Protokol aliran salaku alat pikeun ngawaskeun kaamanan jaringan internal

Lamun datang ka mantau kaamanan hiji jaringan perusahaan atawa departemén internal, loba ngahubungkeun eta jeung kontrol bocor informasi sarta nerapkeun solusi DLP. Tur upami Anjeun salah nyoba netelakeun patarosan tur nanya kumaha anjeun ngadeteksi serangan dina jaringan internal, jawaban bakal, sakumaha aturan, nyebut sistem deteksi intrusion (IDS). Sareng hiji-hijina pilihan 10-20 taun ka pengker janten anakronisme ayeuna. Aya leuwih éféktif, sarta di sababaraha tempat, hijina pilihan mungkin pikeun ngawas hiji jaringan internal - ngagunakeun protokol aliran, nu asalna dirancang pikeun milarian masalah jaringan (ngungkulan), tapi kana waktu robah jadi alat kaamanan pisan metot. Urang bakal ngobrol ngeunaan protokol aliran naon anu aya sareng anu mana anu langkung saé pikeun ngadeteksi serangan jaringan, dimana éta pangsaéna pikeun ngalaksanakeun ngawaskeun aliran, naon anu kedah dipilarian nalika nyebarkeun skéma sapertos kitu, bahkan kumaha "angkat" sadayana ieu dina alat-alat domestik. dina wengkuan artikel ieu.

Kuring moal cicing dina patarosan "Naha ngawaskeun kaamanan infrastruktur internal diperyogikeun?" Jawabanana sigana jelas. Tapi upami, kumaha oge, anjeun hoyong mastikeun sakali deui yén ayeuna anjeun moal tiasa hirup tanpa éta, tingali video pondok ngeunaan kumaha anjeun tiasa nembus jaringan perusahaan ditangtayungan ku firewall dina 17 cara. Kukituna, urang bakal nganggap yén urang ngartos yén ngawaskeun internal mangrupikeun hal anu diperyogikeun sareng sadayana anu tetep nyaéta ngartos kumaha éta tiasa diatur.

Kuring bakal nyorot tilu sumber data konci pikeun ngawaskeun infrastruktur di tingkat jaringan:

• Lalu lintas "atah" anu kami candak sareng kirimkeun pikeun dianalisis ka sistem analisis anu tangtu,
• kajadian tina alat jaringan anu ngalangkungan lalu lintas,
• informasi lalulintas narima via salah sahiji protokol aliran.

Nangkep lalu lintas atah mangrupikeun pilihan anu paling populer di kalangan spesialis kaamanan, sabab éta mimiti muncul sareng anu munggaran. Sistem deteksi intrusion jaringan konvensional (sistem deteksi intrusion komérsial anu pangheulana nyaéta NetRanger ti Wheel Group, dibeuli di 1998 ku Cisco) persis kalibet dina nangkep pakét (jeung sesi engké) dimana tanda tangan tangtu ditéang ("aturan decisive" dina. terminologi FSTEC), sinyal serangan. Tangtu, anjeun tiasa nganalisis lalulintas atah teu ngan ngagunakeun IDS, tapi ogé ngagunakeun parabot lianna (Contona, Wireshark, tcpdum atanapi fungsionalitas NBAR2 di Cisco ios), tapi aranjeunna biasana kakurangan dasar pangaweruh anu ngabedakeun hiji alat kaamanan informasi ti biasa. alat IT.

Janten, sistem deteksi serangan. Metodeu pangkolotna sarta pang populerna detecting serangan jaringan, nu ngalakukeun pakasaban alus di perimeter (euweuh urusan naon - perusahaan, puseur data, ruas, jsb), tapi gagal dina switched modern jeung jaringan software-diartikeun. Dina kasus jaringan anu diwangun dina dasar saklar konvensional, infrastruktur sensor deteksi serangan janten ageung teuing - anjeun kedah masang sensor dina unggal sambungan kana titik dimana anjeun hoyong ngawas serangan. Sakur produsén, tangtosna, bakal resep ngajual anjeun ratusan sareng rébuan sensor, tapi kuring nyangka anggaran anjeun henteu tiasa ngadukung biaya sapertos kitu. Abdi tiasa nyebatkeun yén sanajan di Cisco (sareng kami mangrupikeun pamekar NGIPS) kami henteu tiasa ngalakukeun ieu, sanaos sigana masalah hargana sateuacan urang. Abdi henteu kedah nangtung - éta kaputusan urang sorangan. Sajaba ti éta, timbul patarosan, kumaha nyambungkeun sensor dina versi ieu? Kana jurang? Kumaha upami sensor sorangan gagal? Merlukeun modul bypass dina sensor? Paké splitters (ketok)? Sadaya ieu ngajantenkeun solusina langkung mahal sareng ngajantenkeun teu mampuh pikeun perusahaan tina ukuran naon waé.

Anjeun tiasa nyobian "ngagantung" sensor dina port SPAN / RSPAN / ERSPAN sarta lalulintas langsung ti palabuhan switch diperlukeun pikeun eta. Pilihan ieu sawaréh ngaleungitkeun masalah anu dijelaskeun dina paragraf sateuacana, tapi nyababkeun anu sanés - port SPAN henteu tiasa nampi leres pisan sadaya lalu lintas anu bakal dikirimkeun ka dinya - éta moal ngagaduhan bandwidth anu cukup. Anjeun bakal kudu kurban hiji hal. Boh ninggalkeun sababaraha titik tanpa ngawaskeun (mangka anjeun kudu prioritas aranjeunna mimiti), atawa ngirim teu sakabeh lalulintas ti titik, tapi ngan hiji tipe tangtu. Dina sagala hal, urang bisa sono sababaraha serangan. Sajaba ti éta, port SPAN bisa dipaké pikeun kaperluan séjén. Hasilna, urang kedah marios topologi jaringan anu tos aya sareng kamungkinan ngadamel panyesuaian pikeun nutupan jaringan anjeun maksimal kalayan jumlah sensor anu anjeun gaduh (sareng koordinat ieu sareng IT).

Kumaha upami jaringan anjeun nganggo rute asimétri? Kumaha upami anjeun parantos ngalaksanakeun atanapi ngarencanakeun ngalaksanakeun SDN? Kumaha upami anjeun kedah ngawas mesin virtualisasi atanapi wadah anu lalu lintas henteu dugi ka saklar fisik? Ieu mangrupikeun patarosan anu henteu resep ku padagang IDS tradisional sabab henteu terang kumaha ngajawabna. Panginten aranjeunna bakal ngayakinkeun anjeun yén sadaya téknologi modéren ieu hype sareng anjeun henteu peryogi éta. Panginten aranjeunna bakal nyarioskeun kabutuhan pikeun ngamimitian leutik. Atawa meureun maranéhna bakal nyebutkeun yén anjeun kudu nempatkeun hiji thresher kuat di puseur jaringan tur ngarahkeun sagala lalulintas ka dinya ngagunakeun balancers. Naon waé pilihan anu ditawarkeun ka anjeun, anjeun kedah jelas ngartos kumaha éta cocog sareng anjeun. Sareng saatos éta nyandak kaputusan ngeunaan milih pendekatan pikeun ngawaskeun kaamanan inpormasi tina infrastruktur jaringan. Balik deui ka pakét newak, abdi hoyong disebutkeun yen metoda ieu terus jadi pohara populér tur penting, tapi tujuan utamana nyaéta kontrol wates; wates antara organisasi anjeun sarta Internet, wates antara puseur data jeung sesa jaringan, wates antara sistem kontrol prosés jeung bagean perusahaan. Di tempat-tempat ieu, IDS klasik / IPS masih gaduh hak pikeun aya sareng ngarengsekeun tugasna.

Hayu urang ngaléngkah ka pilihan kadua. Analisis kajadian anu asalna tina alat jaringan ogé tiasa dianggo pikeun tujuan deteksi serangan, tapi sanés salaku mékanisme utama, sabab ngan ukur tiasa ngadeteksi intrusi kelas leutik. Sajaba ti éta, éta alamiah dina sababaraha réaktivitas - serangan mimitina kudu lumangsung, mangka kudu dirékam ku alat jaringan, nu dina hiji cara atawa sejen bakal sinyal masalah kaamanan informasi. Aya sababaraha cara sapertos kitu. Ieu tiasa syslog, RMON atanapi SNMP. Dua protokol anu terakhir pikeun ngawaskeun jaringan dina kontéks kaamanan inpormasi ngan ukur dianggo upami urang kedah ngadeteksi serangan DoS dina alat jaringan sorangan, sabab nganggo RMON sareng SNMP tiasa waé, contona, ngawas beban dina séntral alat. processor atanapi interfaces na. Ieu mangrupikeun salah sahiji "paling murah" (sadayana ngagaduhan syslog atanapi SNMP), tapi ogé anu paling henteu efektif tina sadaya metode ngawaskeun kaamanan inpormasi ngeunaan infrastruktur internal - seueur serangan anu disumputkeun tina éta. Tangtu, aranjeunna teu kudu neglected, sarta analisis syslog sarua mantuan Anjeun timely ngaidentipikasi parobahan dina konfigurasi tina alat sorangan, kompromi eta, tapi teu cocog pisan pikeun detecting serangan dina sakabéh jaringan.

Pilihan katilu nyaéta nganalisis inpormasi ngeunaan lalu lintas anu ngalangkungan alat anu ngadukung salah sahiji tina sababaraha protokol aliran. Dina hal ieu, paduli protokol, infrastruktur threading merta diwangun ku tilu komponén:

• Generasi atanapi ékspor aliran. Peran ieu biasana ditugaskeun ka router, switch atanapi alat jaringan anu sanés, anu, ngalangkungan lalu lintas jaringan nyalira, ngamungkinkeun anjeun nimba parameter konci tina éta, anu teras dikirimkeun ka modul koleksi. Contona, Cisco ngarojong protokol Netflow teu ukur dina routers na switch, kaasup virtual jeung industri, tapi ogé dina controller nirkabel, firewalls komo server.
• Aliran koléksi. Nganggap yén jaringan modern biasana ngagaduhan langkung ti hiji alat jaringan, masalah ngumpulkeun sareng ngahijikeun aliran timbul, anu direngsekeun nganggo anu disebut kolektor, anu ngolah aliran anu ditampi teras ngirimkeunana pikeun dianalisis.
• Analisis aliran Analis ngalaksanakeun tugas intelektual utama sareng, nerapkeun rupa-rupa algoritma kana aliran, nyandak kacindekan anu tangtu. Salaku conto, salaku bagian tina fungsi IT, analisa sapertos tiasa ngaidentipikasi bottlenecks jaringan atanapi nganalisis profil beban lalu lintas pikeun optimasi jaringan salajengna. Sareng pikeun kaamanan inpormasi, analisa sapertos kitu tiasa ngadeteksi bocor data, panyebaran kode jahat atanapi serangan DoS.

Entong nyangka yén arsitéktur tilu tingkat ieu rumit teuing - sadaya pilihan sanés (iwal, sigana, sistem ngawaskeun jaringan damel sareng SNMP sareng RMON) ogé tiasa dianggo dumasar kana éta. Kami gaduh generator data pikeun analisa, anu tiasa janten alat jaringan atanapi sensor anu mandiri. Kami ngagaduhan sistem kempelan alarem sareng sistem manajemen pikeun sakabéh infrastruktur ngawaskeun. Dua komponén panungtungan bisa digabungkeun dina hiji titik tunggal, tapi dina jaringan leuwih atawa kirang badag aranjeunna biasana sumebar ka sakuliah sahenteuna dua alat guna mastikeun scalability jeung reliabilitas.

Teu kawas analisis pakét, nu dumasar kana ulikan lulugu jeung awak data unggal pakét jeung sesi eta diwangun ku, analisis aliran gumantung kana ngumpulkeun metadata ngeunaan lalulintas jaringan. Iraha, sabaraha, ti mana sareng dimana, kumaha ... ieu patarosan dijawab ku analisa telemétri jaringan nganggo sababaraha protokol aliran. Mimitina, aranjeunna dianggo pikeun nganalisis statistik sareng mendakan masalah IT dina jaringan, tapi teras, nalika mékanisme analitik dikembangkeun, janten mungkin pikeun nerapkeunana kana telemétri anu sami pikeun tujuan kaamanan. Perhatoskeun deui yén analisis aliran henteu ngagentos atanapi ngagentos pakét pakét. Masing-masing metode ieu ngagaduhan daérah aplikasina. Tapi dina kontéks tulisan ieu, analisis aliran anu paling cocog pikeun ngawaskeun infrastruktur internal. Anjeun gaduh alat jaringan (naha aranjeunna beroperasi dina paradigma anu didefinisikeun ku parangkat lunak atanapi numutkeun aturan statik) yén serangan henteu tiasa jalan-jalan. Éta tiasa ngalangkungan sensor IDS klasik, tapi alat jaringan anu ngadukung protokol aliran henteu tiasa. Ieu kaunggulan tina metoda ieu.

Di sisi anu sanésna, upami anjeun peryogi bukti pikeun penegak hukum atanapi tim investigasi kajadian anjeun nyalira, anjeun moal tiasa ngalakukeun tanpa pakét newak - network telemetry sanes salinan lalu lintas anu tiasa dianggo pikeun ngumpulkeun bukti; diperlukeun pikeun deteksi gancang sarta-pembuatan kaputusan dina widang kaamanan informasi. Di sisi séjén, ngagunakeun analisis telemetry, anjeun tiasa "nulis" teu kabeh lalulintas jaringan (lamun nanaon, Cisco ngurus puseur data :-), tapi ngan nu aub dina serangan. Alat analisis telemétri dina hal ieu bakal ngalengkepan mékanisme pakét pakét tradisional ogé, masihan paréntah pikeun newak sareng neundeun selektif. Upami teu kitu, anjeun bakal kudu boga infrastruktur gudang kolosal.

Hayu urang ngabayangkeun hiji jaringan beroperasi dina laju 250 Mbit / detik. Upami anjeun hoyong nyimpen sadaya volume ieu, anjeun peryogi 31 MB panyimpenan pikeun sadetik pangiriman lalu lintas, 1,8 GB pikeun hiji menit, 108 GB pikeun sajam, sareng 2,6 TB kanggo sadinten. Pikeun nyimpen data poéan tina jaringan kalayan rubakpita 10 Gbit/s, anjeun peryogi panyimpenan 108 TB. Tapi sababaraha régulator meryogikeun nyimpen data kaamanan mangtaun-taun. Ku jalan kitu, lamun urang ngobrol ngeunaan babandingan volume data telemétri jaringan dirékam jeung data lengkep newak, mangka kira 1 nepi ka 500. Pikeun nilai sarua ​​​​​​​​​​​​​​​​​​​​​​​​​ ayo ayo nyimpen transkrip pinuh ku sakabéh lalulintas sapopoé. bakal masing-masing 5 jeung 216 GB (anjeun malah bisa ngarekam dina flash drive biasa).

Upami pikeun alat pikeun nganalisis data jaringan atah, metode nangkepna ampir sami ti vendor ka vendor, maka dina kasus analisis aliran kaayaanana béda. Aya sababaraha pilihan pikeun protokol aliran, bédana nu peryogi kauninga ngeunaan dina konteks kaamanan. Nu pang populerna nyaeta protokol Netflow dikembangkeun ku Cisco. Aya sababaraha vérsi protokol ieu, béda dina kamampuan sareng jumlah inpormasi lalu lintas anu dirékam. Versi ayeuna nyaéta kasalapan (Netflow v9), dumasar kana standar industri Netflow v10, ogé katelah IPFIX, dikembangkeun. Kiwari, kalolobaan padagang jaringan ngadukung Netflow atanapi IPFIX dina alatna. Tapi aya rupa-rupa pilihan séjén pikeun protokol aliran - sFlow, jFlow, cFlow, rFlow, NetStream, jsb, nu sFlow nu pang populerna. Ieu mangrupikeun jinis ieu anu paling sering dirojong ku produsén alat jaringan domestik kusabab betah palaksanaanna. Naon bédana konci antara Netflow, anu parantos janten standar de facto, sareng sFlow? Kuring bakal nyorot sababaraha konci. Kahiji, Netflow boga widang customizable pamaké sabalikna widang dibereskeun dina sFlow. Sareng kadua, sareng ieu mangrupikeun hal anu paling penting dina kasus urang, sFlow ngumpulkeun anu disebut telemétri sampel; kontras jeung unsampled pikeun Netflow na IPFIX. Naon bédana antara aranjeunna?

Bayangkeun yén anjeun mutuskeun maca buku "Pusat Operasi Kaamanan: Gedong, Operasi, sareng Ngajaga SOC anjeun"Ti kolega kuring - Gary McIntyre, Joseph Munitz sareng Nadem Alfardan (anjeun tiasa ngaunduh bagian tina buku tina tautan). Anjeun gaduh tilu pilihan pikeun ngahontal tujuan anjeun - baca sadayana buku, baca buku, lirén dina unggal halaman ka-10 atanapi ka-20, atanapi cobian milarian ulang konsép konci dina blog atanapi jasa sapertos SmartReading. Janten, telemétri anu henteu disampel nyaéta maca unggal "halaman" lalu lintas jaringan, nyaéta, nganalisa metadata pikeun unggal pakét. Sampel telemétri nyaéta ulikan selektif patalimarga kalayan harepan yén sampel anu dipilih bakal ngandung naon anu anjeun peryogikeun. Gumantung kana laju saluran, telemétri sampel bakal dikirim pikeun analisis unggal 64th, 200th, 500th, 1000th, 2000th atawa malah 10000th pakét.

Dina kontéks ngawaskeun kaamanan inpormasi, ieu hartosna yén sampel telemétri cocog pikeun ngadeteksi serangan DDoS, nyeken, sareng nyebarkeun kode jahat, tapi tiasa sono serangan atom atanapi multi-pakét anu henteu kalebet dina conto anu dikirim pikeun dianalisis. Telemétri anu henteu disampel henteu gaduh kalemahan sapertos kitu. Kalayan ieu, jangkauan serangan anu dideteksi langkung lega. Ieu daptar pondok kajadian anu tiasa dideteksi nganggo alat analisis telemétri jaringan.

Tangtosna, sababaraha open source Netflow analyzer moal ngijinkeun anjeun ngalakukeun ieu, sabab tugas utami nyaéta ngumpulkeun telemétri sareng ngalaksanakeun analisa dasar tina sudut pandang IT. Pikeun ngaidentipikasi ancaman kaamanan inpormasi dumasar kana aliran, anjeun kedah ngalengkepan analisa sareng sababaraha mesin sareng algoritma, anu bakal ngaidentipikasi masalah cybersecurity dumasar kana widang Netflow standar atanapi khusus, ngabeungharan data standar sareng data éksternal tina sababaraha sumber Ancaman Ancaman, jsb.

Janten, upami anjeun gaduh pilihan, teras pilih Netflow atanapi IPFIX. Tapi sanaos alat anjeun ngan ukur tiasa dianggo sareng sFlow, sapertos pabrik domestik, teras dina hal ieu anjeun tiasa nyandak kauntungan tina éta dina kontéks kaamanan.

Dina usum panas taun 2019, kuring nganalisis kamampuan produsén hardware jaringan Rusia sareng sadayana, henteu kalebet NSG, Polygon sareng Craftway, ngumumkeun dukungan pikeun sFlow (sahenteuna Zelax, Natex, Eltex, QTech, Rusteleteh).

Patarosan salajengna anjeun bakal nyanghareupan nyaeta dimana nerapkeun rojongan aliran keur kaperluan kaamanan? Kanyataanna, patarosan ieu teu ngajukeun sagemblengna bener. Parabot modern ampir sok ngadukung protokol aliran. Ku alatan éta, kuring bakal reformulate patarosan béda - dimana éta paling éféktif pikeun ngumpulkeun telemetry tina sudut pandang kaamanan? Jawabanna bakal rada atra - dina tingkat aksés, dimana anjeun bakal ningali 100% tina sadaya lalu lintas, dimana anjeun bakal gaduh inpormasi lengkep ngeunaan host (MAC, VLAN, ID antarmuka), dimana anjeun malah tiasa ngawas lalu lintas P2P antara host, anu. penting pikeun nyeken deteksi sareng distribusi kode jahat. Dina tingkat inti, Anjeun bisa jadi saukur teu ningali sababaraha lalulintas, tapi dina tingkat perimeter, anjeun bakal nempo saparapat sadaya lalulintas jaringan Anjeun. Tapi upami kusabab sababaraha alesan anjeun gaduh alat asing dina jaringan anjeun anu ngamungkinkeun panyerang "asup sareng kaluar" tanpa ngalangkungan perimeter, teras nganalisa telemétri tina éta moal masihan anjeun nanaon. Ku alatan éta, pikeun sinyalna maksimum, disarankeun pikeun ngaktipkeun koléksi telemétri dina tingkat aksés. Dina waktu nu sarua, eta sia noting yén sanajan urang ngobrol ngeunaan virtualization atawa peti, rojongan aliran ogé mindeng kapanggih dina saklar maya modern, nu ngidinan Anjeun pikeun ngadalikeun lalulintas dinya teuing.

Tapi ti saprak kuring ngangkat topik, kuring kedah ngajawab patarosan: kumaha upami alat, fisik atanapi virtual, henteu ngadukung protokol aliran? Atawa inklusi na dilarang (contona, dina bagéan industri pikeun mastikeun reliabilitas)? Atawa ngaktipkeun eta ngakibatkeun beban CPU tinggi (ieu kajadian dina hardware heubeul)? Pikeun ngajawab masalah ieu, aya sensor maya husus (sensor aliran), nu dasarna splitters biasa nu ngaliwatan lalulintas ngaliwatan sorangan sarta disiarkeun dina bentuk aliran ka modul kempelan. Leres, dina hal ieu urang nampi sagala masalah anu urang bahas di luhur dina hubungan alat pakét newak. Nyaéta, anjeun kedah ngartos henteu ngan ukur kaunggulan téknologi analisis aliran, tapi ogé watesanana.

titik sejen anu penting pikeun nginget lamun ngobrol ngeunaan alat analisis aliran. Upami dina hubungan cara konvensional pikeun ngahasilkeun acara kaamanan kami nganggo métrik EPS (acara per detik), maka indikator ieu henteu tiasa dianggo pikeun analisis telemétri; eta diganti ku FPS (aliran per detik). Sapertos dina kasus EPS, éta henteu tiasa diitung sateuacanna, tapi anjeun tiasa ngira-ngira jumlah perkiraan benang anu dibangkitkeun ku alat khusus gumantung kana tugasna. Anjeun tiasa mendakan tabel dina Internét kalayan nilai perkiraan pikeun sababaraha jinis alat sareng kaayaan perusahaan, anu bakal ngamungkinkeun anjeun ngira-ngira lisénsi naon anu anjeun peryogikeun pikeun alat analisa sareng naon arsitékturna? Kanyataan yén sensor IDS diwatesan ku rubakpita tangtu yén éta bisa "tarik", sarta kolektor aliran boga watesan sorangan nu kudu dipikaharti. Ku alatan éta, dina badag, jaringan disebarkeun geografi biasana aya sababaraha kolektor. Nalika kuring ngajelaskeun kumaha jaringan diawaskeun jero Cisco, Kuring geus dibikeun jumlah kolektor urang - aya 21. Sareng ieu pikeun jaringan sumebar di lima buana jeung panomeran ngeunaan satengah juta alat aktip).

Kami nganggo solusi sorangan salaku sistem ngawaskeun Netflow Cisco Stealthwatch, nu husus fokus kana ngarengsekeun masalah kaamanan. Éta ngagaduhan seueur mesin anu diwangun pikeun ngadeteksi kagiatan anomali, curiga sareng jelas jahat, anu ngamungkinkeun anjeun ngadeteksi rupa-rupa ancaman anu béda - tina cryptomining ka bocor inpormasi, tina panyebaran kode jahat ka panipuan. Sapertos sabagéan ageung analisa aliran, Stealthwatch diwangun dumasar kana skéma tilu tingkat (generator - collector - analyzer), tapi ditambahan ku sababaraha fitur anu pikaresepeun anu penting dina kontéks bahan anu dipertimbangkeun. Kahiji, éta integrates jeung solusi pakét newak (kayaning Cisco Kaamanan Packet Analyzer), nu ngidinan Anjeun pikeun ngarekam sesi jaringan dipilih pikeun panalungtikan di-jero engké jeung analisis. Bréh, husus pikeun dilegakeun tugas kaamanan, kami geus ngembangkeun hiji protokol nvzFlow husus, nu ngidinan Anjeun pikeun "nyiarkeun" aktivitas aplikasi dina titik tungtung (server, workstations, jsb) kana telemétri sarta ngirimkeun ka collector pikeun analisis salajengna. Upami dina versi aslina Stealthwatch tiasa dianggo sareng protokol aliran naon waé (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) dina tingkat jaringan, teras dukungan nvzFlow ngamungkinkeun korelasi data ogé dina tingkat titik, ku kituna. ngaronjatkeun efisiensi sakabéh sistem jeung ningali leuwih serangan ti analyzers aliran jaringan konvensional.

Éta jelas yén nalika ngobrol ngeunaan sistem analisis Netflow tina sudut pandang kaamanan, pasar henteu dugi ka solusi tunggal ti Cisco. Anjeun tiasa nganggo solusi komérsial sareng gratis atanapi shareware. Éta rada anéh lamun kuring disebatkeun solusi pesaing salaku conto dina blog Cisco, jadi kuring bakal nyebutkeun sababaraha kecap ngeunaan kumaha jaringan telemétri bisa dianalisis ngagunakeun dua populér, sarupa dina ngaran, tapi masih parabot béda - Sutra jeung ELK.

SiLK mangrupikeun sakumpulan alat (Sistem pikeun Pangetahuan Tingkat Internét) pikeun analisa lalu lintas, dikembangkeun ku Amérika CERT/CC sareng anu ngadukung, dina kontéks tulisan ayeuna, Netflow (5th sareng 9, versi anu paling populér), IPFIX. sarta sFlow sarta ngagunakeun rupa Utiliti (rwfilter, rwcount, rwflowpack, jsb) pikeun ngalakukeun rupa operasi dina telemétri jaringan dina urutan pikeun ngadeteksi tanda lampah teu sah di dinya. Tapi aya sababaraha poin penting anu kedah diperhatoskeun. SiLK mangrupikeun alat garis paréntah anu ngalaksanakeun analisa online ku cara ngalebetkeun paréntah sapertos kieu (deteksi pakét ICMP langkung ageung tibatan 200 bait):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

teu nyaman pisan. Anjeun tiasa make iSiLK GUI, tapi moal nyieun hirup anjeun loba gampang, ngan ngajawab fungsi visualisasi teu ngaganti analis. Sareng ieu mangrupikeun titik kadua. Beda sareng solusi komérsial, anu parantos gaduh dasar analitik anu padet, algoritma deteksi anomali, alur kerja anu saluyu, sareng sajabana, dina kasus SiLK anjeun kedah ngalakukeun sadayana ieu nyalira, anu ngabutuhkeun kompeténsi anu rada béda ti anjeun ti ngagunakeun anu parantos siap- alat keur dipake. Ieu sanés saé atanapi goréng - ieu mangrupikeun fitur tina ampir sadaya alat gratis anu nganggap yén anjeun terang naon anu kedah dilakukeun, sareng éta ngan ukur ngabantosan anjeun (parabot komérsial kirang gumantung kana kompeténsi panggunana, sanaos aranjeunna ogé nganggap yén analis ngartos sahenteuna dasar panyelidikan sareng ngawaskeun jaringan). Tapi hayu urang balik deui ka SiLK. Siklus kerja analis sareng éta sapertos kieu:

• Ngarumuskeun hipotésis. Urang kedah ngartos naon anu bakal urang pilari di jero telemétri jaringan, terang atribut unik nu urang bakal nangtukeun anomali atawa ancaman tangtu.
• Ngawangun modél. Sanggeus ngarumuskeun hipotesa, urang program eta ngagunakeun Python sarua, cangkang atawa parabot lianna teu kaasup dina SiLK.
• Nguji. Waktosna pikeun mariksa kabeneran hipotésis urang, anu dikonfirmasi atanapi dibantah nganggo utilitas SiLK dimimitian ku 'rw', 'set', 'bag'.
• Analisis data nyata. Dina operasi industri, SiLK ngabantosan urang ngaidentipikasi hiji hal sareng analis kedah ngajawab patarosan "Naha urang mendakan naon anu dipiharep?", "Naha ieu pakait sareng hipotesa urang?", "Kumaha carana ngirangan jumlah positip palsu?", "Kumaha carana. pikeun ningkatkeun tingkat pangakuan? » teras salajengna.
• Perbaikan. Dina tahap ahir, urang ningkatkeun naon anu dipigawé saméméhna - urang nyieun témplat, ningkatkeun jeung ngaoptimalkeun kode, reformulate sarta netelakeun hipotesa, jsb.

siklus ieu ogé bakal lumaku pikeun Cisco Stealthwatch, ngan hiji panungtungan ngajadikeun otomatis lima léngkah ieu ka maksimum nu, ngurangan jumlah kasalahan analis sarta ngaronjatkeun efisiensi deteksi kajadian. Contona, dina SiLK anjeun tiasa enrich statistik jaringan jeung data éksternal on IP jahat ngagunakeun Aksara leungeun-tulisan, sarta dina Cisco Stealthwatch éta fungsi diwangun-di nu langsung mintonkeun alarm lamun lalulintas jaringan ngandung interaksi jeung alamat IP ti blacklist nu.

Upami anjeun langkung luhur dina piramida "dibayar" kanggo parangkat lunak analisis aliran, maka saatos SiLK leres pisan gratis bakal aya ELK shareware, anu diwangun ku tilu komponén konci - Elasticsearch (indexing, searching sareng analisa data), Logstash (input / output data). ) jeung Kibana (visualisasi). Beda sareng SiLK, dimana anjeun kedah nyerat sadayana nyalira, ELK parantos ngagaduhan seueur perpustakaan / modul anu siap-siap (sababaraha mayar, sababaraha henteu) anu ngajadikeun otomatis analisa telemétri jaringan. Contona, saringan GeoIP di Logstash ngamungkinkeun anjeun pikeun ngahubungkeun alamat IP anu diawaskeun sareng lokasi geografisna (Stealthwatch gaduh fitur anu diwangun ieu).

ELK ogé ngagaduhan komunitas anu lumayan ageung anu ngalengkepan komponén anu leungit pikeun solusi ngawaskeun ieu. Contona, pikeun gawé bareng Netflow, IPFIX na sFlow anjeun tiasa nganggo modul elastiflow, Mun anjeun teu puas ku Logstash Netflow Module, nu ngan ngarojong Netflow.

Nalika masihan langkung efisiensi dina ngumpulkeun aliran sareng milarian di jerona, ELK ayeuna kakurangan analitik anu diwangun pikeun ngadeteksi anomali sareng ancaman dina telemétri jaringan. Nyaéta, saatos siklus kahirupan anu dijelaskeun di luhur, anjeun kedah ngajelaskeun sacara mandiri modél palanggaran teras dianggo dina sistem tempur (teu aya modél anu diwangun di dinya).

Aya, tangtosna, ekstensi leuwih canggih pikeun ELK, nu geus ngandung sababaraha model pikeun detecting anomali dina telemetry jaringan, tapi ekstensi sapertos ngarugikeun duit jeung di dieu patarosan naha kaulinan patut lilin - nulis model sarupa sorangan, meuli na palaksanaan pikeun alat ngawaskeun anjeun, atanapi mésér solusi anu siap-siap tina kelas Analisis Lalu Lintas Jaringan.

Sacara umum, kuring henteu hoyong debat yén éta langkung saé nyéépkeun artos sareng mésér solusi anu siap-siap pikeun ngawaskeun anomali sareng ancaman dina telemétri jaringan (contona, Cisco Stealthwatch) atanapi terangkeun diri anjeun sareng ngaropea anu sami. SiLK, ELK atanapi nfdump atanapi OSU Flow Tools pikeun tiap ancaman anyar (Kuring ngawangkong ngeunaan dua anu terakhir ngawartoskeun panungtungan waktu)? Sarerea milih pikeun dirina sareng sadayana gaduh motif sorangan pikeun milih salah sahiji dua pilihan. Kuring ngan ukur hoyong nunjukkeun yén telemétri jaringan mangrupikeun alat anu penting pisan pikeun mastikeun kaamanan jaringan tina infrastruktur internal anjeun sareng anjeun henteu kedah ngalalaworakeunana, supados henteu ngiringan daptar perusahaan anu namina disebatkeun dina média sareng epithets " hacked", "non-patuh kana sarat kaamanan informasi" ", "teu mikir ngeunaan kaamanan data maranéhanana sarta data nasabah."

Pikeun nyimpulkeun, kuring hoyong daptar tip konci anu anjeun kedah laksanakeun nalika ngawangun ngawaskeun kaamanan inpormasi ngeunaan infrastruktur internal anjeun:

1. Ulah ngan ngawatesan diri ka perimeter! Anggo (sareng milih) infrastruktur jaringan henteu ngan ukur pikeun mindahkeun lalu lintas ti titik A ka titik B, tapi ogé pikeun ngatasi masalah cybersecurity.
2. Diajar mékanisme ngawaskeun kaamanan inpormasi anu aya dina alat jaringan anjeun sareng dianggo.
3. Pikeun ngawaskeun internal, masihan leuwih sering dipake tinimbang kana analisis telemétri - eta ngidinan Anjeun pikeun ngadeteksi nepi ka 80-90% tina sakabeh insiden kaamanan informasi jaringan, bari ngalakukeun naon teu mungkin lamun néwak pakét jaringan tur nyimpen spasi pikeun nyimpen sakabeh acara kaamanan informasi.
4. Pikeun ngawas aliran, nganggo Netflow v9 atanapi IPFIX - aranjeunna nyayogikeun inpormasi langkung seueur dina kontéks kaamanan sareng ngamungkinkeun anjeun henteu ngan ukur ngawas IPv4, tapi ogé IPv6, MPLS, jsb.
5. Paké protokol aliran unsampled - nyadiakeun émbaran leuwih lengkep pikeun ngadeteksi ancaman. Contona, Netflow atanapi IPFIX.
6. Pariksa beban dina alat jaringan Anjeun - eta bisa jadi teu bisa nanganan protokol aliran ogé. Teras pertimbangkeun ngagunakeun sénsor virtual atanapi Netflow Generation Appliance.
7. Nerapkeun kontrol heula di tingkat aksés - ieu bakal masihan anjeun kasempetan pikeun ningali 100% sadaya lalu lintas.
8. Upami anjeun teu gaduh pilihan sareng anjeun nganggo alat jaringan Rusia, teras pilih hiji anu ngadukung protokol aliran atanapi gaduh palabuhan SPAN / RSPAN.
9. Gabungkeun sistem deteksi intrusi/pencegahan di tepi sareng sistem analisis aliran dina jaringan internal (kaasup dina méga).

Ngeunaan tip anu terakhir, kuring badé masihan ilustrasi anu kuring parantos masihan sateuacanna. Nu katingali yén lamun saméméhna layanan kaamanan informasi Cisco ampir sakabéhna diwangun sistem ngawaskeun kaamanan informasi na dina dasar sistem deteksi intrusion jeung métode signature, ayeuna maranéhna akun pikeun ukur 20% tina insiden. Sejen 20% digolongkeun kana sistem analisis aliran, nu nunjukkeun yen solusi ieu teu whim, tapi alat nyata dina kagiatan jasa kaamanan informasi tina hiji perusahaan modern. Leuwih ti éta, anjeun boga hal pangpentingna pikeun palaksanaan maranéhanana - infrastruktur jaringan, Investasi nu bisa salajengna ditangtayungan ku assigning fungsi monitoring kaamanan informasi ka jaringan.

Kuring sacara khusus henteu nyabak kana topik pikeun ngaréspon anomali atanapi ancaman anu diidentipikasi dina aliran jaringan, tapi kuring nyangka yén éta parantos jelas yén ngawaskeun henteu kedah ditungtungan ukur ku deteksi ancaman. Ieu kudu dituturkeun ku respon sarta preferably dina modeu otomatis atawa otomatis. Tapi ieu topik pikeun artikel misah.

Émbaran tambahan:

• Pedaran Cisco ios Netflow
• Netflow rojongan matrix di sagala rupa solusi Cisco
• Pituduh pikeun ngonpigurasikeun Netflow dina Rupa-rupa Platform Cisco
• Komunitas sFlow
• Lab nganggo Stealtjwatch, SiLK sareng ELK pikeun nganalisis Netflow tina sudut pandang kaamanan
• situs web SiLK
• Pituduh tilu ratus halaman pikeun ngagunakeun SiLK kalayan seueur conto
• Logstash Netflow Module
• Cisco Lengkah-demi-Lengkah Guide to Analisis Netflow di ELK
• Analisis NetFlow v.9 Cisco ASA ngagunakeun Logstash (ELK)
• Solusi Cisco Stealthwatch

PS. Upami anjeun langkung gampang ngupingkeun sadayana anu diserat di luhur, maka anjeun tiasa nonton presentasi sajam anu janten dasar catetan ieu.

sumber: www.habr.com