je analitična rešitev na področju informacijske varnosti, ki omogoča celovit nadzor nad grožnjami v porazdeljenem omrežju. StealthWatch temelji na zbiranju podatkov NetFlow in IPFIX iz usmerjevalnikov, stikal in drugih omrežnih naprav. Posledično postane omrežje občutljiv senzor in skrbniku omogoča, da pogleda na mesta, kamor tradicionalne metode zaščite omrežja, kot je požarni zid naslednje generacije, ne morejo doseči.
V prejšnjih člankih sem že pisal o StealthWatch: in . Zdaj predlagam, da nadaljujemo in razpravljamo o tem, kako delati z alarmi in raziskati varnostne incidente, ki jih ustvari rešitev. Na voljo bo 6 primerov, za katere upam, da bodo dali dobro predstavo o uporabnosti izdelka.
Najprej je treba povedati, da ima StealthWatch nekaj porazdelitve alarmov med algoritmi in viri. Prvi so različni alarmi (obvestila), ko se sprožijo, lahko zaznate sumljive stvari v omrežju. Drugi so varnostni incidenti. Ta članek si bo ogledal 4 primere sproženih algoritmov in 2 primera virov.
1. Analiza največjih interakcij znotraj omrežja
Začetni korak pri nastavitvi StealthWatch je definiranje gostiteljev in omrežij v skupine. V zavihku spletnega vmesnika Konfiguracija > Upravljanje gostiteljske skupine Omrežja, gostitelje in strežnike je treba razvrstiti v ustrezne skupine. Ustvarite lahko tudi lastne skupine. Mimogrede, analiziranje interakcij med gostitelji v Cisco StealthWatch je precej priročno, saj ne morete shraniti samo iskalnih filtrov po toku, temveč tudi same rezultate.
Če želite začeti, v spletnem vmesniku pojdite na zavihek Analiziraj > Iskanje poteka. Nato morate nastaviti naslednje parametre:
- Vrsta iskanja - Najbolj priljubljeni pogovori (najbolj priljubljene interakcije)
- Časovni razpon — 24 ur (časovno obdobje, lahko uporabite drugo)
- Ime iskanja - Najbolj priljubljeni pogovori Inside-Inside (poljubno prijazno ime)
- Zadeva - Skupine gostiteljev → Notranji gostitelji (vir - skupina notranjih gostiteljev)
- Povezava (lahko določite vrata, aplikacije)
- Peer - skupine gostiteljev → notranji gostitelji (cilj - skupina notranjih vozlišč)
- V Naprednih možnostih lahko dodatno določite zbiralnik, iz katerega se pregledujejo podatki, razvrščanje izhoda (po bajtih, tokovih itd.). Pustil ga bom privzeto.
Po pritisku na gumb Iskalnik prikaže se seznam interakcij, ki so že razvrščene po količini prenesenih podatkov.
V mojem primeru gostitelj 10.150.1.201 (strežnik), ki se prenaša v samo eni niti 1.5 GB prometa do gostitelja 10.150.1.200 (stranka) po protokolu mysql. Gumb Upravljanje stolpcev omogoča dodajanje več stolpcev izhodnim podatkom.
Nato lahko po presoji skrbnika ustvarite pravilo po meri, ki bo vedno sprožilo to vrsto interakcije in vas obvestilo prek SNMP, e-pošte ali Syslog-a.
2. Analiza najpočasnejših interakcij med odjemalcem in strežnikom v omrežju glede zamud
oznake SRT (odzivni čas strežnika), RTT (čas povratne vožnje) vam omogočajo, da ugotovite zamude strežnika in splošne zamude omrežja. To orodje je še posebej uporabno, ko morate hitro najti vzrok za pritožbe uporabnikov glede počasne aplikacije.
Obvestilo: skoraj vsi izvozniki Netflow ne vem kako pošiljanje oznak SRT, RTT, zato morate pogosto, če želite videti takšne podatke na FlowSensorju, konfigurirati pošiljanje kopije prometa iz omrežnih naprav. FlowSensor nato pošlje razširjeni IPFIX v FlowCollector.
To analizo je bolj priročno izvesti v java aplikaciji StealtWatch, ki je nameščena na skrbniškem računalniku.
Vklopljen desni gumb miške Inside Hosts in pojdite na zavihek Tabela pretoka.
Kliknite na filter in nastavite potrebne parametre. Kot primer:
- Datum/čas - Za zadnje 3 dni
- Zmogljivost — povprečni čas povratne vožnje >=50 ms
Po prikazu podatkov bi morali dodati polji RTT in SRT, ki nas zanimata. Če želite to narediti, kliknite stolpec na posnetku zaslona in izberite z desnim gumbom miške Upravljanje stolpcev. Nato kliknite RTT, SRT parametri.
Po obdelavi zahteve sem razvrstil po povprečju RTT in videl najpočasnejše interakcije.
Za dostop do podrobnih informacij z desno miškino tipko kliknite tok in izberite Hitri pogled za Flow.
Ta informacija kaže, da gostitelj 10.201.3.59 iz skupine Prodaja in trženje po protokolu NFS poziva k strežnik DNS za minuto in 23 sekund in ima prav grozen zaostanek. V zavihku Vmesniki lahko ugotovite, od katerega izvoznika podatkov Netflow so bili podatki pridobljeni. V zavihku Tabela Prikazane so podrobnejše informacije o interakciji.
Nato bi morali ugotoviti, katere naprave pošiljajo promet FlowSensorju in težava je najverjetneje tam.
Poleg tega je StealthWatch edinstven v tem, da vodi deduplikacija podatkov (združuje iste tokove). Zato lahko zbirate iz skoraj vseh naprav Netflow in se ne bojite, da bo veliko podvojenih podatkov. Ravno nasprotno, v tej shemi bo pomagal razumeti, kateri skok ima največje zamude.
3. Revizija kriptografskih protokolov HTTPS
ETA (šifrirana analiza prometa) je tehnologija, ki jo je razvil Cisco in omogoča odkrivanje zlonamernih povezav v šifriranem prometu, ne da bi ga dešifrirali. Poleg tega vam ta tehnologija omogoča "razčlenitev" HTTPS v različice TLS in kriptografske protokole, ki se uporabljajo med povezavami. Ta funkcija je še posebej uporabna, ko morate zaznati omrežna vozlišča, ki uporabljajo šibke kripto standarde.
Obvestilo: Najprej morate namestiti omrežno aplikacijo na StealthWatch - ETA kriptografska revizija.
Pojdite na zavihek Nadzorne plošče → ETA kriptografska revizija in izberite skupino gostiteljev, ki jih nameravamo analizirati. Za celotno sliko izberimo Inside Hosts.
Vidite lahko, da sta izhodna različica TLS in ustrezen kripto standard. Po običajni shemi v stolpcu Proces Pojdi do Ogled tokov in iskanje se začne v novem zavihku.
Iz izpisa je razvidno, da gostitelj 198.19.20.136 povsod 12 ure uporablja HTTPS s TLS 1.2, kjer je algoritem šifriranja AES-256 in funkcijo zgoščevanja SHA-384. Tako vam ETA omogoča iskanje šibkih algoritmov v omrežju.
4. Analiza omrežnih anomalij
Cisco StealthWatch lahko prepozna prometne anomalije v omrežju s tremi orodji: Ključni dogodki (varnostni dogodki), Dogodki v zvezi (dogodki interakcij med segmenti, omrežnimi vozlišči) in vedenjska analiza.
Vedenjska analiza pa sčasoma omogoča izgradnjo vedenjskega modela za določenega gostitelja ali skupino gostiteljev. Več prometa kot gre skozi StealthWatch, natančnejša bodo opozorila zahvaljujoč tej analizi. Sprva se sistem sproži veliko napačno, zato je treba pravila "sukati" ročno. Priporočam, da prve tedne takšne dogodke ignorirate, saj se bo sistem prilagodil sam ali pa jih dodate med izjeme.
Spodaj je primer vnaprej določenega pravila Anomalnost, ki navaja, da bo dogodek brez alarma požar, če gostitelj v skupini Inside Hosts sodeluje s skupino Inside Hosts in v 24 urah bo promet presegel 10 megabajtov.
Za primer vzemimo alarm Kopičenje podatkov, kar pomeni, da je neki izvorni/ciljni gostitelj naložil/prenesel nenormalno veliko količino podatkov iz skupine gostiteljev ali gostitelja. Kliknite na dogodek in pojdite na tabelo, kjer so navedeni sprožilni gostitelji. Nato v stolpcu izberite gostitelja, ki nas zanima Kopičenje podatkov.
Prikaže se dogodek, ki nakazuje, da je bilo zaznanih 162 "točk", v skladu s pravilnikom pa je dovoljenih 100 "točk" - to so interne metrike StealthWatch. V kolumni Proces potisnite Ogled tokov.
To lahko opazimo podanega gostitelja ponoči komuniciral z gostiteljem 10.201.3.47 iz oddelka Prodaja po protokolu HTTPS in preneseno 1.4 GB. Mogoče ta primer ni povsem uspešen, a zaznavanje interakcij tudi za več sto gigabajtov poteka na povsem enak način. Zato lahko nadaljnja preiskava anomalij vodi do zanimivih rezultatov.
Obvestilo: v spletnem vmesniku SMC so podatki v zavihkih Armaturnih plošč so prikazani samo za zadnji teden in v zavihku monitor v zadnjih 2 tednih. Za analizo starejših dogodkov in ustvarjanje poročil morate delati z javansko konzolo na skrbniškem računalniku.
5. Iskanje skeniranja notranjega omrežja
Zdaj pa si poglejmo nekaj primerov virov – incidentov informacijske varnosti. Ta funkcija je bolj zanimiva za varnostne strokovnjake.
V StealthWatch obstaja več prednastavljenih vrst dogodkov skeniranja:
- Port Scan—vir skenira več vrat na ciljnem gostitelju.
- Addr tcp scan - vir skenira celotno omrežje na istih vratih TCP in spremeni ciljni naslov IP. V tem primeru vir prejme pakete TCP Reset ali pa sploh ne prejme odgovorov.
- Addr udp scan - vir skenira celotno omrežje na istih vratih UDP, medtem ko spreminja ciljni naslov IP. V tem primeru vir prejme pakete ICMP Port Unreachable ali pa sploh ne prejme odgovorov.
- Ping Scan - vir pošlje zahteve ICMP celotnemu omrežju, da poišče odgovore.
- Stealth Scan tсp/udp - vir je uporabil ista vrata za povezavo z več vrati na ciljnem vozlišču hkrati.
Za bolj priročno iskanje vseh notranjih optičnih bralnikov hkrati obstaja omrežna aplikacija za StealthWatch - Ocena vidljivosti. Pojdi na zavihek Nadzorne plošče → Ocena vidnosti → Notranji omrežni skenerji v zadnjih 2 tednih boste videli varnostne incidente, povezane s skeniranjem.
S klikom na gumb podrobnosti, boste videli začetek skeniranja vsakega omrežja, trend prometa in ustrezne alarme.
Nato lahko »neuspešno vstopite« v gostitelja z zavihka na prejšnjem posnetku zaslona in si ogledate varnostne dogodke ter dejavnost v zadnjem tednu za tega gostitelja.
Kot primer analizirajmo dogodek Skeniranje vrat od gostitelja 10.201.3.149 o 10.201.0.72, Pritisk Dejanja > Povezani tokovi. Zažene se iskanje niti in prikažejo se ustrezne informacije.
Kako vidimo tega gostitelja iz enega od njegovih pristanišč 51508/TCP skenirano pred 3 urami ciljni gostitelj po vratih 22, 28, 42, 41, 36, 40 (TCP). Nekatera polja tudi ne prikazujejo informacij, ker izvoznik Netflow ne podpira vseh polj Netflow.
6. Analiza prenesene zlonamerne programske opreme z uporabo CTA
CTA (Cognitive Threat Analytics) — Ciscova analitika v oblaku, ki se odlično integrira s Cisco StealthWatch in vam omogoča, da analizo brez podpisov dopolnite z analizo podpisov. To omogoča odkrivanje trojancev, omrežnih črvov, zlonamerne programske opreme zero-day in druge zlonamerne programske opreme ter njihovo distribucijo v omrežju. Poleg tega prej omenjena tehnologija ETA omogoča analizo tovrstnih zlonamernih komunikacij v šifriranem prometu.
Dobesedno na prvem zavihku v spletnem vmesniku je poseben pripomoček Kognitivna analiza groženj. Kratek povzetek označuje grožnje, odkrite na uporabniških gostiteljih: trojanski konj, goljufiva programska oprema, nadležna oglaševalska programska oprema. Beseda "Šifrirano" dejansko označuje delo ETA. S klikom na gostitelja se prikažejo vsi podatki o njem, varnostni dogodki, vključno z dnevniki CTA.
S kazalcem miške nad vsako stopnjo CTA dogodek prikaže podrobne informacije o interakciji. Za popolno analitiko kliknite tukaj Oglejte si podrobnosti incidenta, in preusmerjeni boste na ločeno konzolo Kognitivna analiza groženj.
V zgornjem desnem kotu je filter, ki omogoča prikaz dogodkov po stopnji resnosti. Ko pokažete na določeno anomalijo, se na dnu zaslona prikažejo dnevniki z ustrezno časovnico na desni. Tako strokovnjak za informacijsko varnost jasno razume, kateri okuženi gostitelj je po katerih dejanjih začel izvajati katera dejanja.
Spodaj je še en primer - bančni trojanec, ki je okužil gostitelja 198.19.30.36. Ta gostitelj je začel komunicirati z zlonamernimi domenami in dnevniki prikazujejo informacije o poteku teh interakcij.
Naslednja, ena najboljših možnih rešitev je karantena gostitelja po zaslugi domorodca s Cisco ISE za nadaljnjo obdelavo in analizo.
Zaključek
Rešitev Cisco StealthWatch je ena izmed vodilnih med izdelki za nadzor omrežja tako na področju analize omrežja kot informacijske varnosti. Zahvaljujoč temu lahko zaznate nelegitimne interakcije v omrežju, zakasnitve aplikacij, najbolj aktivne uporabnike, anomalije, zlonamerno programsko opremo in APT-je. Poleg tega lahko najdete skenerje, pentesterje in izvedete kripto-revizijo prometa HTTPS. Še več primerov uporabe lahko najdete na .
Če želite preveriti, kako gladko in učinkovito vse deluje v vašem omrežju, pošljite .
V bližnji prihodnosti načrtujemo še več tehničnih publikacij o različnih izdelkih za informacijsko varnost. Če vas ta tema zanima, sledite posodobitvam na naših kanalih (, , , )!
Vir: www.habr.com