Meta niġu għall-monitoraġġ tas-sigurtà ta 'netwerk korporattiv intern jew dipartimentali, ħafna jassoċjawha mal-kontroll ta' tnixxijiet ta 'informazzjoni u l-implimentazzjoni ta' soluzzjonijiet DLP. U jekk tipprova tiċċara l-mistoqsija u tistaqsi kif tiskopri attakki fuq in-netwerk intern, allura t-tweġiba, bħala regola, tkun aċċenn għas-sistemi ta 'detezzjoni tal-intrużjoni (IDS). U dik li kienet l-unika għażla 10-20 sena ilu qed issir anakroniżmu llum. Hemm għażla aktar effettiva, u f'xi postijiet, l-unika għażla possibbli għall-monitoraġġ ta 'netwerk intern - bl-użu ta' protokolli tal-fluss, li oriġinarjament kienu ddisinjati biex ifittxu problemi tan-netwerk (soluzzjoni ta 'problemi), iżda maż-żmien trasformati f'għodda ta' sigurtà interessanti ħafna. Se nitkellmu dwar liema protokolli tal-fluss hemm u liema huma aħjar biex jiskopru attakki tan-netwerk, fejn huwa aħjar li timplimenta l-monitoraġġ tal-fluss, x'għandek tfittex meta tuża skema bħal din, u anke kif "tneħħi" dan kollu fuq tagħmir domestiku fl-ambitu ta’ dan l-artikolu.
Mhux se nitkellem fuq il-mistoqsija "Għaliex huwa meħtieġ il-monitoraġġ tas-sigurtà tal-infrastruttura interna?" It-tweġiba tidher ċara. Imma jekk, madankollu, tixtieq taċċerta għal darb'oħra li llum ma tistax tgħix mingħajrha, vidjo qasir dwar kif tista' tippenetra netwerk korporattiv protett minn firewall bi 17-il mod. Għalhekk, se nassumu li nifhmu li l-monitoraġġ intern huwa ħaġa meħtieġa u li jibqa’ biss li nifhmu kif jista’ jiġi organizzat.
Nixtieq nenfasizza tliet sorsi ta' dejta ewlenin għall-monitoraġġ tal-infrastruttura fil-livell tan-netwerk:
- traffiku “nej” li aħna naqbdu u nissottomettu għall-analiżi lil ċerti sistemi ta’ analiżi,
- avvenimenti minn apparati tan-netwerk li minnhom jgħaddi t-traffiku,
- informazzjoni tat-traffiku riċevuta permezz ta' wieħed mill-protokolli tal-fluss.
Il-qbid tat-traffiku mhux maħdum huwa l-aktar għażla popolari fost l-ispeċjalisti tas-sigurtà, għax storikament deher u kien l-ewwel wieħed. Sistemi konvenzjonali ta’ skoperta ta’ intrużjoni fin-netwerk (l-ewwel sistema ta’ skoperta ta’ intrużjoni kummerċjali kienet NetRanger mill-Wheel Group, mixtrija fl-1998 minn Cisco) kienu impenjati preċiżament fil-qbid ta’ pakketti (u sessjonijiet ta’ wara) li fihom kienu mfittxija ċerti firem (“regoli deċiżivi” f’ terminoloġija FSTEC), attakki tas-sinjalar. Naturalment, tista’ tanalizza t-traffiku mhux ipproċessat mhux biss bl-użu tal-IDS, iżda wkoll bl-użu ta’ għodod oħra (pereżempju, Wireshark, tcpdum jew il-funzjonalità NBAR2 f’Cisco IOS), iżda ġeneralment ma jkollhomx il-bażi tal-għarfien li tiddistingwi għodda ta’ sigurtà tal-informazzjoni minn għodda regolari. Għodda tal-IT.
Allura, sistemi ta 'skoperta attakk. L-eqdem u l-aktar metodu popolari ta 'skoperta ta' attakki tan-netwerk, li jagħmel xogħol tajjeb fil-perimetru (irrispettivament minn x'inhu - korporattiv, ċentru tad-dejta, segment, eċċ.), iżda jonqos f'netwerks moderni switched u definiti b'softwer. Fil-każ ta 'netwerk mibni fuq il-bażi ta' swiċċijiet konvenzjonali, l-infrastruttura tas-sensuri ta 'skoperta ta' attakki ssir kbira wisq - ikollok tinstalla sensor fuq kull konnessjoni man-node li fuqu trid tissorvelja l-attakki. Kwalunkwe manifattur, ovvjament, se jkun kuntent li jbigħlek mijiet u eluf ta 'sensors, iżda naħseb li l-baġit tiegħek ma jistax isostni spejjeż bħal dawn. Nista’ ngħid li anke f’Cisco (u aħna l-iżviluppaturi tal-NGIPS) ma stajniex nagħmlu dan, għalkemm jidher li l-kwistjoni tal-prezz qiegħda quddiemna. M'għandix noqgħod - hija d-deċiżjoni tagħna stess. Barra minn hekk, tqum il-mistoqsija, kif tikkonnettja s-sensor f'din il-verżjoni? Fil-vojt? X'jiġri jekk is-sensor innifsu jonqos? Jeħtieġu modulu bypass fis-sensor? Uża splitters (vit)? Dan kollu jagħmel is-soluzzjoni aktar għalja u jagħmilha mhux aċċessibbli għal kumpanija ta 'kull daqs.
Tista 'tipprova "hang" is-sensor fuq port SPAN/RSPAN/ERSPAN u tidderieġi t-traffiku mill-portijiet tal-iswiċċ meħtieġa lejh. Din l-għażla tneħħi parzjalment il-problema deskritta fil-paragrafu preċedenti, iżda toħloq waħda oħra - il-port SPAN ma jistax jaċċetta assolutament it-traffiku kollu li se jintbagħat lilu - mhux se jkollu biżżejjed bandwidth. Ikollok tissagrifika xi ħaġa. Jew tħalli xi wħud min-nodi mingħajr monitoraġġ (imbagħad għandek bżonn tipprijoritizzahom l-ewwel), jew tibgħat mhux it-traffiku kollu min-nodu, iżda biss ċertu tip. Fi kwalunkwe każ, nistgħu nitilfu xi attakki. Barra minn hekk, il-port SPAN jista 'jintuża għal bżonnijiet oħra. Bħala riżultat, ikollna nirrevedu t-topoloġija tan-netwerk eżistenti u possibbilment nagħmlu aġġustamenti għaliha sabiex inkopru n-netwerk tiegħek sal-massimu bin-numru ta 'sensors li għandek (u nikkoordinaw dan mal-IT).
X'jiġri jekk in-netwerk tiegħek juża rotot asimmetriċi? X'jiġri jekk implimentajt jew qed tippjana li timplimenta SDN? X'jiġri jekk għandek bżonn tissorvelja magni virtwali jew kontenituri li t-traffiku tagħhom ma jilħaqx is-swiċċ fiżiku xejn? Dawn huma mistoqsijiet li l-bejjiegħa tradizzjonali tal-IDS ma jogħġbuhomx għax ma jafux kif iwieġbuhom. Forsi jipperswaduk li dawn it-teknoloġiji kollha tal-moda huma hype u m'għandekx bżonnha. Forsi se jitkellmu dwar il-ħtieġa li jibdew żgħar. Jew forsi jgħidu li għandek bżonn tpoġġi thresher qawwi fiċ-ċentru tan-netwerk u tidderieġi t-traffiku kollu lejha billi tuża balancers. Tkun xi tkun l-għażla offruta lilek, trid tifhem b'mod ċar kif jaqbillek. U biss wara li tieħu deċiżjoni dwar l-għażla ta 'approċċ għall-monitoraġġ tas-sigurtà tal-informazzjoni tal-infrastruttura tan-netwerk. Nirritornaw għall-qbid tal-pakketti, irrid ngħid li dan il-metodu għadu popolari ħafna u importanti, iżda l-għan ewlieni tiegħu huwa l-kontroll tal-fruntieri; konfini bejn l-organizzazzjoni tiegħek u l-Internet, konfini bejn iċ-ċentru tad-dejta u l-bqija tan-netwerk, konfini bejn is-sistema ta 'kontroll tal-proċess u s-segment korporattiv. F'dawn il-postijiet, IDS/IPS klassiċi għad għandhom dritt li jeżistu u jlaħħqu tajjeb mal-kompiti tagħhom.
Ejja ngħaddu għat-tieni għażla. Analiżi ta 'avvenimenti li ġejjin minn tagħmir tan-netwerk tista' tintuża wkoll għal skopijiet ta 'skoperta ta' attakki, iżda mhux bħala l-mekkaniżmu ewlieni, peress li tippermetti li tinstab biss klassi żgħira ta 'intrużjonijiet. Barra minn hekk, huwa inerenti f'xi reattività - l-attakk għandu l-ewwel iseħħ, imbagħad għandu jiġi rreġistrat minn apparat tan-netwerk, li b'xi mod jew ieħor se jindika problema bis-sigurtà tal-informazzjoni. Hemm diversi modi bħal dawn. Dan jista' jkun syslog, RMON jew SNMP. L-aħħar żewġ protokolli għall-monitoraġġ tan-netwerk fil-kuntest tas-sigurtà tal-informazzjoni jintużaw biss jekk ikollna bżonn niskopru attakk DoS fuq it-tagħmir tan-netwerk innifsu, peress li billi tuża RMON u SNMP huwa possibbli, pereżempju, li tissorvelja t-tagħbija fuq iċ-ċentru tal-apparat. proċessur jew l-interfaces tiegħu. Dan huwa wieħed mill-"orħos" (kulħadd għandu syslog jew SNMP), iżda wkoll l-aktar ineffettiv mill-metodi kollha ta 'monitoraġġ tas-sigurtà tal-informazzjoni tal-infrastruttura interna - ħafna attakki huma sempliċement moħbija minnha. Naturalment, m'għandhomx jiġu traskurati, u l-istess analiżi syslog tgħinek tidentifika f'waqtha bidliet fil-konfigurazzjoni tal-apparat innifsu, il-kompromess tiegħu, iżda mhuwiex adattat ħafna biex jinstabu attakki fuq in-netwerk kollu.
It-tielet għażla hija li tanalizza l-informazzjoni dwar it-traffiku li jgħaddi minn apparat li jappoġġja wieħed minn bosta protokolli tal-fluss. F'dan il-każ, irrispettivament mill-protokoll, l-infrastruttura tal-kamini neċessarjament tikkonsisti fi tliet komponenti:
- Ġenerazzjoni jew esportazzjoni ta' fluss. Dan ir-rwol normalment jiġi assenjat lil router, swiċċ jew apparat ieħor tan-netwerk, li, billi jgħaddi t-traffiku tan-netwerk minnu nnifsu, jippermettilek li estratti parametri ewlenin minnu, li mbagħad jiġu trażmessi lill-modulu tal-ġbir. Pereżempju, Cisco jappoġġja l-protokoll Netflow mhux biss fuq routers u swiċċijiet, inklużi dawk virtwali u industrijali, iżda wkoll fuq kontrolluri mingħajr fili, firewalls u anke servers.
- Fluss tal-ġbir. Meta wieħed iqis li netwerk modern normalment ikollu aktar minn apparat ta 'netwerk wieħed, tqum il-problema tal-ġbir u l-konsolidazzjoni tal-flussi, li tissolva bl-użu tal-hekk imsejħa kolletturi, li jipproċessaw il-flussi riċevuti u mbagħad jittrasmettuhom għall-analiżi.
- Analiżi tal-fluss L-analizzatur jieħu l-kompitu intellettwali ewlieni u, billi japplika diversi algoritmi għal flussi, jiġbed ċerti konklużjonijiet. Pereżempju, bħala parti minn funzjoni tal-IT, analizzatur bħal dan jista 'jidentifika xkiel tan-netwerk jew janalizza l-profil tat-tagħbija tat-traffiku għal aktar ottimizzazzjoni tan-netwerk. U għas-sigurtà tal-informazzjoni, analizzatur bħal dan jista 'jiskopri tnixxijiet ta' data, it-tixrid ta 'kodiċi malizzjuż jew attakki DoS.
Taħsibx li din l-arkitettura ta 'tliet saffi hija kkumplikata wisq - l-għażliet l-oħra kollha (ħlief, forsi, sistemi ta' monitoraġġ tan-netwerk li jaħdmu ma 'SNMP u RMON) jaħdmu wkoll skondha. Għandna ġeneratur tad-dejta għall-analiżi, li jista 'jkun apparat tan-netwerk jew sensur waħdu. Għandna sistema ta 'ġbir ta' allarm u sistema ta 'ġestjoni għall-infrastruttura kollha ta' monitoraġġ. L-aħħar żewġ komponenti jistgħu jingħaqdu f'node wieħed, iżda f'netwerks bejn wieħed u ieħor kbar huma ġeneralment mifruxa fuq mill-inqas żewġ apparati sabiex tiġi żgurata l-iskalabbiltà u l-affidabbiltà.
B'differenza mill-analiżi tal-pakkett, li hija bbażata fuq l-istudju tal-header u tad-dejta tal-korp ta 'kull pakkett u s-sessjonijiet li jikkonsisti fihom, l-analiżi tal-fluss tiddependi fuq il-ġbir ta' metadejta dwar it-traffiku tan-netwerk. Meta, kemm, minn fejn u fejn, kif... dawn huma l-mistoqsijiet imwieġba mill-analiżi tat-telemetrija tan-netwerk bl-użu ta 'protokolli ta' fluss varji. Inizjalment, intużaw biex janalizzaw l-istatistika u jsibu problemi tal-IT fuq in-netwerk, iżda mbagħad, hekk kif żviluppaw mekkaniżmi analitiċi, sar possibbli li jiġu applikati għall-istess telemetrija għal skopijiet ta 'sigurtà. Ta 'min jinnota mill-ġdid li l-analiżi tal-fluss ma tissostitwixxix jew tissostitwixxi l-qbid tal-pakketti. Kull wieħed minn dawn il-metodi għandu l-qasam ta 'applikazzjoni tiegħu stess. Iżda fil-kuntest ta 'dan l-artikolu, hija l-analiżi tal-fluss li hija l-aktar adattata għall-monitoraġġ tal-infrastruttura interna. Għandek tagħmir tan-netwerk (kemm jekk joperaw f'paradigma definita minn softwer jew skont regoli statiċi) li attakk ma jistax jevita. Jista 'jevita sensor IDS klassiku, iżda apparat tan-netwerk li jappoġġja l-protokoll tal-fluss ma jistax. Dan huwa l-vantaġġ ta 'dan il-metodu.
Min-naħa l-oħra, jekk għandek bżonn evidenza għall-infurzar tal-liġi jew it-tim tal-investigazzjoni tal-inċidenti tiegħek stess, ma tistax tgħaddi mingħajr il-qbid tal-pakketti - it-telemetrija tan-netwerk mhix kopja tat-traffiku li tista 'tintuża biex tinġabar evidenza; hija meħtieġa għal skoperta u teħid ta' deċiżjonijiet rapidi fil-qasam tas-sigurtà tal-informazzjoni. Min-naħa l-oħra, billi tuża analiżi tat-telemetrija, tista '"tikteb" mhux it-traffiku kollu tan-netwerk (jekk xejn, Cisco jittratta ċentri tad-dejta :-), iżda biss dak li huwa involut fl-attakk. Għodod ta' analiżi tat-telemetrija f'dan ir-rigward se jikkumplimentaw sew il-mekkaniżmi tradizzjonali tal-qbid tal-pakketti, billi jagħtu kmandi għall-qbid u l-ħażna selettivi. Inkella, ser ikollok bżonn li jkollok infrastruttura ta 'ħażna kolossali.
Ejja nimmaġinaw netwerk li jaħdem b'veloċità ta' 250 Mbit/sec. Jekk trid taħżen dan il-volum kollu, allura jkollok bżonn 31 MB ta 'ħażna għal sekonda waħda ta' trażmissjoni tat-traffiku, 1,8 GB għal minuta, 108 GB għal siegħa, u 2,6 TB għal ġurnata waħda. Biex taħżen data ta 'kuljum minn netwerk b'bandwidth ta' 10 Gbit/s, ser ikollok bżonn 108 TB ta 'ħażna. Iżda xi regolaturi jeħtieġu li jaħżnu d-dejta tas-sigurtà għal snin... Ir-reġistrazzjoni fuq talba, liema analiżi tal-fluss tgħinek timplimenta, tgħin biex tnaqqas dawn il-valuri b'ordnijiet ta 'kobor. Mill-mod, jekk nitkellmu dwar il-proporzjon tal-volum tad-dejta tat-telemetrija tan-netwerk irreġistrata u l-qbid sħiħ tad-dejta, allura huwa bejn wieħed u ieħor 1 sa 500. Għall-istess valuri mogħtija hawn fuq, il-ħażna ta 'traskrizzjoni sħiħa tat-traffiku kollu ta' kuljum se jkun 5 u 216 GB, rispettivament (tista 'saħansitra tirreġistraha fuq flash drive regolari).
Jekk għal għodod għall-analiżi tad-dejta prima tan-netwerk, il-metodu ta 'qbid huwa kważi l-istess minn bejjiegħ għal bejjiegħ, allura fil-każ ta' analiżi tal-fluss is-sitwazzjoni hija differenti. Hemm diversi għażliet għall-protokolli tal-fluss, id-differenzi li fihom trid tkun taf dwarhom fil-kuntest tas-sigurtà. L-aktar popolari huwa l-protokoll Netflow żviluppat minn Cisco. Hemm diversi verżjonijiet ta 'dan il-protokoll, li jvarjaw fil-kapaċitajiet tagħhom u l-ammont ta' informazzjoni tat-traffiku rreġistrata. Il-verżjoni attwali hija d-disa' (Netflow v9), li fuq il-bażi tagħha ġie żviluppat l-istandard tal-industrija Netflow v10, magħruf ukoll bħala IPFIX. Illum, il-biċċa l-kbira tal-bejjiegħa tan-netwerk jappoġġjaw Netflow jew IPFIX fit-tagħmir tagħhom. Iżda hemm diversi għażliet oħra għall-protokolli tal-fluss - sFlow, jFlow, cFlow, rFlow, NetStream, eċċ., li minnhom sFlow huwa l-aktar popolari. Huwa dan it-tip li ħafna drabi huwa appoġġjat minn manifatturi domestiċi ta 'tagħmir tan-netwerk minħabba l-faċilità ta' implimentazzjoni tiegħu. X'inhuma d-differenzi ewlenin bejn Netflow, li sar standard de facto, u sFlow? Nixtieq nenfasizza diversi dawk ewlenin. L-ewwel nett, Netflow għandu oqsma li jistgħu jiġu personalizzati mill-utent għall-kuntrarju tal-oqsma fissi f'sFlow. U t-tieni, u din hija l-aktar ħaġa importanti fil-każ tagħna, sFlow jiġbor l-hekk imsejħa telemetrija kampjunata; b'kuntrast ma' dak mhux kampjun għal Netflow u IPFIX. X'inhi d-differenza bejniethom?
Immaġina li tiddeċiedi li taqra l-ktieb "” tal-kollegi tiegħi - Gary McIntyre, Joseph Munitz u Nadem Alfardan (tista’ tniżżel parti mill-ktieb mill-link). Għandek tliet għażliet biex tilħaq l-għan tiegħek - aqra l-ktieb kollu, xkuma minnu, tieqaf f'kull 10 jew 20 paġna, jew ipprova sib rakkont tal-kunċetti ewlenin fuq blog jew servizz bħal SmartReading. Allura, telemetrija mhux kampjunata qed taqra kull "paġna" tat-traffiku tan-netwerk, jiġifieri, tanalizza metadata għal kull pakkett. It-telemetrija kampjunata hija l-istudju selettiv tat-traffiku bit-tama li l-kampjuni magħżula jkun fihom dak li għandek bżonn. Skont il-veloċità tal-kanal, it-telemetrija kampjunata tintbagħat għall-analiżi kull pakkett 64, 200, 500, 1000, 2000 jew saħansitra 10000.
Fil-kuntest tal-monitoraġġ tas-sigurtà tal-informazzjoni, dan ifisser li t-telemetrija meħuda bħala kampjun hija adattata tajjeb għas-sejbien ta' attakki DDoS, skanjar u tixrid ta' kodiċi malizzjuż, iżda tista' titlef attakki atomiċi jew b'ħafna pakketti li ma kinux inklużi fil-kampjun mibgħut għall-analiżi. Telemetrija mhux kampjun m'għandhiex tali żvantaġġi. B'dan, il-firxa ta 'attakki skoperti hija ħafna usa'. Hawnhekk hawn lista qasira ta 'avvenimenti li jistgħu jiġu skoperti bl-użu ta' għodod ta 'analiżi tat-telemetrija tan-netwerk.
Naturalment, xi analizzatur Netflow sors miftuħ ma jippermettilekx tagħmel dan, peress li l-kompitu ewlieni tiegħu huwa li jiġbor it-telemetrija u jwettaq analiżi bażika fuqha mil-lat tal-IT. Biex jiġi identifikat it-theddid għas-sigurtà tal-informazzjoni bbażat fuq il-fluss, huwa meħtieġ li l-analizzatur jiġi mgħammar b'diversi magni u algoritmi, li se jidentifikaw problemi taċ-ċibersigurtà bbażati fuq oqsma Netflow standard jew personalizzati, jarrikkixxu dejta standard b'dejta esterna minn sorsi varji ta 'Intelliġenza tat-Theddida, eċċ.
Għalhekk, jekk għandek għażla, imbagħad agħżel Netflow jew IPFIX. Imma anki jekk it-tagħmir tiegħek jaħdem biss ma 'sFlow, bħal manifatturi domestiċi, allura anke f'dan il-każ tista' tibbenefika minnu f'kuntest ta 'sigurtà.
Fis-sajf tal-2019, analizzajt il-kapaċitajiet li għandhom il-manifatturi Russi tal-ħardwer tan-netwerk u kollha kemm huma, esklużi NSG, Polygon u Craftway, ħabbru appoġġ għal sFlow (mill-inqas Zelax, Natex, Eltex, QTech, Rusteleteh).
Il-mistoqsija li jmiss li se tiffaċċja hija fejn timplimenta l-appoġġ tal-fluss għal skopijiet ta 'sigurtà? Fil-fatt, il-mistoqsija mhix magħmula kompletament b'mod korrett. Tagħmir modern kważi dejjem jappoġġja protokolli tal-fluss. Għalhekk, nirriformula l-mistoqsija b'mod differenti - fejn huwa l-aktar effettiv li tiġbor it-telemetrija mil-lat tas-sigurtà? It-tweġiba se tkun pjuttost ovvja - fil-livell ta 'aċċess, fejn se tara 100% tat-traffiku kollu, fejn ser ikollok informazzjoni dettaljata dwar hosts (MAC, VLAN, ID interface), fejn tista' anki tissorvelja t-traffiku P2P bejn hosts, li huwa kritiku għall-iskannjar sejbien u distribuzzjoni ta 'kodiċi malizzjuż. Fil-livell ewlieni, tista 'sempliċement ma tarax ftit mit-traffiku, iżda fil-livell tal-perimetru, se tara kwart tat-traffiku kollu tan-netwerk tiegħek. Imma jekk għal xi raġuni għandek apparati barranin fuq in-netwerk tiegħek li jippermettu lill-attakkanti "jidħlu u joħorġu" mingħajr ma jinqabżu l-perimetru, allura l-analiżi tat-telemetrija minnha ma tagħtik xejn. Għalhekk, għal kopertura massima, huwa rakkomandat li l-ġbir tat-telemetrija jiġi permess fil-livell ta 'aċċess. Fl-istess ħin, ta 'min jinnota li anke jekk qed nitkellmu dwar virtwalizzazzjoni jew kontenituri, l-appoġġ tal-fluss huwa spiss ukoll jinstab fi swiċċijiet virtwali moderni, li jippermettilek tikkontrolla t-traffiku hemmhekk ukoll.
Imma peress li qajjejt is-suġġett, għandi nwieġeb il-mistoqsija: x'jiġri jekk it-tagħmir, fiżiku jew virtwali, ma jappoġġjax protokolli tal-fluss? Jew hija pprojbita l-inklużjoni tagħha (pereżempju, f'segmenti industrijali biex tiġi żgurata l-affidabbiltà)? Jew iddawwarha twassal għal tagħbija għolja tas-CPU (dan jiġri fuq ħardwer anzjani)? Biex issolvi din il-problema, hemm sensuri virtwali speċjalizzati (sensuri tal-fluss), li huma essenzjalment splitters ordinarji li jgħaddu t-traffiku minnhom infushom u jxandruh fil-forma ta 'fluss għall-modulu tal-ġbir. Veru, f'dan il-każ ikollna l-problemi kollha li tkellimna dwarhom hawn fuq fir-rigward tal-għodod tal-qbid tal-pakketti. Jiġifieri, trid tifhem mhux biss il-vantaġġi tat-teknoloġija tal-analiżi tal-fluss, iżda wkoll il-limitazzjonijiet tagħha.
Punt ieħor li huwa importanti li tiftakar meta titkellem dwar għodod ta 'analiżi tal-fluss. Jekk fir-rigward ta 'mezzi konvenzjonali ta' ġenerazzjoni ta 'avvenimenti ta' sigurtà nużaw il-metrika EPS (avveniment kull sekonda), allura dan l-indikatur mhuwiex applikabbli għall-analiżi tat-telemetrija; huwa sostitwit minn FPS (fluss kull sekonda). Bħal fil-każ tal-EPS, ma jistax jiġi kkalkulat minn qabel, iżda tista 'tistima n-numru approssimattiv ta' ħjut li jiġġenera apparat partikolari skont il-kompitu tiegħu. Tista 'ssib tabelli fuq l-Internet b'valuri approssimattivi għal tipi differenti ta' apparat u kundizzjonijiet ta 'intrapriża, li jippermettulek tistma liema liċenzji għandek bżonn għal għodod ta' analiżi u x'se tkun l-arkitettura tagħhom? Il-fatt hu li s-sensor IDS huwa limitat b'ċertu bandwidth li jista '"jiġbed", u l-kollettur tal-fluss għandu l-limitazzjonijiet tiegħu stess li għandhom jinftiehmu. Għalhekk, f'netwerks kbar u mqassma ġeografikament ġeneralment ikun hemm diversi kolletturi. Meta ddeskrivejt , Diġà tajt in-numru ta 'kolletturi tagħna - hemm minnhom 21. U dan huwa għal netwerk mifrux fuq ħames kontinenti u li jgħodd madwar nofs miljun apparat attiv).
Aħna nużaw is-soluzzjoni tagħna stess bħala sistema ta 'monitoraġġ Netflow , li hija speċifikament iffukata fuq is-soluzzjoni ta 'problemi ta' sigurtà. Għandha ħafna magni integrati biex tiskopri attività anomala, suspettuża u b'mod ċar malizzjuż, li tippermettilek tiskopri firxa wiesgħa ta 'theddid differenti - minn cryptomining għal tnixxijiet ta' informazzjoni, mit-tixrid ta 'kodiċi malizzjuż għal frodi. Bħall-biċċa l-kbira tal-analizzaturi tal-fluss, Stealthwatch huwa mibni skont skema ta 'tliet livelli (ġeneratur - kollettur - analizzatur), iżda huwa supplimentat b'numru ta' karatteristiċi interessanti li huma importanti fil-kuntest tal-materjal taħt konsiderazzjoni. L-ewwel, jintegra ma 'soluzzjonijiet ta' qbid ta 'pakketti (bħal Cisco Security Packet Analyzer), li jippermettilek tirreġistra sessjonijiet tan-netwerk magħżula għal investigazzjoni u analiżi fil-fond aktar tard. It-tieni nett, speċifikament biex jespandu l-kompiti tas-sigurtà, żviluppajna protokoll speċjali nvzFlow, li jippermettilek "ixandar" l-attività tal-applikazzjonijiet fuq in-nodi finali (servers, workstations, eċċ.) F'telemetrija u tittrasmettiha lill-kollettur għal aktar analiżi. Jekk fil-verżjoni oriġinali tiegħu Stealthwatch jaħdem ma 'kwalunkwe protokoll tal-fluss (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) fil-livell tan-netwerk, allura l-appoġġ nvzFlow jippermetti korrelazzjoni tad-dejta wkoll fil-livell tan-nodi, u b'hekk. iżżid l-effiċjenza tas-sistema kollha u tara aktar attakki minn analizzaturi tal-fluss tan-netwerk konvenzjonali.
Huwa ċar li meta wieħed jitkellem dwar sistemi ta 'analiżi Netflow mil-lat tas-sigurtà, is-suq mhuwiex limitat għal soluzzjoni waħda minn Cisco. Tista' tuża kemm soluzzjonijiet kummerċjali kif ukoll b'xejn jew shareware. Hija pjuttost stramba jekk insemmi s-soluzzjonijiet tal-kompetituri bħala eżempji fuq il-blog ta 'Cisco, għalhekk ngħid ftit kliem dwar kif it-telemetrija tan-netwerk tista' tiġi analizzata bl-użu ta 'żewġ għodod popolari, simili fl-isem, iżda xorta differenti - Silk u ELK.
SiLK huwa sett ta’ għodod (is-Sistema għall-Għarfien fil-Livell tal-Internet) għall-analiżi tat-traffiku, żviluppati mis-CERT/CC Amerikani u li jappoġġjaw, fil-kuntest tal-artiklu tal-lum, Netflow (il-5 u d-9, l-aktar verżjonijiet popolari), IPFIX u sFlow u tuża diversi utilitajiet (rwfilter, rwcount, rwflowpack, eċċ.) biex twettaq diversi operazzjonijiet fuq it-telemetrija tan-netwerk sabiex tiskopri sinjali ta 'azzjonijiet mhux awtorizzati fiha. Iżda hemm ftit punti importanti li wieħed jinnota. SiLK hija għodda tal-linja tal-kmand li twettaq analiżi online billi ddaħħal kmandi bħal dawn (sejbien ta' pakketti ICMP akbar minn 200 bytes):
rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15
mhux komdu ħafna. Tista 'tuża l-GUI iSiLK, iżda mhux se tagħmel il-ħajja tiegħek ħafna aktar faċli, issolvi biss il-funzjoni ta' viżwalizzazzjoni u mhux tissostitwixxi l-analista. U dan huwa t-tieni punt. B'differenza minn soluzzjonijiet kummerċjali, li diġà għandhom bażi analitika soda, algoritmi ta' skoperta ta' anomaliji, fluss tax-xogħol korrispondenti, eċċ., Fil-każ ta' SiLK ser ikollok tagħmel dan kollu lilek innifsek, li se teħtieġ kompetenzi kemmxejn differenti minnek milli tuża diġà lesta- għodod għall-użu. Dan la huwa tajjeb u lanqas ħażin - din hija karatteristika ta' kważi kull għodda b'xejn li tassumi li taf x'għandek tagħmel, u tgħinek biss f'dan (l-għodod kummerċjali huma inqas dipendenti fuq il-kompetenzi tal-utenti tagħha, għalkemm jassumu wkoll li l-analisti jifhmu mill-inqas punti bażiċi tal-investigazzjonijiet u l-monitoraġġ tan-netwerk). Imma ejja nerġgħu lura għall-ĦARIR. Iċ-ċiklu tax-xogħol tal-analista miegħu jidher bħal dan:
- Formulazzjoni ta' ipoteżi. Irridu nifhmu dak li se nkunu qed infittxu ġewwa t-telemetrija tan-netwerk, inkunu nafu l-attributi uniċi li bihom se nidentifikaw ċerti anomaliji jew theddid.
- Bini ta’ mudell. Wara li fformulajna ipoteżi, nipprogrammawha bl-użu tal-istess Python, qoxra jew għodda oħra mhux inklużi fis-Silk.
- Ittestjar. Issa jmiss li tivverifika l-korrettezza tal-ipoteżi tagħna, li hija kkonfermata jew miċħuda bl-użu ta 'utilitajiet SiLK li jibdew b''rw', 'sett', 'borża'.
- Analiżi ta 'data reali. Fl-operazzjoni industrijali, SiLK jgħinna nidentifikaw xi ħaġa u l-analista għandu jwieġeb il-mistoqsijiet "Sibna dak li stennejna?", "Dan jikkorrispondi għall-ipoteżi tagħna?", "Kif tnaqqas in-numru ta 'pożittivi foloz?", "Kif? biex ittejjeb il-livell ta’ rikonoxximent? » u l-bqija.
- Titjib. Fl-istadju finali, intejbu dak li sar qabel - noħolqu mudelli, intejbu u ottimizzaw il-kodiċi, nifformulaw mill-ġdid u niċċaraw l-ipoteżi, eċċ.
Dan iċ-ċiklu se jkun applikabbli wkoll għal Cisco Stealthwatch, l-aħħar wieħed biss awtomat dawn il-ħames passi għall-massimu, inaqqas in-numru ta 'żbalji tal-analisti u jżid l-effiċjenza tas-sejbien tal-inċidenti. Pereżempju, f'Silk tista' tarrikkixxi l-istatistika tan-netwerk b'dejta esterna dwar IPs malizzjużi billi tuża skripts miktuba bl-idejn, u f'Cisco Stealthwatch hija funzjoni integrata li immedjatament turi allarm jekk it-traffiku tan-netwerk ikun fih interazzjonijiet mal-indirizzi IP mil-lista s-sewda.
Jekk tmur ogħla fil-piramida "mħallsa" għas-softwer tal-analiżi tal-fluss, allura wara l-Ħarsil assolutament ħieles se jkun hemm ELK shareware, li jikkonsisti fi tliet komponenti ewlenin - Elasticsearch (indiċjar, tiftix u analiżi tad-dejta), Logstash (input/output tad-dejta). ) u Kibana (viżwalizzazzjoni). B'differenza mill-Ħarġ, fejn trid tikteb kollox lilek innifsek, ELK diġà għandu ħafna libreriji/moduli lesti (uħud imħallsa, oħrajn le) li awtomatizzaw l-analiżi tat-telemetrija tan-netwerk. Pereżempju, il-filtru GeoIP f'Logstash jippermettilek tassoċja indirizzi IP sorveljati mal-lokazzjoni ġeografika tagħhom (Stealthwatch għandu din il-karatteristika integrata).
ELK għandu wkoll komunità pjuttost kbira li qed tlesti l-komponenti neqsin għal din is-soluzzjoni ta 'monitoraġġ. Pereżempju, biex taħdem ma 'Netflow, IPFIX u sFlow tista' tuża l-modulu , jekk m'intix sodisfatt bil-Modulu Logstash Netflow, li jappoġġja biss Netflow.
Filwaqt li tagħti aktar effiċjenza fil-ġbir tal-fluss u t-tiftix fih, ELK bħalissa m'għandhiex analitika rikka integrata biex tiskopri anomaliji u theddid fit-telemetrija tan-netwerk. Jiġifieri, wara ċ-ċiklu tal-ħajja deskritt hawn fuq, ser ikollok tiddeskrivi b'mod indipendenti mudelli ta 'ksur u mbagħad tużaha fis-sistema tal-ġlieda kontra (m'hemm l-ebda mudelli integrati hemmhekk).
Hemm, ovvjament, estensjonijiet aktar sofistikati għal ELK, li diġà fihom xi mudelli għall-iskoperta ta 'anomaliji fit-telemetrija tan-netwerk, iżda estensjonijiet bħal dawn jiswew il-flus u hawn il-mistoqsija hija jekk il-logħba hijiex tiswa x-xemgħa - ikteb mudell simili lilek innifsek, tixtri tagħha implimentazzjoni għall-għodda ta 'monitoraġġ tiegħek, jew tixtri soluzzjoni lesta tal-klassi Analiżi tat-Traffiku tan-Netwerk.
B'mod ġenerali, ma rridx nidħol fid-dibattitu li huwa aħjar li tonfoq il-flus u tixtri soluzzjoni lesta għall-monitoraġġ tal-anomaliji u t-theddid fit-telemetrija tan-netwerk (per eżempju, Cisco Stealthwatch) jew insemmu lilek innifsek u tippersonalizza l-istess Ħarir, ELK jew nfdump jew OSU Flow Tools għal kull theddida ġdida ( qed nitkellem dwar l-aħħar tnejn minnhom l-aħħar darba)? Kulħadd jagħżel għalih innifsu u kulħadd għandu l-motivi tiegħu biex jagħżel kwalunkwe miż-żewġ għażliet. Ridt biss nuri li t-telemetrija tan-netwerk hija għodda importanti ħafna biex tiżgura s-sigurtà tan-netwerk tal-infrastruttura interna tiegħek u m'għandekx tittraskuraha, sabiex ma tingħaqadx mal-lista ta 'kumpaniji li isimhom jissemma fil-midja flimkien mal-epiteti ". hacked", "mhux konformi mar-rekwiżiti tas-sigurtà tal-informazzjoni", ", "mhux jaħsbu dwar is-sigurtà tad-dejta tagħhom u d-dejta tal-klijenti."
Biex niġbor fil-qosor, nixtieq nielenka l-pariri ewlenin li għandek issegwi meta tibni monitoraġġ tas-sigurtà tal-informazzjoni tal-infrastruttura interna tiegħek:
- Tillimitax lilek innifsek biss għall-perimetru! Uża (u agħżel) infrastruttura tan-netwerk mhux biss biex tmexxi t-traffiku minn punt A għal punt B, iżda wkoll biex tindirizza kwistjonijiet ta’ ċibersigurtà.
- Studja l-mekkaniżmi eżistenti tal-monitoraġġ tas-sigurtà tal-informazzjoni fit-tagħmir tan-netwerk tiegħek u użahom.
- Għall-monitoraġġ intern, agħti preferenza lill-analiżi tat-telemetrija - tippermettilek tiskopri sa 80-90% tal-inċidenti kollha tas-sigurtà tal-informazzjoni tan-netwerk, filwaqt li tagħmel dak li huwa impossibbli meta taqbad il-pakketti tan-netwerk u tiffranka spazju għall-ħażna tal-avvenimenti kollha tas-sigurtà tal-informazzjoni.
- Biex timmonitorja l-flussi, uża Netflow v9 jew IPFIX - jipprovdu aktar informazzjoni f'kuntest ta 'sigurtà u jippermettulek tissorvelja mhux biss IPv4, iżda wkoll IPv6, MPLS, eċċ.
- Uża protokoll tal-fluss mhux kampjun - jipprovdi aktar informazzjoni biex tiskopri theddid. Per eżempju, Netflow jew IPFIX.
- Iċċekkja t-tagħbija fuq it-tagħmir tan-netwerk tiegħek - jista 'ma jkunx kapaċi jimmaniġġja l-protokoll tal-fluss ukoll. Imbagħad ikkunsidra li tuża sensuri virtwali jew Netflow Generation Appliance.
- Implimenta l-kontroll primarjament fil-livell ta 'aċċess - dan jagħtik l-opportunità li tara 100% tat-traffiku kollu.
- Jekk m'għandekx għażla u qed tuża tagħmir tan-netwerk Russu, imbagħad agħżel wieħed li jappoġġja protokolli tal-fluss jew ikollu portijiet SPAN/RSPAN.
- Għaqqad is-sistemi ta 'skoperta/prevenzjoni ta' intrużjoni/attakk fit-truf u sistemi ta 'analiżi tal-fluss fin-netwerk intern (inkluż fis-sħab).
Rigward l-aħħar ponta, nixtieq nagħti illustrazzjoni li diġà tajt qabel. Tara li jekk qabel is-servizz tas-sigurtà tal-informazzjoni ta 'Cisco bena kważi għal kollox is-sistema ta' monitoraġġ tas-sigurtà tal-informazzjoni tiegħu fuq il-bażi ta 'sistemi ta' skoperta ta 'intrużjoni u metodi ta' firma, issa jammontaw għal 20% biss tal-inċidenti. 20% ieħor jaqa 'fuq sistemi ta' analiżi tal-fluss, li jissuġġerixxi li dawn is-soluzzjonijiet mhumiex kapriċċ, iżda għodda reali fl-attivitajiet tas-servizzi tas-sigurtà tal-informazzjoni ta 'intrapriża moderna. Barra minn hekk, għandek l-iktar ħaġa importanti għall-implimentazzjoni tagħhom - infrastruttura tan-netwerk, li l-investimenti li fihom jistgħu jiġu protetti aktar billi jiġu assenjati funzjonijiet ta 'monitoraġġ tas-sigurtà tal-informazzjoni lin-netwerk.
B'mod speċifiku ma messejtx is-suġġett tar-rispons għal anomaliji jew theddid identifikati fil-flussi tan-netwerk, iżda naħseb li diġà huwa ċar li l-monitoraġġ m'għandux jispiċċa biss bl-iskoperta ta 'theddida. Għandu jkun segwit minn rispons u preferibbilment b'mod awtomatiku jew awtomatizzat. Iżda dan huwa suġġett għal artiklu separat.
Informazzjoni addizzjonali:
PS. Jekk huwa aktar faċli għalik li tisma 'dak kollu li nkiteb hawn fuq, allura tista' tara l-preżentazzjoni ta 'siegħa li ffurmat il-bażi ta' din in-nota.
Sors: www.habr.com