Вақте ки сухан дар бораи мониторинги амнияти шабакаи дохилии корпоративӣ ё идоравӣ меравад, бисёриҳо онро бо назорати ихроҷи иттилоот ва татбиқи ҳалли DLP алоқаманд мекунанд. Ва агар шумо кӯшиш кунед, ки саволро равшан кунед ва пурсед, ки чӣ гуна ҳамлаҳоро ба шабакаи дохилӣ ошкор мекунед, пас ҷавоб, чун қоида, зикри системаҳои ошкоркунии ҳамлаҳо (IDS) хоҳад буд. Ва он чизе, ки 10-20 сол пеш ягона вариант буд, имрӯз ба анахронизм табдил меёбад. Як варианти самараноктар ва дар баъзе ҷойҳо ягона имконпазири мониторинги шабакаи дохилӣ вуҷуд дорад - бо истифода аз протоколҳои ҷараён, ки дар ибтидо барои ҷустуҷӯи мушкилоти шабака (рафъи мушкилот) тарҳрезӣ шуда буданд, аммо бо мурури замон ба як абзори хеле ҷолиби амният табдил ёфтанд. Мо дар бораи он сӯҳбат хоҳем кард, ки кадом протоколҳои ҷараён вуҷуд доранд ва кадоме аз онҳо дар ошкор кардани ҳамлаҳои шабакавӣ беҳтар аст, дар куҷо беҳтар аст мониторинги ҷараён, ҳангоми ҷобаҷогузории чунин схема чиро бояд ҷустуҷӯ кард ва ҳатто чӣ гуна ин ҳамаро дар таҷҳизоти ватанӣ "бардошт". дар доираи ин модда.
Ман ба саволи "Чаро мониторинги амнияти инфрасохтори дохилӣ лозим аст?" Чунин ба назар мерасад, ки ҷавоб равшан аст. Аммо агар, бо вуҷуди ин, шумо хоҳед, ки бори дигар боварӣ ҳосил кунед, ки имрӯз шумо бе он зиндагӣ карда наметавонед, видеои кӯтоҳ дар бораи он, ки чӣ тавр шумо метавонед ба шабакаи корпоративӣ, ки бо девори девор ҳифз шудааст, бо 17 роҳ ворид шавед. Аз ин рӯ, мо тахмин мезанем, ки мо дарк мекунем, ки мониторинги дохилӣ як чизи зарурист ва танҳо фаҳмидани он ки чӣ тавр онро ташкил кардан мумкин аст.
Ман се манбаи асосии маълумотро барои мониторинги инфрасохтор дар сатҳи шабака таъкид мекунам:
- трафики "хом", ки мо онро гирифта, барои таҳлил ба системаҳои муайяни таҳлил пешниҳод мекунем,
- рӯйдодҳои дастгоҳҳои шабакавӣ, ки тавассути онҳо трафик мегузарад,
- маълумот дар бораи трафик тавассути яке аз протоколҳои ҷараён гирифта мешавад.
Гирифтани трафики хом як варианти маъмултарин дар байни мутахассисони амният аст, зеро он таърихан пайдо шуда буд ва аввалин шуда буд. Системаҳои муқаррарии ошкоркунии ҳамлаҳои шабакавӣ (аввалин системаи ошкоркунии ҳамлаҳои тиҷоратӣ NetRanger аз Wheel Group буд, ки соли 1998 аз ҷониби Cisco харида шудааст) маҳз ба гирифтани бастаҳо (ва сеансҳои баъдӣ) машғул буданд, ки дар онҳо имзоҳои муайян ҷустуҷӯ карда мешуданд ("қоидаҳои ҳалкунанда" дар истилоҳоти FSTEC), ҳамлаҳои сигналӣ. Албатта, шумо метавонед трафики хомро на танҳо бо истифода аз IDS, балки бо истифода аз абзорҳои дигар низ таҳлил кунед (масалан, Wireshark, tcpdum ё функсияи NBAR2 дар Cisco IOS), аммо онҳо одатан базаи донише надоранд, ки воситаи амнияти иттилоотиро аз стандарти муқаррарӣ фарқ мекунад. Воситаи IT.
Ҳамин тавр, системаҳои ошкоркунии ҳамла. Усули қадимтарин ва маъмултарини ошкор кардани ҳамлаҳои шабакавӣ, ки дар периметр кори хубро иҷро мекунад (новобаста аз он, ки чӣ гуна - корпоративӣ, маркази додаҳо, сегмент ва ғ.), аммо дар шабакаҳои муосири коммутатсионӣ ва нармафзорӣ ноком мешавад. Дар сурати шабакае, ки дар асоси коммутаторҳои муқаррарӣ сохта шудааст, инфрасохтори сенсорҳои ошкоркунии ҳамла хеле калон мешавад - шумо бояд дар ҳар як пайвастшавӣ ба гиреҳе, ки шумо мехоҳед ҳамлаҳоро назорат кунед, сенсор насб кунед. Ҳар як истеҳсолкунанда, албатта, бо хурсандӣ ба шумо садҳо ва ҳазорҳо сенсорҳоро мефурӯшад, аммо ман фикр мекунам, ки буҷаи шумо ин гуна хароҷотро дастгирӣ карда наметавонад. Ман гуфта метавонам, ки ҳатто дар Cisco (ва мо таҳиягарони NGIPS ҳастем) мо ин корро карда натавонистем, гарчанде ки чунин ба назар мерасад, ки масъалаи нарх дар назди мост. Ман набояд истодаам - ин қарори худи мост. Илова бар ин, саволе ба миён меояд, ки сенсорро дар ин версия чӣ гуна пайваст кардан мумкин аст? Ба холигоҳ? Чӣ мешавад, агар худи сенсор ноком шавад? Дар сенсор модули гузаришро талаб кунед? Сплиттерҳоро истифода баред (клик кунед)? Хамаи ин махлулро гаронтар мегардонад ва онро барои як ширкати хар гуна андоза дастнорас месозад.
Шумо метавонед кӯшиш кунед, ки сенсорро дар бандари SPAN/RSPAN/ERSPAN "овезон кунед" ва трафикро аз бандарҳои гузариши зарурӣ ба он мустақиман гузоред. Ин хосият мушкилие, ки дар параграфи қаблӣ тавсиф шудааст, қисман бартараф мекунад, аммо дигареро ба миён меорад - порти SPAN комилан тамоми трафики ба он фиристодашавандаро қабул карда наметавонад - он маҷрои кофӣ надорад. Шумо бояд чизеро қурбонӣ кунед. Ё баъзе гиреҳҳоро бе назорат гузоред (пас шумо бояд аввал ба онҳо афзалият диҳед) ё на ҳама трафикро аз гиреҳ, балки танҳо як навъи муайян фиристед. Дар ҳар сурат мо метавонем баъзе ҳамлаҳоро аз даст диҳем. Илова бар ин, порти SPAN метавонад барои эҳтиёҷоти дигар истифода шавад. Дар натиҷа, мо бояд топологияи мавҷудаи шабакаро аз назар гузаронем ва эҳтимолан ба он ислоҳот ворид кунем, то шабакаи шумо ба ҳадди аксар бо шумораи сенсорҳои доштаатон фаро гирифта шавад (ва онро бо IT ҳамоҳанг созем).
Чӣ мешавад, агар шабакаи шумо масирҳои асимметриро истифода барад? Чӣ мешавад, агар шумо SDN-ро амалӣ карда бошед ё ба нақша гирифта бошед? Чӣ мешавад, агар ба шумо лозим аст, ки мошинҳои виртуалӣ ё контейнерҳоро назорат кунед, ки трафики онҳо ба коммутаторҳои ҷисмонӣ тамоман намерасад? Ин саволҳоест, ки ба фурӯшандагони анъанавии IDS маъқул нестанд, зеро онҳо намедонанд, ки чӣ гуна ба онҳо ҷавоб диҳанд. Шояд онҳо шуморо бовар мекунонанд, ки ҳамаи ин технологияҳои муд аст ва ба шумо лозим нест. Шояд онҳо дар бораи зарурати оғоз кардани хурд сӯҳбат кунанд. Ё шояд онҳо мегӯянд, ки ба шумо лозим аст, ки дар маркази шабака як хирманаки пуриқтидор гузоред ва бо истифода аз мувозинатҳо тамоми трафикро ба он равона кунед. Ҳар як вариант ба шумо пешниҳод карда мешавад, шумо бояд аниқ фаҳмед, ки он ба шумо чӣ гуна мувофиқ аст. Ва танҳо пас аз он дар бораи интихоби равиши мониторинги амнияти иттилоотии инфрасохтори шабака қарор қабул кунед. Бозгашт ба забти пакет, ман мехоҳам бигӯям, ки ин усул хеле маъмул ва муҳим аст, аммо ҳадафи асосии он назорати сарҳадӣ аст; сарҳадҳо байни ташкилоти шумо ва Интернет, сарҳадҳо байни маркази додаҳо ва боқимондаи шабака, сарҳадҳо байни системаи идоракунии раванд ва сегменти корпоративӣ. Дар ин ҷойҳо, IDS/IPS-и классикӣ ҳоло ҳам ҳақ доранд, ки вуҷуд дошта бошанд ва аз ӯҳдаи иҷрои вазифаҳои худ хуб оянд.
Биёед ба варианти дуюм гузарем. Таҳлили ҳодисаҳое, ки аз дастгоҳҳои шабакавӣ меоянд, инчунин метавонанд барои ошкор кардани ҳамла истифода шаванд, аммо на ҳамчун механизми асосӣ, зеро он имкон медиҳад, ки танҳо як синфи хурди ҳамлаҳоро ошкор кунад. Илова бар ин, он ба баъзе реактивӣ хос аст - аввал ҳамла бояд ба вуқӯъ ояд, пас он бояд тавассути дастгоҳи шабакавӣ сабт карда шавад, ки бо ин ё он роҳ мушкилоти амнияти иттилоотиро нишон медиҳад. Якчанд чунин роҳҳо вуҷуд доранд. Ин метавонад syslog, RMON ё SNMP бошад. Ду протоколи охирини мониторинги шабака дар заминаи амнияти иттилоотӣ танҳо дар ҳолате истифода мешаванд, ки ба мо лозим аст, ки ҳамлаи DoS-ро ба худи таҷҳизоти шабака ошкор кунем, зеро бо истифода аз RMON ва SNMP, масалан, назорат кардани сарбории маркази дастгоҳ имконпазир аст. протсессор ё интерфейсҳои он. Ин яке аз "арзонтарин" аст (ҳама syslog ё SNMP дорад), аммо инчунин бесамартарин усулҳои назорати амнияти иттилоотии инфрасохтори дохилӣ - бисёр ҳамлаҳо аз он пинҳон карда мешаванд. Албатта, онҳо набояд беэътиноӣ карда шаванд ва ҳамон як таҳлили системавӣ ба шумо кӯмак мекунад, ки тағиротро дар конфигуратсияи худи дастгоҳ, созиши онро сари вақт муайян кунед, аммо он барои ошкор кардани ҳамлаҳо дар тамоми шабака чандон мувофиқ нест.
Варианти сеюм таҳлили маълумот дар бораи трафики тавассути дастгоҳе, ки яке аз якчанд протоколҳои ҷараёнро дастгирӣ мекунад, мебошад. Дар ин ҳолат, новобаста аз протокол, инфрасохтори ришта ҳатман аз се ҷузъ иборат аст:
- Тавлид ё содироти ҷараён. Ин нақш одатан ба роутер, коммутатор ё дигар дастгоҳи шабакавӣ таъин карда мешавад, ки тавассути гузаштани трафики шабакавӣ ба шумо имкон медиҳад, ки аз он параметрҳои калидӣ ҷудо кунед, ки баъдан ба модули коллексия интиқол дода мешаванд. Масалан, Cisco протоколи Netflow-ро на танҳо дар роутерҳо ва коммутаторҳо, аз ҷумла виртуалӣ ва саноатӣ, балки дар контроллерҳои бесим, деворҳои деворӣ ва ҳатто серверҳо дастгирӣ мекунад.
- Ҷараёни ҷамъоварӣ. Бо назардошти он, ки шабакаи муосир одатан зиёда аз як дастгоҳи шабакавӣ дорад, масъалаи ҷамъоварӣ ва муттаҳидсозии ҷараён ба миён меояд, ки бо истифода аз коллекторҳои номбаршуда, ки ҷараёнҳои қабулшударо коркард намуда, сипас онҳоро барои таҳлил мефиристанд, ҳал карда мешавад.
- Таҳлили ҷараён Анализатор вазифаи асосии зехниро ба зиммаи худ мегирад ва алгоритмхои гуногунро ба чараён татбик намуда, хулосахои муайян мебарорад. Масалан, ҳамчун як ҷузъи функсияи IT, чунин анализатор метавонад монеаҳои шабакаро муайян кунад ё профили сарбории трафикро барои беҳсозии минбаъдаи шабака таҳлил кунад. Ва барои амнияти иттилоотӣ, чунин таҳлилгар метавонад ихроҷи маълумот, паҳншавии рамзи зараровар ё ҳамлаҳои DoS-ро ошкор кунад.
Фикр накунед, ки ин меъмории сесатҳа хеле мураккаб аст - ҳамаи имконоти дигар (ба истиснои системаҳои мониторинги шабакавӣ, ки бо SNMP ва RMON кор мекунанд) низ мувофиқи он кор мекунанд. Мо барои таҳлил генератори маълумот дорем, ки он метавонад дастгоҳи шабакавӣ ё сенсори мустақил бошад. Мо системаи ҷамъоварии ҳушдор ва системаи идоракунии тамоми инфрасохтори мониторинг дорем. Ду ҷузъи охирро дар як гиреҳ муттаҳид кардан мумкин аст, аммо дар шабакаҳои камтар ё калон онҳо одатан ҳадди аққал дар ду дастгоҳ паҳн карда мешаванд, то миқёспазирӣ ва эътимоднокӣ таъмин карда шаванд.
Баръакси таҳлили маҷмӯа, ки ба омӯзиши сарлавҳа ва маълумоти бадани ҳар як баста ва сессияҳои он асос ёфтааст, таҳлили ҷараён ба ҷамъоварии метамаълумот дар бораи трафики шабака такя мекунад. Кай, чӣ қадар, аз куҷо ва дар куҷо, чӣ гуна... ба ин саволҳо тавассути таҳлили телеметрияи шабакавӣ бо истифода аз протоколҳои гуногуни ҷараён ҷавоб дода мешавад. Дар аввал, онҳо барои таҳлили омор ва дарёфти мушкилоти IT дар шабака истифода мешуданд, аммо баъдан, бо таҳияи механизмҳои таҳлилӣ, имкон пайдо кард, ки онҳоро бо ҳадафҳои амниятӣ дар ҳамон телеметрия истифода бурд. Бори дигар қайд кардан лозим аст, ки таҳлили ҷараён гирифтани пакетро иваз намекунад ё иваз намекунад. Ҳар яке аз ин усулҳо соҳаи татбиқи худро доранд. Аммо дар заминаи ин мақола, ин таҳлили ҷараёнест, ки барои мониторинги инфрасохтори дохилӣ беҳтарин мувофиқ аст. Шумо дастгоҳҳои шабакавӣ доред (хоҳ онҳо дар парадигмаи аз ҷониби нармафзор муайяншуда ё мувофиқи қоидаҳои статикӣ кор мекунанд), ки ҳамла наметавонад онҳоро аз худ кунад. Он метавонад сенсори классикии IDS-ро убур кунад, аммо дастгоҳи шабакавӣ, ки протоколи ҷараёнро дастгирӣ мекунад, наметавонад. Ин бартарии ин усул аст.
Аз тарафи дигар, агар ба шумо барои мақомоти ҳифзи ҳуқуқ ё гурӯҳи тафтишотии ҳодисаи шахсии худ далел лозим бошад, шумо наметавонед бидуни сабти баста кор кунед - телеметрияи шабакавӣ нусхаи трафик нест, ки барои ҷамъоварии далелҳо истифода мешавад; барои зуд ошкор ва қабули қарор дар соҳаи амнияти иттилоотӣ зарур аст. Аз тарафи дигар, бо истифода аз таҳлили телеметрӣ, шумо метавонед на ҳама трафики шабакаро (агар чизе бошад, Cisco бо марказҳои додаҳо сарукор дорад :-), балки танҳо он чизеро, ки дар ҳамла иштирок мекунад, "нависед". Воситаҳои таҳлили телеметрӣ дар ин робита механизмҳои анъанавии сабти бастаҳоро пурра карда, фармонҳоро барои сабт ва нигоҳдории интихобӣ медиҳанд. Дар акси ҳол, шумо бояд инфрасохтори азими нигоҳдорӣ дошта бошед.
Тасаввур мекунем, ки шабака бо суръати 250 Мбит/с кор мекунад. Агар шумо хоҳед, ки ҳамаи ин ҳаҷмро захира кунед, пас ба шумо 31 МБ нигоҳдорӣ барои як сония интиқоли трафик, 1,8 ГБ барои як дақиқа, 108 ГБ барои як соат ва 2,6 ТБ барои як рӯз лозим мешавад. Барои нигоҳ доштани маълумоти ҳаррӯза аз шабака бо фарохмаҷрои 10 Гбит/с, ба шумо 108 ТБ нигоҳдорӣ лозим аст. Аммо баъзе танзимгарон нигоҳ доштани маълумоти бехатариро дар тӯли солҳо талаб мекунанд ... Сабти дархост, ки таҳлили ҷараён ба шумо дар татбиқи он кӯмак мекунад, ба кам кардани ин арзишҳо бо фармоишҳои бузург кӯмак мекунад. Дар омади гап, агар мо дар бораи таносуби ҳаҷми маълумоти сабтшудаи телеметрии шабака ва гирифтани пурраи маълумот сухан ронем, он гоҳ тақрибан аз 1 то 500 аст. Барои ҳамон арзишҳои дар боло овардашуда, сабти пурраи трафики ҳаррӯза мутаносибан 5 ва 216 ГБ хоҳад буд (шумо ҳатто метавонед онро дар флеши муқаррарӣ сабт кунед ).
Агар барои абзорҳо барои таҳлили маълумоти хоми шабакавӣ, усули гирифтани он аз фурӯшанда ба фурӯшанда тақрибан якхела бошад, пас дар ҳолати таҳлили ҷараён вазъият дигар аст. Якчанд вариантҳои протоколҳои ҷараён мавҷуданд, ки фарқиятҳое, ки шумо бояд дар заминаи амният донед. Маъмултарин протоколи Netflow мебошад, ки аз ҷониби Cisco таҳия шудааст. Якчанд версияҳои ин протокол вуҷуд доранд, ки аз рӯи имкониятҳо ва ҳаҷми иттилооти трафики сабтшуда фарқ мекунанд. Версияи ҷорӣ нӯҳум аст (Netflow v9), ки дар асоси он стандарти саноатии Netflow v10, ки бо номи IPFIX низ маъруф аст, таҳия шудааст. Имрӯз аксари фурӯшандагони шабака дар таҷҳизоти худ Netflow ё IPFIX-ро дастгирӣ мекунанд. Аммо вариантҳои дигари протоколҳои ҷараён мавҷуданд - sFlow, jFlow, cFlow, rFlow, NetStream ва ғайра, ки sFlow маъмултарин аст. Маҳз ин навъи он аз ҷониби истеҳсолкунандагони ватании таҷҳизоти шабакавӣ бо сабаби осонии татбиқи он дастгирӣ карда мешавад. Фарқиятҳои калидӣ байни Netflow, ки ба стандарти де-факто табдил ёфтааст ва sFlow чист? Ман якчанд калидҳоро қайд мекунам. Аввалан, Netflow дар муқоиса бо майдонҳои собит дар sFlow майдонҳои аз ҷониби корбар танзимшаванда дорад. Ва дуюм, ва ин чизи муҳимтарин дар ҳолати мост, sFlow ба истилоҳ телеметрияи намунавӣ ҷамъоварӣ мекунад; дар муқоиса бо намунаи намунанашуда барои Netflow ва IPFIX. Фарқи байни онҳо чӣ гуна аст?
Тасаввур кунед, ки шумо қарор қабул мекунед, ки китобро хонед "” аз ҳамкасбони ман - Гари МакИнтайр, Ҷозеф Мунитс ва Надем Алфардан (шумо метавонед қисмати китобро аз истиноди зер зеркашӣ кунед). Шумо барои ноил шудан ба ҳадафи худ се имкон доред - тамоми китобро хонед, онро аз назар гузаронед, дар ҳар саҳифаи 10 ё 20 таваққуф кунед ё кӯшиш кунед, ки дар блог ё хидмате ба монанди SmartReading шарҳи мафҳумҳои асосиро пайдо кунед. Ҳамин тавр, телеметрияи намунанашуда хондани ҳар як "саҳифа" -и трафики шабака, яъне таҳлили метамаълумот барои ҳар як баста мебошад. Телеметрияи намунавӣ омӯзиши интихобии трафик мебошад, ки ба он умеде, ки намунаҳои интихобшуда чизҳои заруриро дар бар мегиранд. Вобаста аз суръати канал, телеметрияи намунавӣ барои таҳлил ҳар бастаи 64-ум, 200-ум, 500-ум, 1000-ум, 2000-ум ё ҳатто 10000-ум фиристода мешавад.
Дар заминаи мониторинги амнияти иттилоотӣ, ин маънои онро дорад, ки телеметрияи намунавӣ барои ошкор кардани ҳамлаҳои DDoS, сканкунӣ ва паҳн кардани коди зараровар хеле мувофиқ аст, аммо метавонад ҳамлаҳои атомӣ ё бисёрпакетиро, ки ба намунаи барои таҳлил фиристодашуда дохил карда нашудаанд, аз даст диҳанд. Телеметрияи бенамуна чунин камбудиҳо надорад. Бо ин, доираи ҳамлаҳои ошкоршуда хеле васеътар аст. Ин аст рӯйхати мухтасари рӯйдодҳое, ки метавонанд бо истифода аз абзорҳои таҳлили телеметрии шабакавӣ ошкор карда шаванд.
Албатта, баъзе таҳлилгари кушодаи Netflow ба шумо имкон намедиҳад, ки ин корро анҷом диҳед, зеро вазифаи асосии он ҷамъоварии телеметрия ва гузаронидани таҳлили асосӣ дар он аз нуқтаи назари IT мебошад. Барои муайян кардани таҳдидҳои амнияти иттилоотӣ дар асоси ҷараён зарур аст, ки анализатор бо муҳаррикҳо ва алгоритмҳои гуногун муҷаҳҳаз карда шавад, ки онҳо мушкилоти киберамниятро дар асоси майдонҳои стандартӣ ё фармоишии Netflow муайян мекунанд, маълумоти стандартиро бо маълумоти беруна аз манбаъҳои гуногуни Threat Intelligence ва ғ.
Аз ин рӯ, агар шумо интихоб дошта бошед, пас Netflow ё IPFIX-ро интихоб кунед. Аммо ҳатто агар таҷҳизоти шумо танҳо бо sFlow кор кунад, ба монанди истеҳсолкунандагони ватанӣ, ҳатто дар ин ҳолат шумо метавонед аз он дар заминаи амният баҳра баред.
Дар тобистони соли 2019 ман қобилиятҳоеро, ки истеҳсолкунандагони сахтафзори шабакаи Русия доранд, таҳлил кардам ва ҳамаи онҳо, ба истиснои NSG, Polygon ва Craftway, дастгирии sFlow (ҳадди ақал Zelax, Natex, Eltex, QTech, Rusteleteh) эълон карданд.
Саволи навбатӣ, ки шумо бо он рӯ ба рӯ мешавед, ин аст, ки дастгирии ҷараёнро барои мақсадҳои амниятӣ дар куҷо татбиқ кунед? Дар асл, савол комилан дуруст гузошта нашудааст. Таҷҳизоти муосир қариб ҳамеша протоколҳои ҷараёнро дастгирӣ мекунад. Аз ин рӯ, ман саволро ба таври дигар таҳия мекардам - ҷамъоварии телеметрия аз нуқтаи назари амният дар куҷо самараноктар аст? Ҷавоб комилан аён хоҳад буд - дар сатҳи дастрасӣ, ки дар он шумо 100% тамоми трафикро мебинед, ки дар он шумо маълумоти муфассалро дар бораи ҳостҳо хоҳед дошт (MAC, VLAN, ID интерфейс), ки дар он шумо ҳатто метавонед трафики P2P байни ҳостҳоро назорат кунед. барои сканкунии ошкор ва паҳн кардани коди зараровар муҳим аст. Дар сатҳи асосӣ, шумо шояд танҳо як қисми трафикро надиҳед, аммо дар сатҳи периметр, шумо чоряки тамоми трафики шабакаи худро хоҳед дид. Аммо агар бо ягон сабабе, ки шумо дар шабакаи шумо дастгоҳҳои хориҷӣ дошта бошед, ки ба ҳамлагарон имкон медиҳанд, ки бидуни периметри периметри "даромадан ва баромадан" шаванд, пас таҳлили телеметрия аз он ба шумо чизе намедиҳад. Аз ин рӯ, барои фарогирии ҳадди аксар, тавсия дода мешавад, ки ҷамъоварии телеметриро дар сатҳи дастрасӣ фаъол созед. Дар баробари ин, бояд қайд кард, ки ҳатто агар сухан дар бораи виртуализатсия ё контейнерҳо равад, дастгирии ҷараён аксар вақт дар коммутаторҳои муосири виртуалӣ пайдо мешавад, ки ба шумо имкон медиҳад трафикро дар он ҷо низ назорат кунед.
Аммо вақте ки ман мавзӯъро бардоштам, ман бояд ба савол ҷавоб диҳам: чӣ мешавад, агар таҷҳизот, физикӣ ё виртуалӣ, протоколҳои ҷараёнро дастгирӣ накунанд? Ё дохил кардани он манъ аст (масалан, дар сегментҳои саноатӣ барои таъмини эътимод)? Ё фурӯзон кардани он ба сарбории баланди CPU оварда мерасонад (ин дар сахтафзори кӯҳна рух медиҳад)? Барои ҳалли ин мушкилот сенсорҳои махсуси виртуалӣ (датчикҳои ҷараён) мавҷуданд, ки аслан тақсимкунандагони оддӣ мебошанд, ки трафикро тавассути худ мегузаронанд ва онро дар шакли ҷараён ба модули коллексия пахш мекунанд. Дуруст аст, ки дар ин ҳолат мо ҳама мушкилотеро ба даст меорем, ки дар боло дар бораи абзорҳои сабти бастаҳо гуфта будем. Яъне, шумо бояд на танҳо бартариҳои технологияи таҳлили ҷараён, балки маҳдудиятҳои онро низ фаҳмед.
Нуктаи дигаре, ки ҳангоми сухан дар бораи абзорҳои таҳлили ҷараён дар хотир доштан муҳим аст. Агар нисбат ба воситаҳои анъанавии тавлиди рӯйдодҳои амниятӣ мо метрикаи EPS-ро (ҳодиса дар як сония) истифода барем, пас ин нишондиҳанда барои таҳлили телеметрӣ татбиқ намегардад; он бо FPS (ҷараён дар як сония) иваз карда мешавад. Тавре ки дар мавриди EPS, онро пешакӣ ҳисоб кардан мумкин нест, аммо шумо метавонед шумораи тахминии риштаҳоро, ки дастгоҳи мушаххас вобаста ба вазифаи худ тавлид мекунад, ҳисоб кунед. Шумо метавонед дар Интернет ҷадвалҳоро бо арзишҳои тахминии намудҳои гуногуни дастгоҳҳо ва шароитҳои корхона пайдо кунед, ки ба шумо имкон медиҳад, ки барои абзорҳои таҳлил кадом иҷозатномаҳо лозиманд ва меъмории онҳо чӣ гуна хоҳад буд? Далели он аст, ки сенсори IDS бо маҷрои муайяне маҳдуд аст, ки он метавонад "кашад" ва коллектори ҷараён маҳдудиятҳои худро дорад, ки бояд фаҳманд. Аз ин рӯ, дар шабакаҳои калони аз ҷиҳати ҷуғрофӣ тақсимшуда одатан якчанд коллекторҳо мавҷуданд. Вакте ки ман тавсиф кардам , Ман аллакай шумораи коллекторҳои моро додам - онҳо 21 нафаранд Ва ин барои шабакае аст, ки дар панҷ қитъа пароканда ва тақрибан ним миллион дастгоҳҳои фаъолро ташкил медиҳад).
Мо ҳалли худро ҳамчун системаи мониторинги Netflow истифода мебарем , ки махсусан ба ҳалли мушкилоти амният нигаронида шудааст. Он дорои бисёр муҳаррикҳои дарунсохт барои ошкор кардани фаъолияти ғайриоддӣ, шубҳанок ва баръало зараровар мебошад, ки ба он имкон медиҳад доираи васеи таҳдидҳои гуногунро ошкор кунад - аз криптомининг то ихроҷи иттилоот, аз паҳншавии коди зараровар то қаллобӣ. Мисли аксари анализаторҳои ҷараён, Stealthwatch аз рӯи нақшаи сесатҳи (генератор - коллектор - анализатор) сохта шудааст, аммо он бо як қатор хусусиятҳои ҷолиб, ки дар заминаи маводи баррасишаванда муҳиманд, пурра карда шудааст. Аввалан, он бо қарорҳои сабти бастаҳо (ба монанди Cisco Security Packet Analyzer) ҳамгиро мешавад, ки ба шумо имкон медиҳад, ки сессияҳои интихобшудаи шабакаро барои таҳқиқ ва таҳлили амиқи дертар сабт кунед. Сониян, махсусан барои васеъ кардани вазифаҳои амниятӣ, мо протоколи махсуси nvzFlow таҳия кардем, ки ба шумо имкон медиҳад, ки фаъолияти замимаҳо дар гиреҳҳои ниҳоӣ (серверҳо, истгоҳҳо ва ғайра) ба телеметрия «паҳн» карда, онро барои таҳлили минбаъда ба коллектор интиқол диҳед. Агар дар версияи аслии худ Stealthwatch бо ҳама гуна протоколи ҷараён (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) дар сатҳи шабака кор кунад, пас дастгирии nvzFlow имкон медиҳад, ки таносуби маълумотро дар сатҳи гиреҳ низ таъмин кунад. баланд бардоштани самаранокии тамоми система ва дидани ҳамлаҳои бештар аз таҳлилгарони анъанавии ҷараёни шабака.
Равшан аст, ки ҳангоми сухан дар бораи системаҳои таҳлили Netflow аз нуқтаи назари амният, бозор бо як ҳалли ягонаи Cisco маҳдуд намешавад. Шумо метавонед ҳам ҳалли тиҷоратӣ ва ҳам ройгон ё нармафзори муштаракро истифода баред. Агар ман дар блоги Cisco мисолҳои ҳалли рақибонро мисол оварам, хеле аҷиб аст, бинобар ин ман чанд сухан мегӯям, ки чӣ гуна телеметрияи шабакаро бо истифода аз ду абзори маъмул, ба ном монанд, вале ба ҳар ҳол гуногун - SiLK ва ELK таҳлил кардан мумкин аст.
SiLK маҷмӯи абзорҳо (Системаи донишҳои сатҳи Интернет) барои таҳлили трафик мебошад, ки аз ҷониби Амрико CERT/CC таҳия шудааст ва дар заминаи мақолаи имрӯзаи Netflow (5 ва 9, версияҳои маъмултарин), IPFIX -ро дастгирӣ мекунад. ва sFlow ва бо истифода аз утилитаҳои гуногун (rwfilter, rwcount, rwflowpack ва ғ.) барои иҷрои амалҳои гуногун дар телеметрияи шабакавӣ бо мақсади ошкор кардани аломатҳои амалҳои беиҷозат дар он. Аммо як ду нуктаи муҳимро бояд қайд кард. SiLK як абзори сатри фармонест, ки тавассути ворид кардани фармонҳои монанди инҳо таҳлили онлайн анҷом медиҳад (ошкор кардани бастаҳои ICMP аз 200 байт калонтар):
rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15
чандон бароҳат нест. Шумо метавонед GUI-и iSiLK-ро истифода баред, аммо он ҳаёти шуморо осонтар намекунад, танҳо вазифаи визуализатсияро ҳал мекунад ва таҳлилгарро иваз намекунад. Ва ин нуктаи дуюм аст. Баръакси қарорҳои тиҷоратӣ, ки аллакай пойгоҳи таҳлилии мустаҳкам, алгоритмҳои муайянкунии аномалия, ҷараёни мувофиқ ва ғайра доранд, дар ҳолати SiLK шумо бояд ҳамаи инро худатон иҷро кунед, ки аз шумо салоҳиятҳои каме фарқкунандаро талаб мекунад, ки нисбат ба истифодаи аллакай омода. барои истифода бурдани асбобхо. Ин на хуб аст ва на бад - ин як хусусияти қариб ҳама асбобҳои ройгон аст, ки шумо медонед, ки чӣ кор кардан лозим аст ва он танҳо дар ин кор ба шумо кӯмак мекунад (асбобҳои тиҷоратӣ аз салоҳиятҳои корбарони он камтар вобастаанд, гарчанде ки онҳо инчунин ки таҳлилгарон ҳадди аққал асосҳои тафтишот ва мониторинги шабакаро мефаҳманд). Аммо биёед ба СиЛК баргардем. Давраи кори таҳлилгар бо он чунин менамояд:
- Ташаккул додани гипотеза. Мо бояд фаҳмем, ки мо дар дохили телеметрияи шабака чӣ меҷӯем, сифатҳои беназиреро донем, ки тавассути онҳо мо аномалия ё таҳдидҳои муайянро муайян мекунем.
- Сохтани модел. Пас аз таҳияи гипотеза, мо онро бо истифода аз ҳамон Python, shell ё асбобҳои дигаре, ки ба SiLK дохил карда нашудаанд, барномарезӣ мекунем.
- Санҷиш. Вақти он расидааст, ки дурустии гипотезаи моро тафтиш кунем, ки бо истифода аз утилитаҳои SiLK аз 'rw', 'set', 'bag' сар карда тасдиқ ё рад карда мешавад.
- Таҳлили маълумоти воқеӣ. Дар амалиёти саноатӣ, SiLK ба мо дар муайян кардани чизе кӯмак мекунад ва таҳлилгар бояд ба саволҳои "Оё мо он чизеро, ки мо интизор будем ёфтем?", "Оё ин ба фарзияи мо мувофиқат мекунад?", "Чӣ тавр шумораи мусбатҳои бардурӯғро коҳиш дод?", "Чӣ гуна бояд посух диҳад. барои баланд бардоштани сатҳи эътироф? » ва ғайра.
- Беҳтаршавӣ. Дар марҳилаи ниҳоӣ, мо кореро, ки қаблан анҷом дода шуда буд, такмил медиҳем - мо қолабҳо месозем, кодро такмил медиҳем ва оптимизатсия мекунем, гипотезаро ислоҳ ва равшан мекунем ва ғайра.
Ин давра ба Cisco Stealthwatch низ татбиқ хоҳад шуд, танҳо охирин ин панҷ қадамро то ҳадди аксар автоматӣ мекунад, шумораи хатогиҳои таҳлилгарро коҳиш медиҳад ва самаранокии ошкоркунии ҳодисаҳоро афзоиш медиҳад. Масалан, дар SiLK шумо метавонед омори шабакаро бо маълумоти беруна дар бораи IP-ҳои зараровар бо истифода аз скриптҳои дастнавис ғанӣ гардонед ва дар Cisco Stealthwatch ин функсияи дарунсохт аст, ки агар трафики шабака дорои таъсири мутақобила бо суроғаҳои IP аз рӯйхати сиёҳ бошад, фавран ҳушдор медиҳад.
Агар шумо дар пирамидаи "пардохтшуда" барои нармафзори таҳлили ҷараён боло равед, пас аз SiLK комилан ройгон як нармафзори ELK пайдо мешавад, ки аз се ҷузъи асосӣ иборат аст - Elasticsearch (индексизатсия, ҷустуҷӯ ва таҳлили додаҳо), Logstash (ворид/баромади додаҳо). ) ва Кибана (визуализатсия). Баръакси SiLK, ки шумо бояд ҳама чизро худатон нависед, ELK аллакай бисёр китобхонаҳо/модулҳои тайёр дорад (баъзеҳо пулакӣ, баъзеҳо не), ки таҳлили телеметрияи шабакавиро автоматӣ мекунанд. Масалан, филтри GeoIP дар Logstash ба шумо имкон медиҳад, ки суроғаҳои IP-и назоратшавандаро бо ҷойгиршавии ҷуғрофии онҳо пайваст кунед (Stealthwatch ин хусусияти дарунсохтро дорад).
ELK инчунин як ҷомеаи хеле калон дорад, ки ҷузъҳои гумшудаи ин ҳалли мониторингро пурра мекунад. Масалан, барои кор бо Netflow, IPFIX ва sFlow шумо метавонед модулро истифода баред , агар шумо бо Модули Logstash Netflow, ки танҳо Netflow-ро дастгирӣ мекунад, қаноатманд набошед.
Дар ҳоле ки самаранокии бештар дар ҷамъоварии ҷараён ва ҷустуҷӯ дар он, ELK дар айни замон таҳлили ғании дарунсохт барои ошкор кардани аномалияҳо ва таҳдидҳо дар телеметрияи шабака надорад. Яъне, пас аз давраи ҳаёти дар боло тавсифшуда, шумо бояд моделҳои вайронкуниро мустақилона тавсиф кунед ва сипас онро дар системаи ҷангӣ истифода баред (дар он ҷо моделҳои дарунсохт вуҷуд надоранд).
Албатта, васеъкуниҳои мураккабтар барои ELK мавҷуданд, ки аллакай дорои баъзе моделҳо барои ошкор кардани аномалияҳо дар телеметрияи шабака мебошанд, аммо чунин васеъшавӣ пулро талаб мекунад ва дар ин ҷо савол ин аст, ки оё бозӣ ба шамъ меарзад - худатон модели шабеҳро нависед, онро харед. барои абзори мониторинги худ татбиқ кунед ё ҳалли тайёри синфи таҳлили трафики шабакаро харед.
Умуман, ман намехоҳам ба баҳс ворид шавам, ки беҳтар аст, ки пул сарф кунам ва ҳалли тайёрро барои мониторинги аномалияҳо ва таҳдидҳо дар телеметрияи шабака бихарам (масалан, Cisco Stealthwatch) ё худ онро муайян карда, ҳамон чизро танзим кунед. Tools SiLK, ELK ё nfdump ё OSU Flow барои ҳар як таҳдиди нав (ман дар бораи дуи охирини онҳо гап мезанам) охирин бор)? Ҳар кас барои худ интихоб мекунад ва ҳар кас барои интихоби яке аз ин ду вариант ниятҳои худро дорад. Ман танҳо мехостам нишон диҳам, ки телеметрияи шабакавӣ воситаи хеле муҳим дар таъмини амнияти шабакавии инфрасохтори дохилии шумост ва шумо набояд онро сарфи назар кунед, то ба рӯйхати ширкатҳое, ки номашон дар баробари эпитетҳо дар ВАО зикр шудааст, шомил нашавед " рахнашуда", "мувофиқ ба талаботи амнияти иттилоотӣ" ", "дар бораи амнияти додаҳои худ ва маълумоти муштариён фикр намекунанд."
Барои ҷамъбаст, ман мехоҳам маслиҳатҳои асосиеро номбар кунам, ки шумо ҳангоми сохтани мониторинги амнияти иттилоотии инфрасохтори дохилии худ бояд риоя кунед:
- Танҳо худро бо периметр маҳдуд накунед! Инфрасохтори шабакавиро на танҳо барои интиқоли трафик аз нуқтаи А ба нуқтаи В, балки барои ҳалли масъалаҳои киберамният истифода баред (ва интихоб кунед).
- Механизмҳои мавҷудаи мониторинги амнияти иттилоотиро дар таҷҳизоти шабакавии худ омӯзед ва онҳоро истифода баред.
- Барои мониторинги дохилӣ ба таҳлили телеметрӣ бартарӣ диҳед - он ба шумо имкон медиҳад, ки то 80-90% ҳодисаҳои амнияти иттилоотии шабакаро ошкор кунед, дар ҳоле ки корҳоеро анҷом диҳед, ки ҳангоми гирифтани бастаҳои шабакавӣ ва сарфа кардани ҷой барои нигоҳ доштани ҳама рӯйдодҳои амнияти иттилоотӣ имконнопазир аст.
- Барои назорат кардани ҷараёнҳо, Netflow v9 ё IPFIX -ро истифода баред - онҳо дар заминаи амният маълумоти бештар медиҳанд ва ба шумо имкон медиҳанд, ки на танҳо IPv4, балки IPv6, MPLS ва ғайраҳоро назорат кунед.
- Протоколи ҷараёнро истифода баред - он барои ошкор кардани таҳдидҳо маълумоти бештар медиҳад. Масалан, Netflow ё IPFIX.
- Сарбории таҷҳизоти шабакавии худро тафтиш кунед - он метавонад протоколи ҷараёнро низ идора карда наметавонад. Пас истифодаи сенсорҳои виртуалӣ ё Netflow Generation Applianceро баррасӣ кунед.
- Назоратро пеш аз ҳама дар сатҳи дастрасӣ амалӣ кунед - ин ба шумо имкон медиҳад, ки 100% тамоми трафикро бинед.
- Агар шумо илоҷ надошта бошед ва шумо таҷҳизоти шабакаи русиро истифода баред, якееро интихоб кунед, ки протоколҳои ҷараёнро дастгирӣ кунад ё портҳои SPAN/RSPAN дошта бошад.
- Системаҳои ошкоркунии ҳамла/пешгирӣ дар кунҷҳо ва системаҳои таҳлили ҷараёнро дар шабакаи дохилӣ (аз ҷумла дар абрҳо) муттаҳид кунед.
Дар робита ба маслиҳати охирин, ман мехоҳам як мисоле диҳам, ки қаблан дода будам. Шумо мебинед, ки агар қаблан хадамоти амнияти иттилоотии Cisco системаи мониторинги амнияти иттилоотии худро қариб пурра дар асоси системаҳои ошкоркунии ҳамлаҳо ва усулҳои имзо сохта бошад, ҳоло онҳо танҳо 20% ҳодисаҳоро ташкил медиҳанд. 20%-и дигар ба системаҳои таҳлили ҷараён рост меояд, ки ин аз он шаҳодат медиҳад, ки ин қарорҳо ҳавас нест, балки абзори воқеии фаъолияти хадамоти амнияти иттилоотии як корхонаи муосир мебошанд. Гузашта аз ин, шумо чизи муҳимтарин барои татбиқи онҳо доред - инфрасохтори шабакавӣ, ки сармоягузориҳо метавонанд тавассути таъин кардани функсияҳои мониторинги амнияти иттилоотӣ ба шабака муҳофизат карда шаванд.
Ман махсусан ба мавзӯи вокуниш ба аномалияҳо ё таҳдидҳое, ки дар ҷараёнҳои шабака муайян шудаанд, дахл накардаам, аммо ман фикр мекунам, ки аллакай маълум аст, ки мониторинг набояд танҳо бо ошкор кардани таҳдид анҷом ёбад. Пас аз он бояд посух дода шавад ва беҳтараш дар реҷаи автоматӣ ё автоматӣ. Аммо ин мавзӯъ барои мақолаи алоҳида аст.
Маълумоти иловагӣ:
PS. Агар шунидани ҳама чизҳои дар боло навишташуда барои шумо осонтар бошад, пас шумо метавонед презентатсияи яксоатаро, ки асоси ин ёддоштро ташкил додааст, тамошо кунед.
Манбаъ: will.com