Itifaki za mtiririko kama zana ya ufuatiliaji wa usalama wa mtandao wa ndani

Linapokuja suala la ufuatiliaji wa usalama wa mtandao wa ndani wa shirika au idara, wengi huhusisha na kudhibiti uvujaji wa habari na kutekeleza suluhu za DLP. Na ukijaribu kufafanua swali na kuuliza jinsi unavyogundua mashambulizi kwenye mtandao wa ndani, basi jibu litakuwa, kama sheria, kutaja mifumo ya kugundua intrusion (IDS). Na ni chaguo gani pekee miaka 10-20 iliyopita ni kuwa anachronism leo. Kuna ufanisi zaidi, na katika baadhi ya maeneo, chaguo pekee linalowezekana la ufuatiliaji wa mtandao wa ndani - kwa kutumia itifaki za mtiririko, ambazo ziliundwa awali kutafuta matatizo ya mtandao (kutatua matatizo), lakini baada ya muda kubadilishwa kuwa chombo cha kuvutia sana cha usalama. Tutazungumza juu ya ni itifaki gani za mtiririko zipo na ni zipi bora katika kugundua mashambulio ya mtandao, ambapo ni bora kutekeleza ufuatiliaji wa mtiririko, nini cha kutafuta wakati wa kusambaza mpango kama huo, na hata jinsi ya "kuinua" haya yote kwenye vifaa vya nyumbani. ndani ya upeo wa makala hii.

Sitazingatia swali "Kwa nini ufuatiliaji wa usalama wa miundombinu unahitajika?" Jibu linaonekana kuwa wazi. Lakini ikiwa, hata hivyo, ungependa kuhakikisha tena kwamba leo huwezi kuishi bila hiyo, angalia video fupi kuhusu jinsi unaweza kupenya mtandao wa ushirika unaolindwa na firewall kwa njia 17. Kwa hiyo, tutafikiri kwamba tunaelewa kuwa ufuatiliaji wa ndani ni jambo la lazima na kinachobakia ni kuelewa jinsi inaweza kupangwa.

Ningeangazia vyanzo vitatu muhimu vya data kwa miundombinu ya ufuatiliaji katika kiwango cha mtandao:

• Trafiki "mbichi" ambayo tunakamata na kuwasilisha kwa uchambuzi kwa mifumo fulani ya uchambuzi,
• matukio kutoka kwa vifaa vya mtandao ambavyo trafiki hupitia,
• taarifa za trafiki zilizopokelewa kupitia mojawapo ya itifaki za mtiririko.

Kukamata trafiki mbichi ni chaguo maarufu zaidi kati ya wataalam wa usalama, kwa sababu ilionekana kihistoria na ilikuwa ya kwanza kabisa. Mifumo ya kawaida ya kugundua uingiliaji wa mtandao (mfumo wa kwanza kabisa wa kugundua uvamizi wa kibiashara ulikuwa NetRanger kutoka Kundi la Gurudumu, iliyonunuliwa mwaka wa 1998 na Cisco) ilihusika kwa usahihi katika kunasa pakiti (na vikao vya baadaye) ambapo saini fulani zilitafutwa ("sheria madhubuti" katika Istilahi ya FSTEC), kuashiria mashambulizi. Kwa kweli, unaweza kuchambua trafiki mbichi sio tu kwa kutumia IDS, lakini pia kwa kutumia zana zingine (kwa mfano, Wireshark, tcpdum au utendaji wa NBAR2 kwenye Cisco IOS), lakini kwa kawaida hazina msingi wa maarifa ambao hutofautisha zana ya usalama wa habari kutoka kwa kawaida. Chombo cha IT.

Kwa hivyo, mifumo ya kugundua mashambulizi. Njia ya kale na maarufu zaidi ya kuchunguza mashambulizi ya mtandao, ambayo hufanya kazi nzuri kwenye mzunguko (bila kujali - ushirika, kituo cha data, sehemu, nk), lakini inashindwa katika mitandao ya kisasa iliyobadilishwa na iliyoainishwa na programu. Katika kesi ya mtandao uliojengwa kwa misingi ya swichi za kawaida, miundombinu ya sensorer ya kutambua mashambulizi inakuwa kubwa sana - utakuwa na kufunga sensor kwenye kila uhusiano kwenye node ambayo unataka kufuatilia mashambulizi. Mtengenezaji yeyote, bila shaka, atafurahi kukuuzia mamia na maelfu ya sensorer, lakini nadhani bajeti yako haiwezi kusaidia gharama hizo. Ninaweza kusema kwamba hata huko Cisco (na sisi ni watengenezaji wa NGIPS) hatukuweza kufanya hivi, ingawa ingeonekana kuwa suala la bei liko mbele yetu. Sipaswi kusimama - ni uamuzi wetu wenyewe. Kwa kuongeza, swali linatokea, jinsi ya kuunganisha sensor katika toleo hili? Ndani ya pengo? Je, ikiwa sensor yenyewe inashindwa? Je, unahitaji moduli ya kupita kwenye kihisi? Je, ungependa kutumia vigawanyiko (bomba)? Yote hii hufanya suluhisho kuwa ghali zaidi na inafanya kuwa haiwezekani kwa kampuni ya ukubwa wowote.

Unaweza kujaribu "kunyongwa" kitambuzi kwenye mlango wa SPAN/RSPAN/ERSPAN na uelekeze trafiki kutoka kwa njia zinazohitajika za kubadili hadi kwake. Chaguo hili huondoa kwa sehemu shida iliyoelezewa katika aya iliyotangulia, lakini inaleta nyingine - bandari ya SPAN haiwezi kukubali kabisa trafiki yote ambayo itatumwa kwake - haitakuwa na kipimo data cha kutosha. Utalazimika kutoa kitu. Ama kuondoka baadhi ya nodi bila ufuatiliaji (basi unahitaji kuwapa kipaumbele kwanza), au usitume trafiki yote kutoka kwa node, lakini aina fulani tu. Kwa vyovyote vile, tunaweza kukosa baadhi ya mashambulizi. Kwa kuongeza, bandari ya SPAN inaweza kutumika kwa mahitaji mengine. Kwa hivyo, tutalazimika kukagua topolojia ya mtandao iliyopo na ikiwezekana kuifanyia marekebisho ili kufidia mtandao wako kwa kiwango cha juu zaidi na idadi ya vitambuzi ulivyonavyo (na kuratibu hii na IT).

Je, ikiwa mtandao wako unatumia njia zisizolinganishwa? Je, ikiwa umetekeleza au unapanga kutekeleza SDN? Je, ikiwa unahitaji kufuatilia mashine au kontena zilizoboreshwa ambazo trafiki yake haifikii swichi kabisa? Haya ni maswali ambayo wachuuzi wa kitamaduni wa IDS hawapendi kwa sababu hawajui jinsi ya kuyajibu. Labda watakushawishi kuwa teknolojia hizi zote za mtindo ni hype na hauitaji. Labda watazungumza juu ya hitaji la kuanza kidogo. Au labda watasema kwamba unahitaji kuweka kipiga nguvu katikati ya mtandao na uelekeze trafiki yote kwake kwa kutumia mizani. Chaguo lolote linalotolewa kwako, unahitaji kuelewa wazi jinsi inavyofaa kwako. Na tu baada ya kufanya uamuzi juu ya kuchagua mbinu ya ufuatiliaji wa usalama wa habari wa miundombinu ya mtandao. Kurudi kwenye kukamata pakiti, nataka kusema kwamba njia hii inaendelea kuwa maarufu sana na muhimu, lakini kusudi lake kuu ni udhibiti wa mpaka; mipaka kati ya shirika lako na mtandao, mipaka kati ya kituo cha data na mtandao wote, mipaka kati ya mfumo wa udhibiti wa mchakato na sehemu ya ushirika. Katika maeneo haya, IDS/IPS ya kawaida bado ina haki ya kuwepo na kukabiliana vyema na kazi zao.

Wacha tuendelee kwenye chaguo la pili. Uchanganuzi wa matukio yanayotoka kwenye vifaa vya mtandao pia unaweza kutumika kwa madhumuni ya kutambua mashambulizi, lakini si kama njia kuu, kwa kuwa inaruhusu kutambua aina ndogo tu za uvamizi. Kwa kuongeza, ni asili katika reactivity fulani - shambulio lazima litokee kwanza, basi lazima lirekodi na kifaa cha mtandao, ambacho kwa njia moja au nyingine kitaashiria tatizo na usalama wa habari. Kuna njia kadhaa kama hizo. Hii inaweza kuwa syslog, RMON au SNMP. Itifaki mbili za mwisho za ufuatiliaji wa mtandao katika muktadha wa usalama wa habari hutumiwa tu ikiwa tunahitaji kugundua shambulio la DoS kwenye vifaa vya mtandao yenyewe, kwani kutumia RMON na SNMP inawezekana, kwa mfano, kufuatilia mzigo kwenye kituo cha kati cha kifaa. processor au miingiliano yake. Hii ni mojawapo ya "ya bei nafuu" (kila mtu ana syslog au SNMP), lakini pia njia zisizofaa zaidi za ufuatiliaji wa usalama wa habari wa miundombinu ya ndani - mashambulizi mengi yamefichwa kutoka kwake. Bila shaka, hawapaswi kupuuzwa, na uchambuzi huo wa syslog husaidia kutambua kwa wakati mabadiliko katika usanidi wa kifaa yenyewe, maelewano yake, lakini haifai sana kwa kuchunguza mashambulizi kwenye mtandao mzima.

Chaguo la tatu ni kuchambua habari kuhusu trafiki kupita kwenye kifaa kinachounga mkono mojawapo ya itifaki kadhaa za mtiririko. Katika kesi hii, bila kujali itifaki, miundombinu ya kuunganisha lazima iwe na vipengele vitatu:

• Uzalishaji au usafirishaji wa mtiririko. Jukumu hili kawaida hupewa router, swichi au kifaa kingine cha mtandao, ambacho, kwa kupitisha trafiki ya mtandao kupitia yenyewe, hukuruhusu kutoa vigezo muhimu kutoka kwake, ambavyo hupitishwa kwenye moduli ya mkusanyiko. Kwa mfano, Cisco inasaidia itifaki ya Netflow sio tu kwenye ruta na swichi, ikiwa ni pamoja na zile za kawaida na za viwandani, lakini pia kwenye vidhibiti visivyo na waya, firewalls na hata seva.
• Mtiririko wa mkusanyiko. Kwa kuzingatia kwamba mtandao wa kisasa huwa na kifaa zaidi ya moja ya mtandao, tatizo la kukusanya na kuimarisha mtiririko hutokea, ambalo hutatuliwa kwa kutumia wanaoitwa watoza, ambao hutengeneza mtiririko uliopokea na kisha kuwapeleka kwa uchambuzi.
• Uchambuzi wa mtiririko Mchanganuzi huchukua kazi kuu ya kiakili na, akitumia algorithms mbalimbali kwa mito, hupata hitimisho fulani. Kwa mfano, kama sehemu ya utendaji wa TEHAMA, kichanganuzi kama hicho kinaweza kutambua vikwazo vya mtandao au kuchambua wasifu wa upakiaji wa trafiki kwa uboreshaji zaidi wa mtandao. Na kwa usalama wa habari, kichanganuzi kama hicho kinaweza kugundua uvujaji wa data, kuenea kwa nambari mbaya au shambulio la DoS.

Usifikiri kwamba usanifu huu wa ngazi tatu ni ngumu sana - chaguzi nyingine zote (isipokuwa, labda, mifumo ya ufuatiliaji wa mtandao inayofanya kazi na SNMP na RMON) pia hufanya kazi kulingana nayo. Tuna jenereta ya data ya uchanganuzi, ambayo inaweza kuwa kifaa cha mtandao au kitambuzi cha kusimama pekee. Tuna mfumo wa kukusanya kengele na mfumo wa usimamizi wa miundombinu yote ya ufuatiliaji. Vipengele viwili vya mwisho vinaweza kuunganishwa ndani ya nodi moja, lakini katika mitandao mikubwa zaidi au chini kwa kawaida husambazwa kwenye angalau vifaa viwili ili kuhakikisha uimara na kutegemewa.

Tofauti na uchanganuzi wa pakiti, ambao unategemea kusoma kichwa na data ya kila pakiti na vipindi vinavyojumuisha, uchanganuzi wa mtiririko unategemea kukusanya metadata kuhusu trafiki ya mtandao. Wakati, kiasi gani, kutoka wapi na wapi, jinsi gani ... haya ni maswali yaliyojibiwa na uchambuzi wa telemetry ya mtandao kwa kutumia itifaki mbalimbali za mtiririko. Hapo awali, zilitumiwa kuchambua takwimu na kupata shida za IT kwenye mtandao, lakini basi, taratibu za uchanganuzi zilipotengenezwa, iliwezekana kuzitumia kwa telemetry sawa kwa madhumuni ya usalama. Inafaa kukumbuka tena kuwa uchanganuzi wa mtiririko hauchukui nafasi au kuchukua nafasi ya kukamata pakiti. Kila moja ya njia hizi ina eneo lake la matumizi. Lakini katika muktadha wa kifungu hiki, ni uchanganuzi wa mtiririko ambao unafaa zaidi kwa ufuatiliaji wa miundombinu ya ndani. Una vifaa vya mtandao (iwe vinafanya kazi katika dhana iliyofafanuliwa na programu au kulingana na sheria tuli) ambayo shambulio haliwezi kukwepa. Inaweza kupita kihisi cha kawaida cha IDS, lakini kifaa cha mtandao kinachoauni itifaki ya mtiririko hakiwezi. Hii ndiyo faida ya njia hii.

Kwa upande mwingine, ikiwa unahitaji ushahidi kwa ajili ya utekelezaji wa sheria au timu yako ya uchunguzi wa matukio, huwezi kufanya bila kukamata pakiti - telemetry ya mtandao sio nakala ya trafiki ambayo inaweza kutumika kukusanya ushahidi; inahitajika kwa utambuzi wa haraka na kufanya maamuzi katika uwanja wa usalama wa habari. Kwa upande mwingine, kwa kutumia uchambuzi wa telemetry, unaweza "kuandika" sio trafiki yote ya mtandao (ikiwa ni chochote, Cisco inahusika na vituo vya data :-), lakini tu ambayo inahusika katika shambulio hilo. Zana za uchanganuzi wa telemetry katika suala hili zitakamilisha taratibu za kukamata pakiti za jadi vizuri, kutoa amri za kukamata na kuhifadhi. Vinginevyo, itabidi uwe na miundombinu kubwa ya kuhifadhi.

Hebu fikiria mtandao unaofanya kazi kwa kasi ya 250 Mbit / sec. Ikiwa unataka kuhifadhi kiasi hiki chote, basi utahitaji MB 31 za hifadhi kwa sekunde moja ya maambukizi ya trafiki, GB 1,8 kwa dakika moja, GB 108 kwa saa moja, na 2,6 TB kwa siku moja. Ili kuhifadhi data ya kila siku kutoka kwa mtandao wenye kipimo data cha 10 Gbit/s, utahitaji 108 TB ya hifadhi. Lakini baadhi ya vidhibiti vinahitaji kuhifadhi data ya usalama kwa miaka... Rekodi unapohitaji, ambayo uchanganuzi wa mtiririko hukusaidia kutekeleza, husaidia kupunguza maadili haya kwa maagizo ya ukubwa. Kwa njia, ikiwa tunazungumzia kuhusu uwiano wa kiasi cha data ya telemetry ya mtandao iliyorekodi na kukamata data kamili, basi ni takriban 1 hadi 500. Kwa maadili sawa yaliyotolewa hapo juu, kuhifadhi nakala kamili ya trafiki yote ya kila siku. itakuwa 5 na 216 GB, kwa mtiririko huo (unaweza hata kurekodi kwenye gari la kawaida la flash ).

Ikiwa kwa zana za kuchambua data ya mtandao ghafi, njia ya kukamata ni karibu sawa kutoka kwa muuzaji hadi muuzaji, basi katika kesi ya uchambuzi wa mtiririko hali ni tofauti. Kuna chaguzi kadhaa za itifaki za mtiririko, tofauti ambazo unahitaji kujua katika muktadha wa usalama. Maarufu zaidi ni itifaki ya Netflow iliyotengenezwa na Cisco. Kuna matoleo kadhaa ya itifaki hii, tofauti katika uwezo wao na kiasi cha taarifa za trafiki zilizorekodiwa. Toleo la sasa ni la tisa (Netflow v9), kwa msingi ambao kiwango cha sekta ya Netflow v10, pia kinajulikana kama IPFIX, kiliundwa. Leo, wachuuzi wengi wa mtandao wanaunga mkono Netflow au IPFIX katika vifaa vyao. Lakini kuna chaguzi nyingine mbalimbali za itifaki za mtiririko - sFlow, jFlow, cFlow, rFlow, NetStream, nk, ambayo sFlow ni maarufu zaidi. Ni aina hii ambayo mara nyingi husaidiwa na wazalishaji wa ndani wa vifaa vya mtandao kutokana na urahisi wa utekelezaji. Ni tofauti gani kuu kati ya Netflow, ambayo imekuwa kiwango cha ukweli, na sFlow? Ningeangazia kadhaa muhimu. Kwanza, Netflow ina sehemu zinazoweza kubinafsishwa na mtumiaji tofauti na sehemu zisizohamishika katika sFlow. Na pili, na hii ndiyo jambo muhimu zaidi katika kesi yetu, sFlow inakusanya kinachojulikana kama sampuli telemetry; tofauti na ile isiyo na sampuli ya Netflow na IPFIX. Kuna tofauti gani kati yao?

Fikiria kuwa unaamua kusoma kitabu "Kituo cha Uendeshaji wa Usalama: Kujenga, Kuendesha, na Kudumisha SOC yako” ya wenzangu - Gary McIntyre, Joseph Munitz na Nadem Alfardan (unaweza kupakua sehemu ya kitabu kutoka kwa kiungo). Una chaguo tatu ili kufikia lengo lako - soma kitabu kizima, kichunguze, ukisimama katika kila ukurasa wa 10 au 20, au jaribu kutafuta urejeshaji wa dhana muhimu kwenye blogu au huduma kama SmartReading. Kwa hivyo, telemetry isiyo na sampuli inasoma kila "ukurasa" wa trafiki ya mtandao, yaani, kuchambua metadata kwa kila pakiti. Sampuli ya telemetry ni uchunguzi maalum wa trafiki kwa matumaini kwamba sampuli zilizochaguliwa zitakuwa na unachohitaji. Kulingana na kasi ya kituo, sampuli za telemetry zitatumwa kwa uchambuzi kila pakiti ya 64, 200, 500, 1000, 2000 au hata 10000.

Katika muktadha wa ufuatiliaji wa usalama wa taarifa, hii inamaanisha kuwa sampuli ya telemetry inafaa kwa ajili ya kugundua mashambulizi ya DDoS, kuchanganua na kueneza msimbo hasidi, lakini inaweza kukosa mashambulizi ya atomiki au ya pakiti nyingi ambayo hayakujumuishwa kwenye sampuli iliyotumwa kwa uchambuzi. Telemetry isiyo na sampuli haina hasara kama hizo. Kwa hili, aina mbalimbali za mashambulizi yaliyogunduliwa ni pana zaidi. Hapa kuna orodha fupi ya matukio ambayo yanaweza kutambuliwa kwa kutumia zana za uchambuzi wa telemetry ya mtandao.

Bila shaka, baadhi ya analyzer ya wazi ya Netflow haitakuwezesha kufanya hivyo, kwa kuwa kazi yake kuu ni kukusanya telemetry na kufanya uchambuzi wa msingi juu yake kutoka kwa mtazamo wa IT. Ili kutambua vitisho vya usalama wa habari kulingana na mtiririko, ni muhimu kuandaa kichanganuzi kwa injini na algoriti mbalimbali, ambazo zitatambua matatizo ya usalama wa mtandao kulingana na sehemu za kawaida au maalum za Netflow, kuimarisha data ya kawaida na data ya nje kutoka kwa vyanzo mbalimbali vya Upelelezi wa Tishio, nk.

Kwa hivyo, ikiwa una chaguo, basi chagua Netflow au IPFIX. Lakini hata kama vifaa vyako vinafanya kazi tu na sFlow, kama wazalishaji wa ndani, basi hata katika kesi hii unaweza kunufaika nayo katika muktadha wa usalama.

Katika msimu wa joto wa 2019, nilichambua uwezo ambao watengenezaji wa vifaa vya mtandao wa Urusi wanao na wote, ukiondoa NSG, Polygon na Craftway, walitangaza msaada kwa sFlow (angalau Zelax, Natex, Eltex, QTech, Rusteleteh).

Swali linalofuata utakalokabili ni wapi pa kutekeleza usaidizi wa mtiririko kwa madhumuni ya usalama? Kwa kweli, swali halijaulizwa kwa usahihi kabisa. Vifaa vya kisasa karibu daima vinasaidia itifaki za mtiririko. Kwa hivyo, ningerekebisha swali kwa njia tofauti - ni wapi panafaa zaidi kukusanya telemetry kutoka kwa maoni ya usalama? Jibu litakuwa wazi kabisa - katika kiwango cha ufikiaji, ambapo utaona 100% ya trafiki yote, ambapo utakuwa na maelezo ya kina juu ya majeshi (MAC, VLAN, ID ya interface), ambapo unaweza hata kufuatilia trafiki ya P2P kati ya majeshi, ambayo ni muhimu kwa ugunduzi na usambazaji wa msimbo hasidi. Katika kiwango cha msingi, unaweza usione baadhi ya trafiki, lakini kwa kiwango cha mzunguko, utaona robo ya trafiki yako yote ya mtandao. Lakini ikiwa kwa sababu fulani una vifaa vya kigeni kwenye mtandao wako vinavyoruhusu washambuliaji "kuingia na kutoka" bila kupitisha mzunguko, basi kuchambua telemetry kutoka kwake haitakupa chochote. Kwa hiyo, kwa upeo wa juu, inashauriwa kuwezesha mkusanyiko wa telemetry kwenye ngazi ya kufikia. Wakati huo huo, inafaa kuzingatia kwamba hata ikiwa tunazungumza juu ya uboreshaji au vyombo, msaada wa mtiririko pia hupatikana mara nyingi katika swichi za kisasa za kawaida, ambazo hukuruhusu kudhibiti trafiki huko pia.

Lakini tangu nilipoinua mada, ninahitaji kujibu swali: je, ikiwa vifaa, vya kimwili au vya kawaida, haviunga mkono itifaki za mtiririko? Au kuingizwa kwake ni marufuku (kwa mfano, katika sehemu za viwanda ili kuhakikisha kuegemea)? Au je, kuiwasha kunasababisha mzigo mkubwa wa CPU (hii hutokea kwenye vifaa vya zamani)? Ili kutatua tatizo hili, kuna sensorer maalum za kawaida (sensorer za mtiririko), ambazo kimsingi ni vigawanyiko vya kawaida ambavyo hupitisha trafiki kupitia wenyewe na kuitangaza kwa njia ya mtiririko kwa moduli ya mkusanyiko. Kweli, katika kesi hii tunapata matatizo yote ambayo tulizungumzia hapo juu kuhusiana na zana za kukamata pakiti. Hiyo ni, unahitaji kuelewa sio tu faida za teknolojia ya uchambuzi wa mtiririko, lakini pia mapungufu yake.

Jambo lingine ambalo ni muhimu kukumbuka wakati wa kuzungumza juu ya zana za uchambuzi wa mtiririko. Ikiwa kuhusiana na njia za kawaida za kuzalisha matukio ya usalama tunatumia metric ya EPS (tukio kwa sekunde), basi kiashiria hiki hakitumiki kwa uchambuzi wa telemetry; inabadilishwa na FPS (mtiririko kwa sekunde). Kama ilivyo kwa EPS, haiwezi kuhesabiwa mapema, lakini unaweza kukadiria takriban idadi ya nyuzi ambazo kifaa fulani hutoa kulingana na kazi yake. Unaweza kupata jedwali kwenye mtandao zilizo na takriban maadili ya aina tofauti za vifaa na masharti ya biashara, ambayo itakuruhusu kukadiria ni leseni gani unahitaji kwa zana za uchambuzi na usanifu wao utakuwa nini? Ukweli ni kwamba sensor ya IDS imepunguzwa na bandwidth fulani ambayo inaweza "kuvuta", na mtozaji wa mtiririko ana mapungufu yake ambayo lazima ieleweke. Kwa hiyo, katika mitandao mikubwa, iliyosambazwa kijiografia kuna kawaida watoza kadhaa. Nilipoeleza jinsi mtandao unavyofuatiliwa ndani ya Cisco, tayari nimetoa idadi ya watoza wetu - kuna 21. Na hii ni kwa mtandao uliotawanyika katika mabara matano na idadi ya karibu nusu milioni ya vifaa hai).

Tunatumia suluhisho letu kama mfumo wa ufuatiliaji wa Netflow Cisco Stealthwatch, ambayo inalenga hasa kutatua matatizo ya usalama. Ina injini nyingi zilizojengewa ndani kwa ajili ya kugundua shughuli isiyo ya kawaida, ya kutiliwa shaka na hasidi waziwazi, ikiiruhusu kutambua matishio mengi tofauti - kutoka kwa siri hadi uvujaji wa taarifa, kutoka kwa kuenea kwa msimbo hasidi hadi ulaghai. Kama vile vichanganuzi vingi vya mtiririko, Stealthwatch imeundwa kulingana na mpango wa ngazi tatu (jenereta - mtoza - analyzer), lakini inaongezewa na idadi ya vipengele vya kuvutia ambavyo ni muhimu katika muktadha wa nyenzo zinazozingatiwa. Kwanza, inaunganisha na suluhu za kunasa pakiti (kama vile Cisco Security Packet Analyzer), hukuruhusu kurekodi vipindi vya mtandao vilivyochaguliwa kwa uchunguzi wa kina na uchanganuzi wa baadaye. Pili, haswa kupanua kazi za usalama, tumeunda itifaki maalum ya nvzFlow, ambayo hukuruhusu "kutangaza" shughuli za programu kwenye nodi za mwisho (seva, vituo vya kazi, nk) kwenye telemetry na kuisambaza kwa mtoza kwa uchambuzi zaidi. Ikiwa katika toleo lake la asili la Stealthwatch inafanya kazi na itifaki yoyote ya mtiririko (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) katika kiwango cha mtandao, basi usaidizi wa nvzFlow huruhusu uunganisho wa data pia katika kiwango cha nodi, kwa hivyo. kuongeza ufanisi wa mfumo mzima na kuona mashambulizi zaidi kuliko wachambuzi wa kawaida wa mtiririko wa mtandao.

Ni wazi kwamba wakati wa kuzungumza juu ya mifumo ya uchambuzi wa Netflow kutoka kwa mtazamo wa usalama, soko sio mdogo kwa suluhisho moja kutoka kwa Cisco. Unaweza kutumia suluhu za kibiashara na za bure au za kushirikiwa. Inashangaza sana ikiwa nitataja suluhisho za washindani kama mifano kwenye blogi ya Cisco, kwa hivyo nitasema maneno machache kuhusu jinsi telemetry ya mtandao inaweza kuchambuliwa kwa kutumia mbili maarufu, zinazofanana kwa jina, lakini bado zana tofauti - SiLK na ELK.

SiLK ni seti ya zana (Mfumo wa Maarifa ya Kiwango cha Mtandao) kwa uchanganuzi wa trafiki, iliyotengenezwa na CERT/CC ya Amerika na ambayo inasaidia, katika muktadha wa nakala ya leo, Netflow (ya 5 na 9, matoleo maarufu zaidi), IPFIX. na sFlow na kutumia huduma mbalimbali (rwfilter, rwcount, rwflowpack, n.k.) kutekeleza shughuli mbalimbali kwenye telemetry ya mtandao ili kutambua ishara za vitendo visivyoidhinishwa ndani yake. Lakini kuna mambo kadhaa muhimu ya kuzingatia. SiLK ni zana ya mstari wa amri ambayo hufanya uchambuzi wa mtandaoni kwa kuingiza amri kama hii (ugunduzi wa pakiti za ICMP kubwa kuliko ka 200):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

sio vizuri sana. Unaweza kutumia iSiLK GUI, lakini haitafanya maisha yako kuwa rahisi zaidi, kutatua tu kazi ya taswira na sio kuchukua nafasi ya mchambuzi. Na hii ni nukta ya pili. Tofauti na suluhisho za kibiashara, ambazo tayari zina msingi thabiti wa uchambuzi, algorithms ya kugundua makosa, mtiririko wa kazi unaolingana, nk, kwa upande wa SiLK itabidi ufanye haya yote mwenyewe, ambayo itahitaji ustadi tofauti kidogo kutoka kwako kuliko kutumia tayari- tayari- zana za kutumia. Hii sio nzuri au mbaya - hii ni hulka ya karibu zana yoyote ya bure ambayo inadhani kuwa unajua nini cha kufanya, na itakusaidia tu na hii (zana za kibiashara hazitegemei sana ustadi wa watumiaji wake, ingawa pia wanadhani. kwamba wachambuzi wanaelewa angalau misingi ya uchunguzi na ufuatiliaji wa mtandao). Lakini wacha turudi kwenye hariri. Mzunguko wa kazi ya mchambuzi nayo inaonekana kama hii:

• Kuunda dhana. Lazima tuelewe kile tutakachotafuta ndani ya telemetry ya mtandao, tujue sifa za kipekee ambazo tutatambua hitilafu au vitisho fulani.
• Kujenga mfano. Baada ya kuunda dhana, tunaipanga kwa kutumia Python sawa, shell au zana zingine ambazo hazijajumuishwa kwenye SiLK.
• Kupima. Ni wakati wa kuangalia usahihi wa dhana yetu, ambayo inathibitishwa au kukataliwa kwa kutumia huduma za SiLK kuanzia 'rw', 'set', 'bag'.
• Uchambuzi wa data halisi. Katika operesheni ya viwanda, SiLK inatusaidia kutambua kitu na mchambuzi lazima ajibu maswali "Je! tulipata kile tulichotarajia?", "Je! hii inalingana na nadharia yetu?", "Jinsi ya kupunguza idadi ya chanya za uwongo?", "Jinsi gani? kuboresha kiwango cha kutambuliwa? » Nakadhalika.
• Uboreshaji. Katika hatua ya mwisho, tunaboresha yale yaliyofanywa mapema - tunaunda violezo, kuboresha na kuboresha msimbo, kurekebisha na kufafanua dhana, nk.

Mzunguko huu pia utatumika kwa Cisco Stealthwatch, wa mwisho pekee ndio unaoboresha hatua hizi tano hadi kiwango cha juu zaidi, kupunguza idadi ya makosa ya wachambuzi na kuongeza ufanisi wa ugunduzi wa matukio. Kwa mfano, katika SiLK unaweza kuboresha takwimu za mtandao na data ya nje kwenye IPs hasidi kwa kutumia hati zilizoandikwa kwa mkono, na katika Cisco Stealthwatch ni kitendakazi kilichojengewa ndani ambacho kinaonyesha kengele mara moja ikiwa trafiki ya mtandao ina mwingiliano na anwani za IP kutoka kwa orodha iliyozuiwa.

Ukienda juu katika piramidi "iliyolipwa" kwa programu ya uchambuzi wa mtiririko, basi baada ya SiLK ya bure kabisa kutakuwa na shareware ELK, inayojumuisha vipengele vitatu muhimu - Elasticsearch (indexing, searching and data analysis), Logstash (data pembejeo/pato ) na Kibana ( taswira). Tofauti na SiLK, ambapo unapaswa kuandika kila kitu mwenyewe, ELK tayari ina maktaba / moduli nyingi zilizopangwa tayari (zingine zimelipwa, zingine hazijalipwa) ambazo hurekebisha uchambuzi wa telemetry ya mtandao. Kwa mfano, kichujio cha GeoIP katika Logstash hukuruhusu kuhusisha anwani za IP zinazofuatiliwa na mahali zilipo kijiografia (Stealthwatch ina kipengele hiki kilichojengewa ndani).

ELK pia ina jumuiya kubwa kiasi ambayo inakamilisha vipengele vinavyokosekana kwa suluhisho hili la ufuatiliaji. Kwa mfano, kufanya kazi na Netflow, IPFIX na sFlow unaweza kutumia moduli elastiflow, ikiwa hujaridhishwa na Moduli ya Logstash Netflow, ambayo inaauni Netflow pekee.

Ijapokuwa inatoa ufanisi zaidi katika kukusanya mtiririko na kutafuta ndani yake, ELK kwa sasa haina uchanganuzi wa ndani wa kugundua hitilafu na vitisho katika telemetry ya mtandao. Hiyo ni, kufuata mzunguko wa maisha ulioelezwa hapo juu, utakuwa na kujitegemea kuelezea mifano ya ukiukaji na kisha uitumie katika mfumo wa kupambana (hakuna mifano iliyojengwa huko).

Kuna, kwa kweli, upanuzi wa kisasa zaidi wa ELK, ambao tayari una mifano kadhaa ya kugundua makosa katika telemetry ya mtandao, lakini upanuzi kama huo unagharimu pesa na hapa swali ni ikiwa mchezo unastahili mshumaa - andika mfano kama huo mwenyewe, nunua utekelezaji wa zana yako ya ufuatiliaji, au ununue suluhisho lililotengenezwa tayari la darasa la Uchambuzi wa Trafiki wa Mtandao.

Kwa ujumla, sitaki kuingia kwenye mjadala kwamba ni bora kutumia pesa na kununua suluhisho lililotengenezwa tayari kwa ufuatiliaji hitilafu na vitisho katika telemetry ya mtandao (kwa mfano, Cisco Stealthwatch) au ujitambue mwenyewe na ubadilishe mapendeleo yako. SiLK, ELK au nfdump au Vyombo vya Mtiririko wa OSU kwa kila tishio jipya ( Ninazungumza juu ya mbili za mwisho kati yao aliiambia mara ya mwisho)? Kila mtu anachagua mwenyewe na kila mtu ana nia yake ya kuchagua chaguo lolote kati ya hizo mbili. Nilitaka tu kuonyesha kwamba mtandao wa telemetry ni nyenzo muhimu sana katika kuhakikisha usalama wa mtandao wa miundombinu yako ya ndani na hupaswi kuipuuza, ili usiingie kwenye orodha ya makampuni ambayo jina lake linatajwa kwenye vyombo vya habari pamoja na epithets " imedukuliwa", "isiyofuata mahitaji ya usalama wa habari" "," bila kufikiria juu ya usalama wa data zao na data ya wateja."

Kwa muhtasari, ningependa kuorodhesha vidokezo muhimu ambavyo unapaswa kufuata wakati wa kuunda ufuatiliaji wa usalama wa habari wa miundombinu yako ya ndani:

1. Usijiwekee kikomo tu kwa mzunguko! Tumia (na uchague) miundombinu ya mtandao sio tu kuhamisha trafiki kutoka sehemu A hadi B, lakini pia kushughulikia maswala ya usalama wa mtandao.
2. Jifunze taratibu zilizopo za ufuatiliaji wa usalama wa taarifa katika vifaa vya mtandao wako na uzitumie.
3. Kwa ufuatiliaji wa ndani, toa upendeleo kwa uchambuzi wa telemetry - inakuwezesha kuchunguza hadi 80-90% ya matukio yote ya usalama wa habari za mtandao, huku ukifanya kile ambacho haiwezekani wakati wa kukamata pakiti za mtandao na kuhifadhi nafasi ya kuhifadhi matukio yote ya usalama wa habari.
4. Ili kufuatilia mtiririko, tumia Netflow v9 au IPFIX - hutoa maelezo zaidi katika muktadha wa usalama na hukuruhusu kufuatilia sio IPv4 pekee, bali pia IPv6, MPLS, n.k.
5. Tumia itifaki ya mtiririko isiyo sampuli - inatoa maelezo zaidi ya kugundua vitisho. Kwa mfano, Netflow au IPFIX.
6. Angalia mzigo kwenye kifaa chako cha mtandao - huenda kisiweze kushughulikia itifaki ya mtiririko pia. Kisha zingatia kutumia vitambuzi pepe au Netflow Generation Appliance.
7. Tekeleza udhibiti kwanza kabisa katika kiwango cha ufikiaji - hii itakupa fursa ya kuona 100% ya trafiki yote.
8. Iwapo huna chaguo na unatumia vifaa vya mtandao vya Kirusi, basi chagua inayoauni itifaki za mtiririko au iliyo na bandari za SPAN/RSPAN.
9. Kuchanganya mifumo ya ugunduzi/uzuiaji wa uvamizi/uvamizi kwenye kingo na mifumo ya uchanganuzi wa mtiririko katika mtandao wa ndani (pamoja na mawingu).

Kuhusu kidokezo cha mwisho, ningependa kutoa kielelezo ambacho tayari nimetoa hapo awali. Unaona kwamba ikiwa hapo awali huduma ya usalama wa habari ya Cisco karibu ilijenga mfumo wake wa ufuatiliaji wa usalama wa habari kwa misingi ya mifumo ya kugundua kuingilia na mbinu za saini, sasa wanahesabu 20% tu ya matukio. Mwingine 20% huanguka kwenye mifumo ya uchambuzi wa mtiririko, ambayo inaonyesha kuwa ufumbuzi huu sio whim, lakini chombo halisi katika shughuli za huduma za usalama wa habari za biashara ya kisasa. Kwa kuongezea, una jambo muhimu zaidi kwa utekelezaji wao - miundombinu ya mtandao, uwekezaji ambao unaweza kulindwa zaidi kwa kugawa kazi za ufuatiliaji wa usalama wa habari kwenye mtandao.

Hasa sikugusa mada ya kujibu makosa au vitisho vilivyotambuliwa katika mtiririko wa mtandao, lakini nadhani kuwa tayari ni wazi kuwa ufuatiliaji haupaswi kuishia tu kwa kugundua tishio. Inapaswa kufuatiwa na jibu na ikiwezekana katika hali ya kiotomatiki au otomatiki. Lakini hii ni mada ya makala tofauti.

Maelezo ya ziada:

• Maelezo ya Cisco IOS Netflow
• Matrix ya msaada wa Netflow katika suluhisho anuwai za Cisco
• Mwongozo wa Kusanidi Netflow kwenye Majukwaa Mbalimbali ya Cisco
• Jumuiya ya sFlow
• Maabara kwa kutumia Stealtjwatch, SiLK na ELK kuchanganua Netflow kutoka kwa mtazamo wa usalama
• tovuti ya SiLK
• Mwongozo wa kurasa mia tatu wa kutumia hariri na tani za mifano
• Moduli ya Netflow ya Logstash
• Mwongozo wa Hatua kwa Hatua wa Cisco kwa Uchambuzi wa Netflow katika ELK
• Uchambuzi wa NetFlow v.9 Cisco ASA kwa kutumia Logstash (ELK)
• Suluhisho la Cisco Stealthwatch

PS. Ikiwa ni rahisi kwako kusikia kila kitu kilichoandikwa hapo juu, basi unaweza kutazama uwasilishaji wa saa moja ambao uliunda msingi wa maelezo haya.

Chanzo: mapenzi.com