Анализ трафика как средство проактивного обеспечения информационной безопасности

Анализ трафика как средство проактивного обеспечения информационной безопасности

Ни для кого уже не секрет, что информационная безопасность должна развиваться практически непрерывно, чтобы обеспечить защиту от современных и будущих угроз.  На текущий момент уровень технической грамотности злоумышленников существенно вырос и становится всё более высоким с каждым днём, а различные атаки на ИТ-инфраструктуры стали более изощрёнными, целенаправленными. Этап случайных атак закончился, хакинг практически перестал быть развлечением – сейчас это полноценный бизнес. Многие государства имеют собственные кибервойска. В связи с этим, обеспечение информационной безопасности (далее - ИБ) ИТ-инфраструктуры компании становится крайне важным аспектом её полноценного, бесперебойного и эффективного функционирования.

ВСЕ СИСТЕМЫ ХОРОШИ, ОДНАКО…

В основном, для обеспечения ИБ компаний используется следующий набор средств, по отдельности или в комбинации:

• межсетевой экран (Firewall);
• система предотвращения/обнаружения вторжений (IPS/IDS);
• встроенный функционал управления межсетевым доступом (ACL);
• системы защиты конечных точек (Antivirus/Anti-Malware/HIDS/HIPS/DLP);
• система контроля доступа к сети (NAC);
• система управления событиями ИБ (SIEM).

Все эти системы хороши как по отдельности для решения поставленных задач, так и в комплексе. Однако существуют различные задачи, такие как выявление и предотвращение комплексных угроз и целевых кибератак, которые данные системы решить не в состоянии, поскольку в современных реалиях сетевой периметр любой компании размыт благодаря использованию облачных технологий и мобильности сотрудников. Не стоит забывать о существенном росте объёмов передаваемого зашифрованного трафика, а также возможности инкапсуляции трафика приложений в другие протоколы (туннелирование), что существенно сказывается на сложности выявления комплексных угроз, поскольку для сотрудников службы ИБ данный трафик будет выглядеть как легитимный.

ОСНОВНАЯ ПРОБЛЕМА

В качестве основной проблемы, препятствующей выявлению и предотвращению комплексных угроз, можно обозначить отсутствие полноценной, детальной видимости и автоматизированного поведенческого анализа сетевого трафика. Обнаружение комплексных угроз в сетевом трафике и проактивное реагирование на них становится возможным благодаря использованию систем Network Traffic Analysis (сетевой анализ трафика, далее - NTA), которые выявляют угрозы, выполняя глубокий анализ сетевого трафика вплоть до 7-го уровня сетевой модели OSI (уровень приложений), предоставляя таким образом возможность раннего обнаружения злоумышленников, оперативного выявления атак, локализации угроз и анализа выполнения требований регламентов ИБ компаний в сегменте сетевого функционирования.

STEALTHWATCH

Системный интегратор CTI (Communications. Technology. Innovations.) в своих проектах для анализа сетевого трафика чаще всего применяет Cisco Stealthwatch Enterprise (далее – Stealthwatch). Это решение использует телеметрию из существующей сетевой инфраструктуры, повышает эффективность обнаружения угроз, ускоряет реагирование на них и упрощает сегментацию сети с помощью многоуровневого машинного обучения и усовершенствованного поведенческого моделирования. Одной из ключевых особенностей, крайне значимой для ИБ, является интеграция Stealthwatch с каналом глобальной аналитики угроз, разработанным Cisco Talos, который обеспечивает дополнительный уровень защиты за счёт сопоставления подозрительной активности в сетевой среде с обширной базой известных индикаторов компрометации (Indicators of Compromise, IOC), благодаря чему обеспечивается высокая точность обнаружения угроз и высокая скорость реагирования на них. Cisco Talos выявляет 1,5 млн уникальных образцов вредоносного ПО и блокирует порядка 20 млрд угроз в день.

ОТВЕТЫ НА ВОПРОСЫ

Возможно ли выявить несанкционированный сбор информации об ИТ-инфраструктуре компании с использованием различных техник сканирования (по протоколам ICMP/UDP/TCP) как вне, так и внутри периметра?

В случае использования традиционных средств ИБ выявить несанкционированный сбор информации об инфраструктуре будет достаточно сложно. Зачастую злоумышленники проводят сканирования, маскируя их в общем потоке трафика, например, проводя практически атомарные сканирования, которые выглядят как единичные неудачные попытки установления соединений. В результате ИБ службы не уделяется им должного внимания. Стоит понимать, что традиционные системы в целом не предоставляют какого-либо поведенческого анализа трафика, в результате чего крайне сложно определить, является ли данное поведение трафика (необычные IP-адреса/протоколы/потоки/объёмы) отклонением от типового поведения. В случае использования Stealthwatch, от администратора не потребуется каких-либо действий, поскольку система автоматически производит детальный анализ получаемых данных сетевой телеметрии, формирует модели поведения потоков трафика, вплоть до учёта взаимодействия конечных точек, в результате чего предоставляется информация по проведённым атакам типа «разведка» (сканирование).

Если пользователь сети, имеющий разрешения на работу с конфиденциальной информацией, обычно скачивал около 10 Мб в день, вдруг скачал с сервера 100 Гб. Как служба информационной безопасности может узнать об этом?

Системы класса Data Leak Prevention (DLP) чаще всего контролируют движение информационных потоков, но при этом у таких систем есть технические ограничения по перечню контролируемых сетевых протоколов. Также есть много различных систем контроля работы пользователей с ИТ-ресурсами, такие как системы аудита файловых серверов, Data Base Monitoring и другие.  NTA системы могут централизованно мониторить передаваемые данные по объёму, направлению, протоколу и другим параметрам вне зависимости от типа ИТ актива и способа работы пользователей с ним. NTA системы в процессе сбора и анализа данных формируют поведенческую модель в контексте протоколов, IP-адресов, приложений и объёмов трафика с использованием машинного обучения для конечных точек и потоков трафика. Они автоматически выявляют и уведомляют о нелегитимных, подозрительных фактах передачи и получения данных как внутри, так и из внесетевого контура компаний, в отличие от традиционных систем. В этом заключается их ценность.

Пользователь заразил свой ноутбук сетевым червём за пределами корпоративной сети и принёс его на работу с дальнейшим подключением к внутреннему защищённому контуру компании. Как службы информационной безопасности узнают об этом?

Традиционные системы, конечно, могут это выявить. Сетевой червь будет стремиться реплицировать себя на все доступные хосты в сетевом окружении, создавать подключения, в том числе и к другим хостам подсети. Такие активности можно отследить NTA системами за счёт сбора сетевой телеметрии с устройств уровня доступа (коммутаторы, беспроводные точки доступа). Конечно, не всё оборудование обладает возможностью передачи сетевой телеметрии, но можно собирать и анализировать как копии трафика, так и данных syslog и SNMP.

При попытке извлечь из сети компании конфиденциальную информацию, злоумышленники используют, например, DNS или UDP/53 протоколы путём туннелирования. Как система поможет выявить инцидент и сообщить ИБ об этом?

Помимо DNS злоумышленники также используют протоколы NTP, SSH и SSL, сейчас начинается процесс перехода на TLS 1.3. Шифрование зловредного трафика существенно усложняет процесс выявления атак и вредоносного ПО в сетевом трафике. Опираться исключительно на традиционные средства обеспечения ИБ неэффективно именно по причинам использования сигнатурного подхода. Тот же Stealthwatch позволяет выявлять подобные инциденты путём анализа объёма передаваемых данных в привязке с используемым типом протокола, порта, источника, получателя и направления трафика.

NTA системы – неотъемлемая часть многоуровневой, современной системы обеспечения ИБ, позволяют получить полноценную видимость и аналитику не только сетевого трафика, но и общего состояния защищённости IT-инфраструктуры в целом. Эксперты CTI в своих проектах всегда рекомендуют использовать NTA системы, поскольку их наличие в СОИБ позволяет выявить как текущие, так и потенциальные, скрытые угрозы, получить подробную и ясную картину по текущей ситуации с защищённостью ИТ-инфраструктуры заказчика, существенно сократить время расследования инцидентов, обеспечить всесторонний контроль сегментации сети и функционирования политик межсетевого взаимодействия.