Khi nói đến việc giám sát tính bảo mật của mạng nội bộ công ty hoặc phòng ban, nhiều người liên tưởng nó với việc kiểm soát rò rỉ thông tin và triển khai các giải pháp DLP. Và nếu bạn cố gắng làm rõ câu hỏi và hỏi cách phát hiện các cuộc tấn công vào mạng nội bộ, câu trả lời thường sẽ là đề cập đến hệ thống phát hiện xâm nhập (IDS). Và lựa chọn duy nhất cách đây 10-20 năm ngày nay đã trở thành lỗi thời. Có một cách hiệu quả hơn và ở một số nơi, là lựa chọn duy nhất khả thi để giám sát mạng nội bộ - sử dụng các giao thức luồng, ban đầu được thiết kế để tìm kiếm các sự cố mạng (khắc phục sự cố), nhưng theo thời gian đã chuyển thành một công cụ bảo mật rất thú vị. Chúng ta sẽ nói về những giao thức luồng nào và giao thức nào tốt hơn trong việc phát hiện các cuộc tấn công mạng, nơi tốt nhất để thực hiện giám sát luồng, những điều cần lưu ý khi triển khai một sơ đồ như vậy và thậm chí cả cách “nâng đỡ” tất cả những điều này trên thiết bị trong nước trong phạm vi của bài viết này.
Tôi sẽ không tập trung vào câu hỏi “Tại sao cần giám sát an ninh cơ sở hạ tầng nội bộ?” Câu trả lời dường như đã rõ ràng. Tuy nhiên, nếu bạn muốn chắc chắn một lần nữa rằng hôm nay bạn không thể sống thiếu nó, một đoạn video ngắn về cách bạn có thể xâm nhập mạng công ty được bảo vệ bởi tường lửa theo 17 cách. Do đó, chúng tôi sẽ cho rằng chúng tôi hiểu rằng giám sát nội bộ là một điều cần thiết và tất cả những gì còn lại là hiểu cách tổ chức nó.
Tôi muốn nhấn mạnh ba nguồn dữ liệu chính để giám sát cơ sở hạ tầng ở cấp độ mạng:
- lưu lượng truy cập "thô" mà chúng tôi thu thập và gửi để phân tích cho các hệ thống phân tích nhất định,
- các sự kiện từ các thiết bị mạng mà lưu lượng truy cập đi qua,
- thông tin lưu lượng nhận được thông qua một trong các giao thức luồng.
Nắm bắt lưu lượng truy cập thô là tùy chọn phổ biến nhất trong số các chuyên gia bảo mật, bởi vì nó đã xuất hiện trong lịch sử và là tùy chọn đầu tiên. Các hệ thống phát hiện xâm nhập mạng thông thường (hệ thống phát hiện xâm nhập thương mại đầu tiên là NetRanger của Wheel Group, được Cisco mua năm 1998) đã tham gia chính xác vào việc thu thập các gói (và các phiên sau này) trong đó các chữ ký nhất định được tìm kiếm (“quy tắc quyết định” trong Thuật ngữ FSTEC), báo hiệu các cuộc tấn công. Tất nhiên, bạn có thể phân tích lưu lượng thô không chỉ bằng IDS mà còn bằng các công cụ khác (ví dụ: Wireshark, tcpdum hoặc chức năng NBAR2 trong Cisco IOS), nhưng chúng thường thiếu nền tảng kiến thức để phân biệt một công cụ bảo mật thông tin với một công cụ bảo mật thông thường. công cụ CNTT.
Vì vậy, hệ thống phát hiện tấn công. Phương pháp lâu đời nhất và phổ biến nhất để phát hiện các cuộc tấn công mạng, hoạt động tốt ở phạm vi ngoại vi (bất kể là gì - công ty, trung tâm dữ liệu, phân khúc, v.v.), nhưng không thành công trong các mạng chuyển mạch và mạng được xác định bằng phần mềm hiện đại. Trong trường hợp mạng được xây dựng trên cơ sở các thiết bị chuyển mạch thông thường, cơ sở hạ tầng của cảm biến phát hiện tấn công trở nên quá lớn - bạn sẽ phải cài đặt cảm biến trên mỗi kết nối đến nút mà bạn muốn theo dõi các cuộc tấn công. Tất nhiên, bất kỳ nhà sản xuất nào cũng sẽ vui lòng bán cho bạn hàng trăm, hàng nghìn cảm biến, nhưng tôi nghĩ ngân sách của bạn không thể hỗ trợ những chi phí đó. Tôi có thể nói rằng ngay cả ở Cisco (và chúng tôi là nhà phát triển NGIPS), chúng tôi cũng không thể làm được điều này, mặc dù có vẻ như vấn đề về giá cả đang ở trước mắt chúng tôi. Tôi không nên đứng - đó là quyết định của chúng tôi. Ngoài ra, câu hỏi được đặt ra là làm thế nào để kết nối cảm biến ở phiên bản này? Vào khoảng trống? Nếu cảm biến bị lỗi thì sao? Yêu cầu một mô-đun bỏ qua trong cảm biến? Sử dụng bộ chia (chạm)? Tất cả điều này làm cho giải pháp trở nên đắt hơn và khiến một công ty ở mọi quy mô không thể chấp nhận được.
Bạn có thể thử “treo” cảm biến trên cổng SPAN/RSPAN/ERSPAN và hướng lưu lượng truy cập từ các cổng chuyển đổi cần thiết tới cổng đó. Tùy chọn này loại bỏ một phần vấn đề được mô tả trong đoạn trước, nhưng đặt ra một vấn đề khác - cổng SPAN không thể chấp nhận hoàn toàn tất cả lưu lượng truy cập sẽ được gửi đến nó - nó sẽ không có đủ băng thông. Bạn sẽ phải hy sinh một cái gì đó. Hoặc để lại một số nút mà không giám sát (khi đó bạn cần ưu tiên chúng trước) hoặc không gửi tất cả lưu lượng truy cập từ nút mà chỉ gửi một loại nhất định. Trong mọi trường hợp, chúng tôi có thể bỏ lỡ một số cuộc tấn công. Ngoài ra, cổng SPAN có thể được sử dụng cho các nhu cầu khác. Do đó, chúng tôi sẽ phải xem xét cấu trúc liên kết mạng hiện có và có thể thực hiện các điều chỉnh để phủ sóng mạng của bạn ở mức tối đa với số lượng cảm biến bạn có (và phối hợp việc này với bộ phận CNTT).
Điều gì sẽ xảy ra nếu mạng của bạn sử dụng các tuyến đường không đối xứng? Nếu bạn đã triển khai hoặc đang có kế hoạch triển khai SDN thì sao? Điều gì sẽ xảy ra nếu bạn cần giám sát các máy hoặc vùng chứa ảo hóa có lưu lượng truy cập không đến được bộ chuyển mạch vật lý? Đây là những câu hỏi mà các nhà cung cấp IDS truyền thống không thích vì họ không biết trả lời thế nào. Có lẽ họ sẽ thuyết phục bạn rằng tất cả những công nghệ thời thượng này chỉ là sự cường điệu hóa và bạn không cần chúng. Có lẽ họ sẽ nói về sự cần thiết phải bắt đầu từ việc nhỏ. Hoặc có thể họ sẽ nói rằng bạn cần đặt một máy đập mạnh mẽ vào trung tâm mạng và hướng tất cả lưu lượng truy cập đến mạng bằng bộ cân bằng. Dù lựa chọn nào được đưa ra cho bạn, bạn cần hiểu rõ nó phù hợp với mình như thế nào. Và chỉ sau đó mới đưa ra quyết định lựa chọn phương pháp giám sát an toàn thông tin của cơ sở hạ tầng mạng. Quay trở lại việc chụp gói, tôi muốn nói rằng phương pháp này tiếp tục rất phổ biến và quan trọng, nhưng mục đích chính của nó là kiểm soát biên giới; ranh giới giữa tổ chức của bạn và Internet, ranh giới giữa trung tâm dữ liệu và phần còn lại của mạng, ranh giới giữa hệ thống kiểm soát quy trình và phân khúc công ty. Ở những nơi này, IDS/IPS cổ điển vẫn có quyền tồn tại và hoàn thành tốt nhiệm vụ của mình.
Hãy chuyển sang tùy chọn thứ hai. Phân tích các sự kiện đến từ các thiết bị mạng cũng có thể được sử dụng cho mục đích phát hiện tấn công, nhưng không phải là cơ chế chính vì nó chỉ cho phép phát hiện một loại xâm nhập nhỏ. Ngoài ra, nó vốn có một số phản ứng - cuộc tấn công trước tiên phải xảy ra, sau đó nó phải được ghi lại bởi một thiết bị mạng, bằng cách này hay cách khác sẽ báo hiệu có vấn đề về bảo mật thông tin. Có một số cách như vậy. Đây có thể là syslog, RMON hoặc SNMP. Hai giao thức cuối cùng để giám sát mạng trong bối cảnh bảo mật thông tin chỉ được sử dụng nếu chúng ta cần phát hiện một cuộc tấn công DoS trên chính thiết bị mạng, vì sử dụng RMON và SNMP, chẳng hạn, có thể giám sát tải trên trung tâm của thiết bị. bộ xử lý hoặc các giao diện của nó. Đây là một trong những phương pháp "rẻ nhất" (mọi người đều có syslog hoặc SNMP), nhưng cũng là phương pháp kém hiệu quả nhất trong tất cả các phương pháp giám sát an ninh thông tin của cơ sở hạ tầng nội bộ - nhiều cuộc tấn công chỉ đơn giản là bị ẩn khỏi nó. Tất nhiên, không nên bỏ qua chúng và việc phân tích nhật ký hệ thống tương tự sẽ giúp bạn xác định kịp thời các thay đổi trong cấu hình của chính thiết bị, sự xâm phạm của thiết bị, nhưng nó không phù hợp lắm để phát hiện các cuộc tấn công trên toàn bộ mạng.
Tùy chọn thứ ba là phân tích thông tin về lưu lượng truy cập đi qua một thiết bị hỗ trợ một trong một số giao thức luồng. Trong trường hợp này, bất kể giao thức nào, cơ sở hạ tầng luồng nhất thiết phải bao gồm ba thành phần:
- Tạo hoặc xuất dòng chảy. Vai trò này thường được gán cho bộ định tuyến, bộ chuyển mạch hoặc thiết bị mạng khác, bằng cách truyền lưu lượng mạng qua chính nó, cho phép bạn trích xuất các tham số chính từ nó, sau đó được truyền đến mô-đun thu thập. Ví dụ: Cisco hỗ trợ giao thức Netflow không chỉ trên các bộ định tuyến và chuyển mạch, bao gồm cả các thiết bị ảo và công nghiệp, mà còn trên bộ điều khiển không dây, tường lửa và thậm chí cả máy chủ.
- Dòng chảy bộ sưu tập. Xem xét rằng một mạng hiện đại thường có nhiều thiết bị mạng, vấn đề thu thập và hợp nhất các luồng phát sinh, vấn đề này được giải quyết bằng cách sử dụng cái gọi là bộ thu thập, xử lý các luồng nhận được và sau đó truyền chúng để phân tích.
- Phân tích dòng chảy Máy phân tích đảm nhận nhiệm vụ trí tuệ chính và áp dụng các thuật toán khác nhau cho các luồng và đưa ra kết luận nhất định. Ví dụ: là một phần của chức năng CNTT, bộ phân tích như vậy có thể xác định các tắc nghẽn mạng hoặc phân tích hồ sơ tải lưu lượng để tối ưu hóa mạng hơn nữa. Và để bảo mật thông tin, máy phân tích như vậy có thể phát hiện rò rỉ dữ liệu, sự lây lan của mã độc hoặc các cuộc tấn công DoS.
Đừng nghĩ rằng kiến trúc ba tầng này quá phức tạp - tất cả các tùy chọn khác (có lẽ ngoại trừ, các hệ thống giám sát mạng hoạt động với SNMP và RMON) cũng hoạt động theo nó. Chúng tôi có một bộ tạo dữ liệu để phân tích, có thể là thiết bị mạng hoặc cảm biến độc lập. Chúng tôi có hệ thống thu thập cảnh báo và hệ thống quản lý cho toàn bộ cơ sở hạ tầng giám sát. Hai thành phần cuối cùng có thể được kết hợp trong một nút duy nhất, nhưng trong các mạng lớn ít nhiều, chúng thường được trải rộng trên ít nhất hai thiết bị để đảm bảo khả năng mở rộng và độ tin cậy.
Không giống như phân tích gói dựa trên việc nghiên cứu dữ liệu tiêu đề và nội dung của mỗi gói cũng như các phiên trong đó, phân tích luồng dựa vào việc thu thập siêu dữ liệu về lưu lượng mạng. Khi nào, bao nhiêu, từ đâu và ở đâu, như thế nào... đây là những câu hỏi được trả lời bằng cách phân tích dữ liệu đo từ xa mạng bằng các giao thức luồng khác nhau. Ban đầu, chúng được sử dụng để phân tích số liệu thống kê và tìm ra các vấn đề CNTT trên mạng, nhưng sau đó, khi cơ chế phân tích được phát triển, chúng có thể được áp dụng cho cùng một phương pháp đo từ xa nhằm mục đích bảo mật. Cần lưu ý một lần nữa rằng phân tích luồng không thay thế hoặc thay thế việc chụp gói. Mỗi phương pháp này đều có phạm vi ứng dụng riêng. Nhưng trong bối cảnh của bài viết này, phân tích dòng chảy là phù hợp nhất để giám sát cơ sở hạ tầng nội bộ. Bạn có các thiết bị mạng (cho dù chúng hoạt động theo mô hình do phần mềm xác định hay theo quy tắc tĩnh) mà một cuộc tấn công không thể vượt qua. Nó có thể bỏ qua cảm biến IDS cổ điển, nhưng thiết bị mạng hỗ trợ giao thức luồng thì không thể. Đây là ưu điểm của phương pháp này.
Mặt khác, nếu bạn cần bằng chứng cho cơ quan thực thi pháp luật hoặc nhóm điều tra sự cố của riêng bạn, bạn không thể làm gì nếu không chụp gói - đo từ xa mạng không phải là bản sao lưu lượng truy cập có thể được sử dụng để thu thập bằng chứng; nó cần thiết để phát hiện và ra quyết định nhanh chóng trong lĩnh vực bảo mật thông tin. Mặt khác, bằng cách sử dụng phân tích từ xa, bạn có thể “ghi” không phải tất cả lưu lượng truy cập mạng (nếu có, Cisco xử lý các trung tâm dữ liệu :-), mà chỉ những lưu lượng có liên quan đến cuộc tấn công. Các công cụ phân tích từ xa về mặt này sẽ bổ sung tốt cho các cơ chế thu thập gói truyền thống, đưa ra các lệnh để thu thập và lưu trữ có chọn lọc. Nếu không, bạn sẽ phải có cơ sở hạ tầng lưu trữ khổng lồ.
Hãy tưởng tượng một mạng hoạt động ở tốc độ 250 Mbit/giây. Nếu bạn muốn lưu trữ tất cả khối lượng này, thì bạn sẽ cần 31 MB dung lượng lưu trữ cho một giây truyền lưu lượng, 1,8 GB trong một phút, 108 GB trong một giờ và 2,6 TB trong một ngày. Để lưu trữ dữ liệu hàng ngày từ mạng có băng thông 10 Gbit/s, bạn sẽ cần dung lượng lưu trữ 108 TB. Nhưng một số cơ quan quản lý yêu cầu lưu trữ dữ liệu bảo mật trong nhiều năm... Ghi theo yêu cầu, phân tích luồng giúp bạn thực hiện, giúp giảm các giá trị này theo mức độ lớn. Nhân tiện, nếu chúng ta nói về tỷ lệ giữa khối lượng dữ liệu đo từ xa mạng được ghi và thu thập dữ liệu hoàn chỉnh thì nó là khoảng 1 đến 500. Đối với cùng các giá trị được đưa ra ở trên, việc lưu trữ bản ghi đầy đủ của tất cả lưu lượng truy cập hàng ngày sẽ lần lượt là 5 và 216 GB (bạn thậm chí có thể ghi nó vào ổ đĩa flash thông thường ).
Nếu đối với các công cụ phân tích dữ liệu mạng thô, phương pháp thu thập dữ liệu đó gần như giống nhau giữa các nhà cung cấp, thì trong trường hợp phân tích luồng, tình huống lại khác. Có một số tùy chọn cho giao thức luồng, những điểm khác biệt mà bạn cần biết trong bối cảnh bảo mật. Phổ biến nhất là giao thức Netflow do Cisco phát triển. Có một số phiên bản của giao thức này, khác nhau về khả năng và lượng thông tin giao thông được ghi lại. Phiên bản hiện tại là phiên bản thứ chín (Netflow v9), trên cơ sở đó Netflow v10 tiêu chuẩn công nghiệp, còn được gọi là IPFIX, đã được phát triển. Ngày nay, hầu hết các nhà cung cấp mạng đều hỗ trợ Netflow hoặc IPFIX trong thiết bị của họ. Nhưng có nhiều tùy chọn khác cho giao thức luồng - sFlow, jFlow, cFlow, rFlow, NetStream, v.v., trong đó sFlow là phổ biến nhất. Loại này thường được các nhà sản xuất thiết bị mạng trong nước hỗ trợ nhiều nhất do dễ thực hiện. Sự khác biệt chính giữa Netflow (đã trở thành tiêu chuẩn trên thực tế) và sFlow là gì? Tôi sẽ nhấn mạnh một số cái chính. Đầu tiên, Netflow có các trường do người dùng tùy chỉnh, trái ngược với các trường cố định trong sFlow. Và thứ hai, và đây là điều quan trọng nhất trong trường hợp của chúng tôi, sFlow thu thập cái gọi là đo từ xa được lấy mẫu; trái ngược với mẫu chưa được lấy mẫu cho Netflow và IPFIX. sự khác biệt giữa chúng là gì?
Hãy tưởng tượng rằng bạn quyết định đọc cuốn sách “” của các đồng nghiệp của tôi - Gary McIntyre, Joseph Munitz và Nadem Alfardan (bạn có thể tải xuống một phần cuốn sách từ liên kết). Bạn có ba tùy chọn để đạt được mục tiêu của mình - đọc toàn bộ cuốn sách, đọc lướt qua, dừng lại ở mỗi trang thứ 10 hoặc 20 hoặc cố gắng tìm cách kể lại các khái niệm chính trên blog hoặc dịch vụ như SmartReading. Vì vậy, phép đo từ xa không được lấy mẫu đang đọc mọi “trang” lưu lượng truy cập mạng, tức là phân tích siêu dữ liệu cho từng gói. Đo từ xa được lấy mẫu là nghiên cứu có chọn lọc về lưu lượng truy cập với hy vọng rằng các mẫu được chọn sẽ chứa những gì bạn cần. Tùy thuộc vào tốc độ kênh, phép đo từ xa được lấy mẫu sẽ được gửi để phân tích vào mỗi gói thứ 64, 200, 500, 1000, 2000 hoặc thậm chí 10000.
Trong bối cảnh giám sát an ninh thông tin, điều này có nghĩa là phép đo từ xa được lấy mẫu rất phù hợp để phát hiện các cuộc tấn công DDoS, quét và phát tán mã độc, nhưng có thể bỏ lỡ các cuộc tấn công nguyên tử hoặc nhiều gói không có trong mẫu được gửi đi phân tích. Đo từ xa không lấy mẫu không có nhược điểm như vậy. Với điều này, phạm vi tấn công được phát hiện rộng hơn nhiều. Dưới đây là danh sách ngắn các sự kiện có thể được phát hiện bằng các công cụ phân tích đo từ xa mạng.
Tất nhiên, một số máy phân tích Netflow nguồn mở sẽ không cho phép bạn thực hiện việc này, vì nhiệm vụ chính của nó là thu thập dữ liệu đo từ xa và tiến hành phân tích cơ bản về nó theo quan điểm CNTT. Để xác định các mối đe dọa bảo mật thông tin dựa trên luồng, cần trang bị cho máy phân tích nhiều công cụ và thuật toán khác nhau để xác định các vấn đề an ninh mạng dựa trên các trường Netflow tiêu chuẩn hoặc tùy chỉnh, làm phong phú dữ liệu tiêu chuẩn với dữ liệu bên ngoài từ nhiều nguồn Thông tin mối đe dọa khác nhau, v.v.
Do đó, nếu bạn có quyền lựa chọn thì hãy chọn Netflow hoặc IPFIX. Nhưng ngay cả khi thiết bị của bạn chỉ hoạt động với sFlow, giống như các nhà sản xuất trong nước, thì ngay cả trong trường hợp này, bạn vẫn có thể hưởng lợi từ nó trong bối cảnh bảo mật.
Vào mùa hè năm 2019, tôi đã phân tích khả năng mà các nhà sản xuất phần cứng mạng của Nga có và tất cả họ, ngoại trừ NSG, Polygon và Craftway, đều công bố hỗ trợ cho sFlow (ít nhất là Zelax, Natex, Eltex, QTech, Rusteleteh).
Câu hỏi tiếp theo bạn sẽ phải đối mặt là triển khai hỗ trợ luồng cho mục đích bảo mật ở đâu? Trên thực tế, câu hỏi không được đặt ra hoàn toàn chính xác. Thiết bị hiện đại hầu như luôn hỗ trợ các giao thức dòng chảy. Do đó, tôi sẽ đặt lại câu hỏi theo cách khác - nơi nào hiệu quả nhất để thu thập thông tin đo từ xa theo quan điểm bảo mật? Câu trả lời sẽ khá rõ ràng - ở cấp độ truy cập, nơi bạn sẽ thấy 100% tất cả lưu lượng truy cập, nơi bạn sẽ có thông tin chi tiết về máy chủ (MAC, VLAN, ID giao diện), nơi bạn thậm chí có thể giám sát lưu lượng P2P giữa các máy chủ, nơi bạn thậm chí có thể giám sát lưu lượng truy cập PXNUMXP giữa các máy chủ. là rất quan trọng để quét phát hiện và phân phối mã độc. Ở cấp độ cốt lõi, bạn có thể không thấy một số lưu lượng truy cập, nhưng ở cấp độ chu vi, bạn sẽ thấy một phần tư tổng lưu lượng truy cập mạng của mình. Nhưng nếu vì lý do nào đó mà bạn có các thiết bị nước ngoài trên mạng của mình cho phép kẻ tấn công “vào và ra” mà không vượt qua chu vi, thì việc phân tích dữ liệu đo từ xa từ nó sẽ không mang lại cho bạn bất cứ điều gì. Do đó, để có phạm vi bao phủ tối đa, nên kích hoạt tính năng thu thập dữ liệu đo từ xa ở cấp độ truy cập. Đồng thời, điều đáng chú ý là ngay cả khi chúng ta đang nói về ảo hóa hoặc vùng chứa, tính năng hỗ trợ luồng cũng thường được tìm thấy trong các bộ chuyển mạch ảo hiện đại, cho phép bạn kiểm soát lưu lượng ở đó.
Nhưng vì tôi đã nêu chủ đề nên tôi cần trả lời câu hỏi: điều gì sẽ xảy ra nếu thiết bị, vật lý hoặc ảo, không hỗ trợ các giao thức luồng? Hoặc việc đưa nó vào có bị cấm không (ví dụ, trong các phân khúc công nghiệp để đảm bảo độ tin cậy)? Hoặc việc bật nó có dẫn đến tải CPU cao không (điều này xảy ra trên phần cứng cũ hơn)? Để giải quyết vấn đề này, có các cảm biến ảo chuyên dụng (cảm biến lưu lượng), về cơ bản là các bộ chia thông thường tự truyền lưu lượng truy cập qua chính chúng và phát nó dưới dạng luồng đến mô-đun thu thập. Đúng, trong trường hợp này, chúng tôi gặp phải tất cả các vấn đề mà chúng tôi đã nói ở trên liên quan đến các công cụ chụp gói. Nghĩa là, bạn cần hiểu không chỉ những ưu điểm của công nghệ phân tích dòng chảy mà còn cả những hạn chế của nó.
Một điểm quan trọng khác cần nhớ khi nói về các công cụ phân tích dòng chảy. Nếu liên quan đến các phương tiện tạo sự kiện bảo mật thông thường, chúng tôi sử dụng số liệu EPS (sự kiện mỗi giây), thì chỉ báo này không thể áp dụng cho phân tích đo từ xa; nó được thay thế bằng FPS (lưu lượng mỗi giây). Như trong trường hợp của EPS, nó không thể được tính toán trước nhưng bạn có thể ước tính số lượng luồng gần đúng mà một thiết bị cụ thể tạo ra tùy thuộc vào nhiệm vụ của nó. Bạn có thể tìm thấy các bảng trên Internet với các giá trị gần đúng cho các loại thiết bị và điều kiện doanh nghiệp khác nhau, điều này sẽ cho phép bạn ước tính những giấy phép bạn cần cho các công cụ phân tích và kiến trúc của chúng sẽ như thế nào? Thực tế là cảm biến IDS bị giới hạn bởi một băng thông nhất định mà nó có thể “kéo” và bộ thu lưu lượng cũng có những hạn chế riêng mà bạn phải hiểu. Do đó, trong các mạng lớn, phân bố theo địa lý thường có một số nhà sưu tập. Khi tôi mô tả , Tôi đã đưa ra số lượng người thu thập của chúng tôi - trong số đó có 21. Và đây là mạng dành cho một mạng lưới nằm rải rác khắp năm châu lục và có khoảng nửa triệu thiết bị đang hoạt động).
Chúng tôi sử dụng giải pháp của riêng mình làm hệ thống giám sát Netflow , đặc biệt tập trung vào việc giải quyết các vấn đề bảo mật. Nó có nhiều công cụ tích hợp để phát hiện hoạt động bất thường, đáng ngờ và rõ ràng là độc hại, cho phép bạn phát hiện nhiều mối đe dọa khác nhau - từ khai thác tiền điện tử đến rò rỉ thông tin, từ phát tán mã độc đến lừa đảo. Giống như hầu hết các máy phân tích dòng chảy, Stealthwatch được xây dựng theo sơ đồ ba cấp độ (bộ tạo - bộ thu - bộ phân tích), nhưng nó được bổ sung một số tính năng thú vị quan trọng trong bối cảnh vật liệu đang được xem xét. Đầu tiên, nó tích hợp với các giải pháp chụp gói (chẳng hạn như Trình phân tích gói bảo mật của Cisco), cho phép bạn ghi lại các phiên mạng đã chọn để điều tra và phân tích chuyên sâu sau này. Thứ hai, đặc biệt là để mở rộng các nhiệm vụ bảo mật, chúng tôi đã phát triển một giao thức nvzFlow đặc biệt, cho phép bạn “phát” hoạt động của các ứng dụng trên các nút cuối (máy chủ, máy trạm, v.v.) vào thiết bị đo từ xa và truyền nó đến bộ thu thập để phân tích thêm. Nếu trong phiên bản gốc Stealthwatch hoạt động với bất kỳ giao thức luồng nào (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) ở cấp độ mạng, thì hỗ trợ nvzFlow cũng cho phép tương quan dữ liệu ở cấp độ nút. tăng hiệu quả của toàn bộ hệ thống và chứng kiến nhiều cuộc tấn công hơn các máy phân tích luồng mạng thông thường.
Rõ ràng là khi nói về hệ thống phân tích Netflow từ quan điểm bảo mật, thị trường không bị giới hạn ở một giải pháp duy nhất của Cisco. Bạn có thể sử dụng cả giải pháp thương mại và miễn phí hoặc phần mềm chia sẻ. Sẽ khá kỳ lạ nếu tôi trích dẫn các giải pháp của đối thủ cạnh tranh làm ví dụ trên blog của Cisco, vì vậy tôi sẽ nói vài lời về cách phân tích từ xa mạng bằng cách sử dụng hai công cụ phổ biến, có tên giống nhau nhưng vẫn khác nhau - SiLK và ELK.
SiLK là một bộ công cụ (Hệ thống kiến thức cấp độ Internet) để phân tích lưu lượng truy cập, được phát triển bởi CERT/CC của Mỹ và hỗ trợ, trong bối cảnh của bài viết hôm nay, Netflow (thứ 5 và 9, phiên bản phổ biến nhất), IPFIX và sFlow và sử dụng nhiều tiện ích khác nhau (rwfilter, rwcount, rwflowpack, v.v.) để thực hiện các hoạt động khác nhau trên phép đo từ xa mạng nhằm phát hiện các dấu hiệu của hành động trái phép trong đó. Nhưng có một vài điểm quan trọng cần lưu ý. SiLK là một công cụ dòng lệnh thực hiện phân tích trực tuyến bằng cách nhập các lệnh như thế này (phát hiện các gói ICMP lớn hơn 200 byte):
rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15
không thoải mái lắm. Bạn có thể sử dụng GUI iSiLK, nhưng nó sẽ không giúp cuộc sống của bạn dễ dàng hơn nhiều, chỉ giải quyết chức năng trực quan hóa chứ không thay thế người phân tích. Và đây là điểm thứ hai. Không giống như các giải pháp thương mại đã có cơ sở phân tích vững chắc, thuật toán phát hiện bất thường, quy trình làm việc tương ứng, v.v., trong trường hợp SiLK, bạn sẽ phải tự mình thực hiện tất cả những điều này, điều này sẽ đòi hỏi năng lực của bạn hơi khác so với việc sử dụng đã sẵn sàng- các công cụ cần sử dụng. Điều này không tốt cũng không xấu - đây là một tính năng của hầu hết mọi công cụ miễn phí giả định rằng bạn biết phải làm gì và nó sẽ chỉ giúp bạn điều này (các công cụ thương mại ít phụ thuộc hơn vào năng lực của người dùng, mặc dù họ cũng cho rằng rằng các nhà phân tích hiểu ít nhất những điều cơ bản về điều tra và giám sát mạng). Nhưng hãy quay lại với SiLK. Chu trình làm việc của nhà phân tích trông như thế này:
- Xây dựng một giả thuyết. Chúng ta phải hiểu những gì chúng ta sẽ tìm kiếm bên trong phép đo từ xa mạng, biết các thuộc tính duy nhất mà nhờ đó chúng ta sẽ xác định được những điểm bất thường hoặc mối đe dọa nhất định.
- Xây dựng một mô hình. Sau khi hình thành một giả thuyết, chúng tôi lập trình nó bằng cách sử dụng cùng một Python, shell hoặc các công cụ khác không có trong SiLK.
- Đang thử nghiệm. Bây giờ đến lượt kiểm tra tính đúng đắn của giả thuyết của chúng tôi, giả thuyết này đã được xác nhận hoặc bác bỏ bằng cách sử dụng các tiện ích SiLK bắt đầu bằng 'rw', 'set', 'bag'.
- Phân tích dữ liệu thực tế. Trong hoạt động công nghiệp, SiLK giúp chúng tôi xác định điều gì đó và nhà phân tích phải trả lời các câu hỏi “Chúng tôi có tìm thấy những gì chúng tôi mong đợi không?”, “Điều này có tương ứng với giả thuyết của chúng tôi không?”, “Làm cách nào để giảm số lượng kết quả dương tính giả?”, “Làm thế nào để nâng cao mức độ nhận biết? » và như thế.
- Sự cải tiến. Ở giai đoạn cuối, chúng tôi cải thiện những gì đã được thực hiện trước đó - chúng tôi tạo mẫu, cải thiện và tối ưu hóa mã, định dạng lại và làm rõ giả thuyết, v.v.
Chu trình này cũng sẽ được áp dụng cho Cisco Stealthwatch, chỉ có chu trình cuối cùng tự động hóa tối đa XNUMX bước này, giúp giảm số lượng lỗi của nhà phân tích và tăng hiệu quả phát hiện sự cố. Ví dụ: trong SiLK, bạn có thể làm phong phú số liệu thống kê mạng bằng dữ liệu bên ngoài về IP độc hại bằng cách sử dụng tập lệnh viết tay và trong Cisco Stealthwatch, đây là chức năng tích hợp ngay lập tức hiển thị cảnh báo nếu lưu lượng truy cập mạng chứa các tương tác với địa chỉ IP từ danh sách đen.
Nếu bạn tiến lên cao hơn trong kim tự tháp “trả phí” cho phần mềm phân tích luồng, thì sau SiLK hoàn toàn miễn phí sẽ có ELK phần mềm chia sẻ, bao gồm ba thành phần chính - Elaticsearch (lập chỉ mục, tìm kiếm và phân tích dữ liệu), Logstash (đầu vào/đầu ra dữ liệu ) và Kibana (trực quan hóa). Không giống như SiLK, nơi bạn phải tự viết mọi thứ, ELK đã có nhiều thư viện/mô-đun tạo sẵn (một số phải trả phí, một số thì không) để tự động hóa việc phân tích đo từ xa mạng. Ví dụ: bộ lọc GeoIP trong Logstash cho phép bạn liên kết các địa chỉ IP được giám sát với vị trí địa lý của chúng (Stealthwatch có tính năng tích hợp này).
ELK cũng có một cộng đồng khá lớn đang hoàn thiện những thành phần còn thiếu cho giải pháp giám sát này. Ví dụ: để làm việc với Netflow, IPFIX và sFlow, bạn có thể sử dụng mô-đun , nếu bạn không hài lòng với Mô-đun Netflow Logstash, chỉ hỗ trợ Netflow.
Mặc dù mang lại hiệu quả cao hơn trong việc thu thập luồng và tìm kiếm trong đó, ELK hiện thiếu các phân tích tích hợp phong phú để phát hiện các điểm bất thường và mối đe dọa trong đo từ xa mạng. Nghĩa là, theo vòng đời được mô tả ở trên, bạn sẽ phải mô tả độc lập các mô hình vi phạm và sau đó sử dụng nó trong hệ thống chiến đấu (không có mô hình tích hợp nào ở đó).
Tất nhiên, có các tiện ích mở rộng phức tạp hơn dành cho ELK, vốn đã chứa một số mô hình để phát hiện sự bất thường trong phép đo từ xa mạng, nhưng các tiện ích mở rộng như vậy sẽ tốn tiền và ở đây câu hỏi đặt ra là liệu trò chơi có xứng đáng hay không - hãy tự viết một mô hình tương tự, mua nó triển khai cho công cụ giám sát của bạn hoặc mua giải pháp làm sẵn của lớp Phân tích lưu lượng mạng.
Nói chung, tôi không muốn tham gia vào cuộc tranh luận rằng tốt hơn hết bạn nên chi tiền và mua một giải pháp làm sẵn để theo dõi các điểm bất thường và mối đe dọa trong đo từ xa mạng (ví dụ: Cisco Stealthwatch) hoặc tự mình tìm ra giải pháp và tùy chỉnh tương tự. SiLK, ELK hoặc nfdump hoặc OSU Flow Tools cho từng mối đe dọa mới (Tôi đang nói về hai mối đe dọa cuối cùng lần cuối cùng)? Mỗi người đều tự mình lựa chọn và mỗi người đều có động cơ riêng khi chọn một trong hai phương án. Tôi chỉ muốn chứng tỏ rằng đo từ xa mạng là một công cụ rất quan trọng trong việc đảm bảo an ninh mạng cho cơ sở hạ tầng nội bộ của bạn và bạn không nên bỏ qua nó, để không lọt vào danh sách các công ty được nhắc đến tên trên các phương tiện truyền thông cùng với các văn bia “ bị tấn công”, “không tuân thủ các yêu cầu bảo mật thông tin” “, “không nghĩ đến việc bảo mật dữ liệu của họ và dữ liệu khách hàng.”
Tóm lại, tôi muốn liệt kê các mẹo chính mà bạn nên tuân theo khi xây dựng hệ thống giám sát bảo mật thông tin cho cơ sở hạ tầng nội bộ của mình:
- Đừng chỉ giới hạn bản thân trong phạm vi! Sử dụng (và chọn) cơ sở hạ tầng mạng không chỉ để di chuyển lưu lượng truy cập từ điểm A đến điểm B mà còn giải quyết các vấn đề an ninh mạng.
- Nghiên cứu các cơ chế giám sát an ninh thông tin hiện có trong thiết bị mạng của bạn và sử dụng chúng.
- Để giám sát nội bộ, hãy ưu tiên phân tích đo từ xa - nó cho phép bạn phát hiện tới 80-90% tất cả các sự cố bảo mật thông tin mạng, đồng thời thực hiện những điều không thể khi chụp các gói mạng và tiết kiệm dung lượng để lưu trữ tất cả các sự kiện bảo mật thông tin.
- Để giám sát các luồng, hãy sử dụng Netflow v9 hoặc IPFIX - chúng cung cấp thêm thông tin trong bối cảnh bảo mật và cho phép bạn giám sát không chỉ IPv4 mà còn cả IPv6, MPLS, v.v.
- Sử dụng giao thức luồng không được lấy mẫu - nó cung cấp thêm thông tin để phát hiện các mối đe dọa. Ví dụ: Netflow hoặc IPFIX.
- Kiểm tra tải trên thiết bị mạng của bạn - nó cũng có thể không xử lý được giao thức luồng. Sau đó hãy cân nhắc sử dụng cảm biến ảo hoặc Thiết bị tạo Netflow.
- Thực hiện kiểm soát trước hết ở cấp độ truy cập - điều này sẽ cho bạn cơ hội xem 100% tất cả lưu lượng truy cập.
- Nếu bạn không có lựa chọn nào khác và bạn đang sử dụng thiết bị mạng của Nga, hãy chọn thiết bị hỗ trợ giao thức luồng hoặc có cổng SPAN/RSPAN.
- Kết hợp các hệ thống phát hiện/ngăn chặn xâm nhập/tấn công ở biên và hệ thống phân tích luồng trong mạng nội bộ (bao gồm cả trên đám mây).
Về mẹo cuối cùng, tôi muốn đưa ra một minh họa mà tôi đã đưa ra trước đây. Bạn thấy rằng nếu trước đây dịch vụ bảo mật thông tin của Cisco gần như xây dựng hoàn toàn hệ thống giám sát bảo mật thông tin của mình trên cơ sở các hệ thống phát hiện xâm nhập và phương pháp chữ ký thì hiện nay chúng chỉ chiếm 20% số sự cố. 20% khác rơi vào các hệ thống phân tích luồng, điều này cho thấy rằng những giải pháp này không phải là ý tưởng bất chợt mà là một công cụ thực sự trong hoạt động dịch vụ bảo mật thông tin của một doanh nghiệp hiện đại. Hơn nữa, bạn có điều quan trọng nhất để triển khai chúng - cơ sở hạ tầng mạng, các khoản đầu tư vào đó có thể được bảo vệ hơn nữa bằng cách chỉ định các chức năng giám sát an ninh thông tin cho mạng.
Đặc biệt, tôi không đề cập đến chủ đề ứng phó với các điểm bất thường hoặc mối đe dọa được xác định trong các luồng mạng, nhưng tôi nghĩ rằng rõ ràng là việc giám sát không chỉ dừng lại ở việc phát hiện mối đe dọa. Sau đó phải có phản hồi và tốt nhất là ở chế độ tự động hoặc tự động. Nhưng đây là một chủ đề cho một bài viết riêng biệt.
Thông Tin Thêm:
Tái bút. Nếu bạn dễ dàng nghe mọi thứ được viết ở trên hơn thì bạn có thể xem phần trình bày kéo dài hàng giờ làm nền tảng cho ghi chú này.
Nguồn: www.habr.com