untuk mengesan serangan rangkaian, tempat terbaik untuk melaksanakan pemantauan aliran, perkara yang perlu dicari semasa menggunakan skema sedemikian, dan juga cara "mengangkat" semua ini pada peralatan domestik dalam skop artikel ini.

Saya tidak akan memikirkan soalan "Mengapa pemantauan keselamatan infrastruktur dalaman diperlukan?" Jawapannya nampak jelas. Tetapi jika, bagaimanapun, anda ingin memastikan sekali lagi bahawa hari ini anda tidak boleh hidup tanpanya, посмотрите video pendek tentang cara anda boleh menembusi rangkaian korporat yang dilindungi oleh tembok api dalam 17 cara. Oleh itu, kami akan menganggap bahawa kami memahami bahawa pemantauan dalaman adalah satu perkara yang perlu dan yang tinggal hanyalah untuk memahami bagaimana ia boleh dianjurkan.

Saya akan menyerlahkan tiga sumber data utama untuk memantau infrastruktur di peringkat rangkaian:

• trafik "mentah" yang kami tangkap dan serahkan untuk analisis kepada sistem analisis tertentu,
• peristiwa daripada peranti rangkaian yang melaluinya trafik,
• maklumat trafik yang diterima melalui salah satu protokol aliran.

Menangkap trafik mentah ialah pilihan yang paling popular dalam kalangan pakar keselamatan, kerana ia muncul dari segi sejarah dan merupakan yang pertama. Sistem pengesanan pencerobohan rangkaian konvensional (sistem pengesanan pencerobohan komersial pertama ialah NetRanger daripada Wheel Group, yang dibeli pada tahun 1998 oleh Cisco) terlibat dengan tepat dalam menangkap paket (dan sesi kemudian) di mana tandatangan tertentu dicari (“peraturan yang menentukan” dalam Terminologi FSTEC), isyarat serangan. Sudah tentu, anda boleh menganalisis trafik mentah bukan sahaja menggunakan IDS, tetapi juga menggunakan alat lain (contohnya, Wireshark, tcpdum atau fungsi NBAR2 dalam Cisco IOS), tetapi mereka biasanya kekurangan pangkalan pengetahuan yang membezakan alat keselamatan maklumat daripada alat biasa. alat IT.

Jadi, sistem pengesanan serangan. Kaedah tertua dan paling popular untuk mengesan serangan rangkaian, yang berfungsi dengan baik pada perimeter (tidak kira apa - korporat, pusat data, segmen, dll.), tetapi gagal dalam rangkaian suis moden dan perisian yang ditentukan. Dalam kes rangkaian yang dibina berdasarkan suis konvensional, infrastruktur penderia pengesanan serangan menjadi terlalu besar - anda perlu memasang penderia pada setiap sambungan ke nod yang anda mahu memantau serangan. Mana-mana pengilang, sudah tentu, dengan senang hati akan menjual ratusan dan ribuan penderia kepada anda, tetapi saya fikir belanjawan anda tidak dapat menyokong perbelanjaan sedemikian. Saya boleh mengatakan bahawa walaupun di Cisco (dan kami adalah pemaju NGIPS) kami tidak dapat melakukan ini, walaupun nampaknya isu harga ada di hadapan kami. Saya tidak sepatutnya tahan - ini keputusan kita sendiri. Di samping itu, persoalan timbul, bagaimana untuk menyambungkan sensor dalam versi ini? Ke dalam jurang? Bagaimana jika sensor itu sendiri gagal? Memerlukan modul pintasan dalam penderia? Gunakan pembahagi (ketik)? Semua ini menjadikan penyelesaian lebih mahal dan menjadikannya tidak mampu untuk syarikat dalam sebarang saiz.

Anda boleh cuba "menggantung" penderia pada port SPAN/RSPAN/ERSPAN dan mengarahkan trafik dari port suis yang diperlukan kepadanya. Pilihan ini mengalih keluar sebahagian masalah yang diterangkan dalam perenggan sebelumnya, tetapi menimbulkan satu lagi - port SPAN tidak boleh menerima sepenuhnya semua trafik yang akan dihantar kepadanya - ia tidak akan mempunyai lebar jalur yang mencukupi. Anda perlu mengorbankan sesuatu. Sama ada meninggalkan beberapa nod tanpa pemantauan (maka anda perlu mengutamakannya terlebih dahulu), atau menghantar bukan semua trafik dari nod, tetapi hanya jenis tertentu. Walau apa pun, kita mungkin terlepas beberapa serangan. Selain itu, port SPAN boleh digunakan untuk keperluan lain. Akibatnya, kami perlu menyemak topologi rangkaian sedia ada dan mungkin membuat pelarasan padanya untuk menampung rangkaian anda secara maksimum dengan bilangan penderia yang anda miliki (dan menyelaraskannya dengan IT).

Bagaimana jika rangkaian anda menggunakan laluan tidak simetri? Bagaimana jika anda telah melaksanakan atau merancang untuk melaksanakan SDN? Bagaimana jika anda perlu memantau mesin maya atau bekas yang trafiknya tidak mencapai suis fizikal sama sekali? Ini adalah soalan yang vendor IDS tradisional tidak suka kerana mereka tidak tahu cara menjawabnya. Mungkin mereka akan meyakinkan anda bahawa semua teknologi bergaya ini adalah gembar-gembur dan anda tidak memerlukannya. Mungkin mereka akan bercakap tentang keperluan untuk bermula dari kecil. Atau mungkin mereka akan mengatakan bahawa anda perlu meletakkan pengirik yang berkuasa di tengah-tengah rangkaian dan mengarahkan semua lalu lintas ke sana menggunakan pengimbang. Apa sahaja pilihan yang ditawarkan kepada anda, anda perlu memahami dengan jelas bagaimana ia sesuai dengan anda. Dan hanya selepas itu membuat keputusan untuk memilih pendekatan untuk memantau keselamatan maklumat infrastruktur rangkaian. Kembali ke penangkapan paket, saya ingin mengatakan bahawa kaedah ini terus menjadi sangat popular dan penting, tetapi tujuan utamanya adalah kawalan sempadan; sempadan antara organisasi anda dan Internet, sempadan antara pusat data dan seluruh rangkaian, sempadan antara sistem kawalan proses dan segmen korporat. Di tempat ini, IDS/IPS klasik masih mempunyai hak untuk wujud dan menangani tugas mereka dengan baik.

Mari kita beralih kepada pilihan kedua. Analisis peristiwa yang datang daripada peranti rangkaian juga boleh digunakan untuk tujuan pengesanan serangan, tetapi bukan sebagai mekanisme utama, kerana ia membenarkan pengesanan hanya kelas kecil pencerobohan. Di samping itu, ia wujud dalam beberapa kereaktifan - serangan itu mesti berlaku terlebih dahulu, kemudian ia mesti direkodkan oleh peranti rangkaian, yang dalam satu cara atau yang lain akan memberi isyarat masalah dengan keselamatan maklumat. Terdapat beberapa cara sedemikian. Ini boleh jadi syslog, RMON atau SNMP. Dua protokol terakhir untuk pemantauan rangkaian dalam konteks keselamatan maklumat digunakan hanya jika kita perlu mengesan serangan DoS pada peralatan rangkaian itu sendiri, kerana menggunakan RMON dan SNMP adalah mungkin, sebagai contoh, untuk memantau beban pada pusat peranti. pemproses atau antara mukanya. Ini adalah salah satu yang "paling murah" (semua orang mempunyai syslog atau SNMP), tetapi juga yang paling tidak berkesan dari semua kaedah memantau keselamatan maklumat infrastruktur dalaman - banyak serangan tersembunyi daripadanya. Sudah tentu, mereka tidak boleh diabaikan, dan analisis syslog yang sama membantu anda mengenal pasti perubahan tepat pada masanya dalam konfigurasi peranti itu sendiri, komprominya, tetapi ia tidak begitu sesuai untuk mengesan serangan pada keseluruhan rangkaian.

Pilihan ketiga ialah menganalisis maklumat tentang trafik yang melalui peranti yang menyokong salah satu daripada beberapa protokol aliran. Dalam kes ini, tanpa mengira protokol, infrastruktur threading semestinya terdiri daripada tiga komponen:

• Penjanaan atau eksport aliran. Peranan ini biasanya diberikan kepada penghala, suis atau peranti rangkaian lain, yang, dengan menghantar trafik rangkaian melalui dirinya sendiri, membolehkan anda mengekstrak parameter utama daripadanya, yang kemudiannya dihantar ke modul pengumpulan. Sebagai contoh, Cisco menyokong protokol Netflow bukan sahaja pada penghala dan suis, termasuk maya dan industri, tetapi juga pada pengawal wayarles, tembok api dan juga pelayan.
• Aliran pengumpulan. Memandangkan rangkaian moden biasanya mempunyai lebih daripada satu peranti rangkaian, masalah mengumpul dan menyatukan aliran timbul, yang diselesaikan menggunakan apa yang dipanggil pengumpul, yang memproses aliran yang diterima dan kemudian menghantarnya untuk analisis.
• Analisis aliran Penganalisis mengambil tugas intelek utama dan, menggunakan pelbagai algoritma pada aliran, membuat kesimpulan tertentu. Sebagai contoh, sebagai sebahagian daripada fungsi IT, penganalisis sedemikian boleh mengenal pasti kesesakan rangkaian atau menganalisis profil beban trafik untuk pengoptimuman rangkaian selanjutnya. Dan untuk keselamatan maklumat, penganalisis sedemikian boleh mengesan kebocoran data, penyebaran kod berniat jahat atau serangan DoS.

Jangan fikir seni bina tiga peringkat ini terlalu rumit - semua pilihan lain (kecuali, mungkin, sistem pemantauan rangkaian yang berfungsi dengan SNMP dan RMON) juga berfungsi mengikutnya. Kami mempunyai penjana data untuk analisis, yang boleh menjadi peranti rangkaian atau penderia yang berdiri sendiri. Kami mempunyai sistem pengumpulan penggera dan sistem pengurusan untuk keseluruhan infrastruktur pemantauan. Dua komponen terakhir boleh digabungkan dalam satu nod, tetapi dalam rangkaian yang lebih atau kurang besar ia biasanya tersebar di sekurang-kurangnya dua peranti untuk memastikan kebolehskalaan dan kebolehpercayaan.

Tidak seperti analisis paket, yang berdasarkan kajian pengepala dan data badan setiap paket dan sesi yang terdiri daripadanya, analisis aliran bergantung pada pengumpulan metadata tentang trafik rangkaian. Bila, berapa banyak, dari mana dan di mana, bagaimana... ini adalah soalan-soalan yang dijawab oleh analisis telemetri rangkaian menggunakan pelbagai protokol aliran. Pada mulanya, mereka digunakan untuk menganalisis statistik dan mencari masalah IT pada rangkaian, tetapi kemudian, apabila mekanisme analisis berkembang, ia menjadi mungkin untuk menerapkannya pada telemetri yang sama untuk tujuan keselamatan. Perlu diingat sekali lagi bahawa analisis aliran tidak menggantikan atau menggantikan penangkapan paket. Setiap kaedah ini mempunyai kawasan aplikasinya sendiri. Tetapi dalam konteks artikel ini, analisis aliran yang paling sesuai untuk memantau infrastruktur dalaman. Anda mempunyai peranti rangkaian (sama ada ia beroperasi dalam paradigma yang ditentukan perisian atau mengikut peraturan statik) yang serangan tidak boleh memintas. Ia boleh memintas penderia IDS klasik, tetapi peranti rangkaian yang menyokong protokol aliran tidak boleh. Inilah kelebihan kaedah ini.

Sebaliknya, jika anda memerlukan bukti untuk penguatkuasaan undang-undang atau pasukan penyiasat insiden anda sendiri, anda tidak boleh melakukannya tanpa penangkapan paket - telemetri rangkaian bukanlah salinan trafik yang boleh digunakan untuk mengumpul bukti; ia diperlukan untuk pengesanan pantas dan membuat keputusan dalam bidang keselamatan maklumat. Sebaliknya, menggunakan analisis telemetri, anda boleh "menulis" bukan semua trafik rangkaian (jika ada, Cisco berurusan dengan pusat data :-), tetapi hanya yang terlibat dalam serangan itu. Alat analisis telemetri dalam hal ini akan melengkapkan mekanisme penangkapan paket tradisional dengan baik, memberikan arahan untuk penangkapan dan penyimpanan terpilih. Jika tidak, anda perlu mempunyai infrastruktur storan yang besar.

Mari bayangkan rangkaian beroperasi pada kelajuan 250 Mbit/saat. Jika anda ingin menyimpan semua volum ini, maka anda memerlukan 31 MB storan untuk satu saat penghantaran trafik, 1,8 GB untuk satu minit, 108 GB untuk satu jam dan 2,6 TB untuk satu hari. Untuk menyimpan data harian daripada rangkaian dengan lebar jalur 10 Gbit/s, anda memerlukan 108 TB storan. Tetapi sesetengah pengawal selia memerlukan penyimpanan data keselamatan selama bertahun-tahun... Rakaman atas permintaan, yang analisis aliran membantu anda laksanakan, membantu mengurangkan nilai ini mengikut susunan magnitud. Dengan cara ini, jika kita bercakap tentang nisbah volum data telemetri rangkaian yang direkodkan dan penangkapan data lengkap, maka ia adalah kira-kira 1 hingga 500. Untuk nilai yang sama ​​yang diberikan di atas, menyimpan transkrip penuh semua trafik harian akan menjadi 5 dan 216 GB, masing-masing (anda juga boleh merakamnya pada pemacu kilat biasa ).

Jika untuk alat untuk menganalisis data rangkaian mentah, kaedah menangkapnya hampir sama dari vendor ke vendor, maka dalam kes analisis aliran keadaannya berbeza. Terdapat beberapa pilihan untuk protokol aliran, perbezaan yang perlu anda ketahui dalam konteks keselamatan. Yang paling popular ialah protokol Netflow yang dibangunkan oleh Cisco. Terdapat beberapa versi protokol ini, berbeza dari segi keupayaan dan jumlah maklumat trafik yang direkodkan. Versi semasa ialah yang kesembilan (Netflow v9), berdasarkan standard industri Netflow v10, juga dikenali sebagai IPFIX, telah dibangunkan. Hari ini, kebanyakan vendor rangkaian menyokong Netflow atau IPFIX dalam peralatan mereka. Tetapi terdapat pelbagai pilihan lain untuk protokol aliran - sFlow, jFlow, cFlow, rFlow, NetStream, dll., yang mana sFlow adalah yang paling popular. Jenis ini yang paling sering disokong oleh pengeluar domestik peralatan rangkaian kerana kemudahan pelaksanaannya. Apakah perbezaan utama antara Netflow, yang telah menjadi standard de facto, dan sFlow? Saya akan menyerlahkan beberapa yang penting. Pertama, Netflow mempunyai medan yang boleh disesuaikan pengguna berbanding dengan medan tetap dalam sFlow. Dan kedua, dan ini adalah perkara yang paling penting dalam kes kami, sFlow mengumpul apa yang dipanggil telemetri sampel; berbeza dengan yang belum disampel untuk Netflow dan IPFIX. Apakah perbezaan antara mereka?

Bayangkan anda memutuskan untuk membaca buku itu "Pusat Operasi Keselamatan: Membina, Mengendalikan dan Menyelenggara SOC anda” daripada rakan sekerja saya - Gary McIntyre, Joseph Munitz dan Nadem Alfardan (anda boleh memuat turun sebahagian daripada buku dari pautan). Anda mempunyai tiga pilihan untuk mencapai matlamat anda - baca keseluruhan buku, semak buku itu, berhenti di setiap halaman ke-10 atau ke-20 atau cuba mencari penceritaan semula konsep utama pada blog atau perkhidmatan seperti SmartReading. Jadi, telemetri tanpa sampel sedang membaca setiap "halaman" trafik rangkaian, iaitu, menganalisis metadata untuk setiap paket. Telemetri sampel ialah kajian terpilih trafik dengan harapan sampel yang dipilih akan mengandungi apa yang anda perlukan. Bergantung pada kelajuan saluran, sampel telemetri akan dihantar untuk analisis setiap paket ke-64, ke-200, ke-500, ke-1000, ke-2000 atau bahkan ke-10000.

Dalam konteks pemantauan keselamatan maklumat, ini bermakna telemetri sampel sangat sesuai untuk mengesan serangan DDoS, mengimbas dan menyebarkan kod berniat jahat, tetapi mungkin terlepas serangan atom atau berbilang paket yang tidak disertakan dalam sampel yang dihantar untuk analisis. Telemetri tanpa sampel tidak mempunyai kelemahan sedemikian. Dengan ini, julat serangan yang dikesan adalah lebih luas. Berikut ialah senarai pendek peristiwa yang boleh dikesan menggunakan alat analisis telemetri rangkaian.

Sudah tentu, beberapa penganalisis Netflow sumber terbuka tidak akan membenarkan anda melakukan ini, kerana tugas utamanya adalah untuk mengumpul telemetri dan menjalankan analisis asas mengenainya dari sudut IT. Untuk mengenal pasti ancaman keselamatan maklumat berdasarkan aliran, adalah perlu untuk melengkapkan penganalisis dengan pelbagai enjin dan algoritma, yang akan mengenal pasti masalah keselamatan siber berdasarkan medan Netflow standard atau tersuai, memperkayakan data standard dengan data luaran daripada pelbagai sumber Perisikan Ancaman, dsb.

Oleh itu, jika anda mempunyai pilihan, maka pilih Netflow atau IPFIX. Tetapi walaupun peralatan anda hanya berfungsi dengan sFlow, seperti pengeluar domestik, walaupun dalam kes ini anda boleh mendapat manfaat daripadanya dalam konteks keselamatan.

Pada musim panas 2019, saya menganalisis keupayaan yang dimiliki oleh pengeluar perkakasan rangkaian Rusia dan kesemuanya, tidak termasuk NSG, Polygon dan Craftway, mengumumkan sokongan untuk sFlow (sekurang-kurangnya Zelax, Natex, Eltex, QTech, Rusteleteh).

Soalan seterusnya yang akan anda hadapi ialah di mana untuk melaksanakan sokongan aliran untuk tujuan keselamatan? Sebenarnya, soalan itu tidak dikemukakan dengan betul. Peralatan moden hampir selalu menyokong protokol aliran. Oleh itu, saya akan merumuskan semula soalan secara berbeza - di manakah paling berkesan untuk mengumpul telemetri dari sudut keselamatan? Jawapannya akan agak jelas - pada tahap akses, di mana anda akan melihat 100% daripada semua lalu lintas, di mana anda akan mempunyai maklumat terperinci tentang hos (MAC, VLAN, ID antara muka), di mana anda juga boleh memantau lalu lintas P2P antara hos, yang adalah penting untuk pengesanan imbasan dan pengedaran kod berniat jahat. Pada peringkat teras, anda mungkin tidak melihat sebahagian daripada trafik, tetapi pada tahap perimeter, anda akan melihat satu perempat daripada semua trafik rangkaian anda. Tetapi jika atas sebab tertentu anda mempunyai peranti asing pada rangkaian anda yang membenarkan penyerang "masuk dan keluar" tanpa memintas perimeter, maka menganalisis telemetri daripadanya tidak akan memberi anda apa-apa. Oleh itu, untuk liputan maksimum, adalah disyorkan untuk membolehkan pengumpulan telemetri pada tahap capaian. Pada masa yang sama, perlu diingat bahawa walaupun kita bercakap tentang virtualisasi atau bekas, sokongan aliran juga sering dijumpai dalam suis maya moden, yang membolehkan anda mengawal lalu lintas di sana juga.

Tetapi sejak saya membangkitkan topik itu, saya perlu menjawab soalan: bagaimana jika peralatan, fizikal atau maya, tidak menyokong protokol aliran? Atau adakah kemasukannya dilarang (contohnya, dalam segmen industri untuk memastikan kebolehpercayaan)? Atau adakah menghidupkannya membawa kepada beban CPU yang tinggi (ini berlaku pada perkakasan yang lebih lama)? Untuk menyelesaikan masalah ini, terdapat penderia maya khusus (penderia aliran), yang pada asasnya adalah pembahagi biasa yang melalui trafik melalui diri mereka sendiri dan menyiarkannya dalam bentuk aliran ke modul pengumpulan. Benar, dalam kes ini kita mendapat semua masalah yang kita bincangkan di atas berkaitan dengan alat penangkapan paket. Iaitu, anda perlu memahami bukan sahaja kelebihan teknologi analisis aliran, tetapi juga batasannya.

Satu lagi perkara yang penting untuk diingat apabila bercakap tentang alat analisis aliran. Jika berhubung dengan cara konvensional untuk menjana peristiwa keselamatan kita menggunakan metrik EPS (peristiwa sesaat), maka penunjuk ini tidak boleh digunakan untuk analisis telemetri; ia digantikan dengan FPS (aliran sesaat). Seperti dalam kes EPS, ia tidak boleh dikira terlebih dahulu, tetapi anda boleh menganggarkan anggaran bilangan benang yang dihasilkan oleh peranti tertentu bergantung pada tugasnya. Anda boleh menemui jadual di Internet dengan nilai anggaran untuk pelbagai jenis peranti dan keadaan perusahaan, yang membolehkan anda menganggarkan lesen yang anda perlukan untuk alat analisis dan apakah seni binanya? Hakikatnya ialah sensor IDS dihadkan oleh jalur lebar tertentu yang boleh "tarik", dan pengumpul aliran mempunyai batasannya sendiri yang mesti difahami. Oleh itu, dalam rangkaian besar yang diedarkan secara geografi biasanya terdapat beberapa pengumpul. Apabila saya menerangkan bagaimana rangkaian dipantau di dalam Cisco, saya telah memberikan bilangan pengumpul kami - terdapat 21 daripadanya. Dan ini adalah untuk rangkaian yang tersebar di lima benua dan berjumlah kira-kira setengah juta peranti aktif).

Kami menggunakan penyelesaian kami sendiri sebagai sistem pemantauan Netflow Cisco Stealthwatch, yang tertumpu khusus untuk menyelesaikan masalah keselamatan. Ia mempunyai banyak enjin terbina dalam untuk mengesan aktiviti anomali, mencurigakan dan jelas berniat jahat, yang membolehkan anda mengesan pelbagai jenis ancaman yang berbeza - daripada cryptomining kepada kebocoran maklumat, daripada penyebaran kod berniat jahat kepada penipuan. Seperti kebanyakan penganalisis aliran, Stealthwatch dibina mengikut skema tiga peringkat (penjana - pengumpul - penganalisis), tetapi ia ditambah dengan beberapa ciri menarik yang penting dalam konteks bahan yang sedang dipertimbangkan. Pertama, ia disepadukan dengan penyelesaian penangkapan paket (seperti Cisco Security Packet Analyzer), yang membolehkan anda merakam sesi rangkaian terpilih untuk penyiasatan dan analisis mendalam kemudian. Kedua, khusus untuk mengembangkan tugas keselamatan, kami telah membangunkan protokol nvzFlow khas, yang membolehkan anda "menyiarkan" aktiviti aplikasi pada nod akhir (pelayan, stesen kerja, dll.) ke dalam telemetri dan menghantarnya kepada pengumpul untuk analisis lanjut. Jika dalam versi asalnya Stealthwatch berfungsi dengan mana-mana protokol aliran (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) pada peringkat rangkaian, maka sokongan nvzFlow membenarkan korelasi data juga pada tahap nod, dengan itu. meningkatkan kecekapan keseluruhan sistem dan melihat lebih banyak serangan daripada penganalisis aliran rangkaian konvensional.

Adalah jelas bahawa apabila bercakap tentang sistem analisis Netflow dari sudut keselamatan, pasaran tidak terhad kepada penyelesaian tunggal dari Cisco. Anda boleh menggunakan kedua-dua penyelesaian komersial dan percuma atau perisian kongsi. Agak pelik jika saya memetik penyelesaian pesaing sebagai contoh di blog Cisco, jadi saya akan menyebut beberapa perkataan tentang cara telemetri rangkaian boleh dianalisis menggunakan dua alat yang popular, serupa dalam nama, tetapi masih berbeza - SiLK dan ELK.

SiLK ialah satu set alat (Sistem untuk Pengetahuan Tahap Internet) untuk analisis trafik, dibangunkan oleh CERT/CC Amerika dan yang menyokong, dalam konteks artikel hari ini, Netflow (versi ke-5 dan ke-9, versi paling popular), IPFIX dan sFlow dan menggunakan pelbagai utiliti (rwfilter, rwcount, rwflowpack, dll.) untuk melaksanakan pelbagai operasi pada telemetri rangkaian untuk mengesan tanda-tanda tindakan yang tidak dibenarkan di dalamnya. Tetapi terdapat beberapa perkara penting yang perlu diberi perhatian. SiLK ialah alat baris arahan yang melakukan analisis dalam talian dengan memasukkan arahan seperti ini (pengesanan paket ICMP lebih besar daripada 200 bait):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

tak selesa sangat. Anda boleh menggunakan GUI iSiLK, tetapi ia tidak akan menjadikan hidup anda lebih mudah, hanya menyelesaikan fungsi visualisasi dan tidak menggantikan penganalisis. Dan ini adalah point kedua. Tidak seperti penyelesaian komersial, yang sudah mempunyai asas analisis yang kukuh, algoritma pengesanan anomali, aliran kerja yang sepadan, dll., dalam kes SiLK anda perlu melakukan semua ini sendiri, yang memerlukan kecekapan yang sedikit berbeza daripada anda daripada menggunakan yang sudah sedia- alat untuk digunakan. Ini tidak baik atau buruk - ini adalah ciri hampir mana-mana alat percuma yang menganggap bahawa anda tahu apa yang perlu dilakukan, dan ia hanya akan membantu anda dengan ini (alat komersil kurang bergantung pada kecekapan penggunanya, walaupun mereka juga menganggap bahawa penganalisis memahami sekurang-kurangnya asas penyiasatan dan pemantauan rangkaian). Tetapi mari kita kembali kepada SiLK. Kitaran kerja penganalisis dengannya kelihatan seperti ini:

• Merumus hipotesis. Kita mesti memahami perkara yang akan kita cari dalam telemetri rangkaian, mengetahui sifat unik yang dengannya kita akan mengenal pasti anomali atau ancaman tertentu.
• Membina model. Setelah merumuskan hipotesis, kami memprogramkannya menggunakan Python, shell atau alatan lain yang tidak disertakan dalam SiLK.
• Menguji. Kini tiba giliran untuk menyemak ketepatan hipotesis kami, yang disahkan atau disangkal menggunakan utiliti SiLK bermula dengan 'rw', 'set', 'beg'.
• Analisis data sebenar. Dalam operasi perindustrian, SiLK membantu kami mengenal pasti sesuatu dan penganalisis mesti menjawab soalan "Adakah kami mendapati apa yang kami jangkakan?", "Adakah ini sepadan dengan hipotesis kami?", "Bagaimana untuk mengurangkan bilangan positif palsu?", "Bagaimanakah untuk meningkatkan tahap pengiktirafan? » dan sebagainya.
• Penambahbaikan. Pada peringkat akhir, kami menambah baik perkara yang telah dilakukan sebelum ini - kami mencipta templat, menambah baik dan mengoptimumkan kod, merumuskan semula dan menjelaskan hipotesis, dsb.

Kitaran ini juga akan digunakan untuk Cisco Stealthwatch, hanya yang terakhir mengautomasikan lima langkah ini secara maksimum, mengurangkan bilangan ralat penganalisis dan meningkatkan kecekapan pengesanan insiden. Sebagai contoh, dalam SiLK anda boleh memperkayakan statistik rangkaian dengan data luaran pada IP berniat jahat menggunakan skrip tulisan tangan, dan dalam Cisco Stealthwatch ia adalah fungsi terbina dalam yang segera memaparkan penggera jika trafik rangkaian mengandungi interaksi dengan alamat IP daripada senarai hitam.

Jika anda pergi lebih tinggi dalam piramid "berbayar" untuk perisian analisis aliran, maka selepas SiLK yang benar-benar percuma akan ada ELK perisian kongsi, yang terdiri daripada tiga komponen utama - Elasticsearch (pengindeksan, carian dan analisis data), Logstash (input/output data ) dan Kibana ( visualisasi). Tidak seperti SiLK, di mana anda perlu menulis semuanya sendiri, ELK sudah mempunyai banyak perpustakaan/modul siap sedia (ada yang berbayar, ada yang tidak) yang mengautomasikan analisis telemetri rangkaian. Sebagai contoh, penapis GeoIP dalam Logstash membolehkan anda mengaitkan alamat IP yang dipantau dengan lokasi geografinya (Stealthwatch mempunyai ciri terbina dalam ini).

ELK juga mempunyai komuniti yang agak besar yang sedang melengkapkan komponen yang hilang untuk penyelesaian pemantauan ini. Sebagai contoh, untuk bekerja dengan Netflow, IPFIX dan sFlow anda boleh menggunakan modul tersebut elastiflow, jika anda tidak berpuas hati dengan Modul Logstash Netflow, yang hanya menyokong Netflow.

Sambil memberikan lebih kecekapan dalam mengumpul aliran dan mencari di dalamnya, ELK pada masa ini kekurangan analitik terbina dalam yang kaya untuk mengesan anomali dan ancaman dalam telemetri rangkaian. Iaitu, mengikut kitaran hayat yang diterangkan di atas, anda perlu menerangkan model pelanggaran secara bebas dan kemudian menggunakannya dalam sistem pertempuran (tiada model terbina dalam di sana).

Sudah tentu, terdapat sambungan yang lebih canggih untuk ELK, yang sudah mengandungi beberapa model untuk mengesan anomali dalam telemetri rangkaian, tetapi sambungan sedemikian memerlukan wang dan persoalannya ialah sama ada permainan itu bernilai lilin - tulis model yang sama sendiri, beli pelaksanaannya untuk alat pemantauan anda, atau beli penyelesaian siap sedia untuk kelas Analisis Trafik Rangkaian.

Secara umum, saya tidak mahu terlibat dalam perdebatan bahawa lebih baik membelanjakan wang dan membeli penyelesaian sedia untuk memantau anomali dan ancaman dalam telemetri rangkaian (contohnya, Cisco Stealthwatch) atau memikirkannya sendiri dan menyesuaikan perkara yang sama SiLK, ELK atau nfdump atau Alat Aliran OSU untuk setiap ancaman baharu ( saya bercakap tentang dua yang terakhir memberitahu kali terakhir)? Setiap orang memilih untuk diri mereka sendiri dan setiap orang mempunyai motif mereka sendiri untuk memilih mana-mana dua pilihan. Saya hanya ingin menunjukkan bahawa telemetri rangkaian adalah alat yang sangat penting dalam memastikan keselamatan rangkaian infrastruktur dalaman anda dan anda tidak boleh mengabaikannya, supaya tidak menyertai senarai syarikat yang namanya disebut dalam media bersama-sama dengan julukan " digodam”, “tidak mematuhi keperluan keselamatan maklumat” ", "tidak memikirkan tentang keselamatan data dan data pelanggan mereka."

Untuk meringkaskan, saya ingin menyenaraikan petua utama yang perlu anda ikuti semasa membina pemantauan keselamatan maklumat bagi infrastruktur dalaman anda:

1. Jangan hanya menghadkan diri anda kepada perimeter! Gunakan (dan pilih) infrastruktur rangkaian bukan sahaja untuk mengalihkan trafik dari titik A ke titik B, tetapi juga untuk menangani isu keselamatan siber.
2. Kaji mekanisme pemantauan keselamatan maklumat sedia ada dalam peralatan rangkaian anda dan gunakannya.
3. Untuk pemantauan dalaman, berikan keutamaan kepada analisis telemetri - ia membolehkan anda mengesan sehingga 80-90% daripada semua insiden keselamatan maklumat rangkaian, sambil melakukan perkara yang mustahil apabila menangkap paket rangkaian dan menjimatkan ruang untuk menyimpan semua peristiwa keselamatan maklumat.
4. Untuk memantau aliran, gunakan Netflow v9 atau IPFIX - ia menyediakan lebih banyak maklumat dalam konteks keselamatan dan membolehkan anda memantau bukan sahaja IPv4, tetapi juga IPv6, MPLS, dsb.
5. Gunakan protokol aliran tanpa sampel - ia menyediakan lebih banyak maklumat untuk mengesan ancaman. Contohnya, Netflow atau IPFIX.
6. Periksa beban pada peralatan rangkaian anda - ia mungkin tidak dapat mengendalikan protokol aliran juga. Kemudian pertimbangkan untuk menggunakan penderia maya atau Netflow Generation Appliance.
7. Laksanakan kawalan pertama sekali pada tahap akses - ini akan memberi anda peluang untuk melihat 100% daripada semua trafik.
8. Jika anda tiada pilihan dan anda menggunakan peralatan rangkaian Rusia, kemudian pilih salah satu yang menyokong protokol aliran atau mempunyai port SPAN/RSPAN.
9. Gabungkan sistem pengesanan/pencegahan pencerobohan/serangan di tepi dan sistem analisis aliran dalam rangkaian dalaman (termasuk di awan).

Berkenaan tip terakhir, saya ingin memberikan ilustrasi yang telah saya berikan sebelum ini. Anda lihat bahawa jika sebelum ini perkhidmatan keselamatan maklumat Cisco hampir sepenuhnya membina sistem pemantauan keselamatan maklumatnya berdasarkan sistem pengesanan pencerobohan dan kaedah tandatangan, kini ia hanya menyumbang 20% ​​daripada insiden. 20% lagi jatuh pada sistem analisis aliran, yang menunjukkan bahawa penyelesaian ini bukan sesuka hati, tetapi alat sebenar dalam aktiviti perkhidmatan keselamatan maklumat perusahaan moden. Lebih-lebih lagi, anda mempunyai perkara yang paling penting untuk pelaksanaannya - infrastruktur rangkaian, pelaburan yang boleh dilindungi selanjutnya dengan memberikan fungsi pemantauan keselamatan maklumat kepada rangkaian.

Saya secara khusus tidak menyentuh topik tindak balas kepada anomali atau ancaman yang dikenal pasti dalam aliran rangkaian, tetapi saya fikir sudah jelas bahawa pemantauan tidak harus berakhir hanya dengan pengesanan ancaman. Ia harus diikuti dengan respons dan sebaik-baiknya dalam mod automatik atau automatik. Tetapi ini adalah topik untuk artikel berasingan.

Maklumat Tambahan:

• Penerangan mengenai Cisco IOS Netflow
• Matriks sokongan Netflow dalam pelbagai penyelesaian Cisco
• Panduan untuk Mengkonfigurasi Aliran Bersih pada Pelbagai Platform Cisco
• Komuniti sFlow
• Makmal menggunakan Stealtjwatch, SiLK dan ELK untuk menganalisis Netflow daripada perspektif keselamatan
• laman web SiLK
• Panduan tiga ratus halaman untuk menggunakan SiLK dengan banyak contoh
• Modul Logstash Netflow
• Panduan Langkah demi Langkah Cisco untuk Analisis Aliran Bersih dalam ELK
• Analisis NetFlow v.9 Cisco ASA menggunakan Logstash (ELK)
• Penyelesaian Cisco Stealthwatch

PS. Jika lebih mudah untuk anda mendengar semua yang ditulis di atas, maka anda boleh menonton pembentangan selama sejam yang menjadi asas nota ini.

Sumber: www.habr.com