Анализ трафика как средство проактивного обеспечения информационной безопасности

4 февраля, 2020

Анализ трафика как средство проактивного обеспечения информационной безопасности

Ни для кого уже не секрет, что информационная безопасность должна развиваться практически непрерывно, чтобы обеспечить защиту от современных и будущих угроз.  На текущий момент уровень технической грамотности злоумышленников существенно вырос и становится всё более высоким с каждым днём, а различные атаки на ИТ-инфраструктуры стали более изощрёнными, целенаправленными. Этап случайных атак закончился, хакинг практически перестал быть развлечением – сейчас это полноценный бизнес. Многие государства имеют собственные кибервойска. В связи с этим, обеспечение информационной безопасности (далее - ИБ) ИТ-инфраструктуры компании становится крайне важным аспектом её полноценного, бесперебойного и эффективного функционирования.

 

ВСЕ СИСТЕМЫ ХОРОШИ, ОДНАКО…

В основном, для обеспечения ИБ компаний используется следующий набор средств, по отдельности или в комбинации:

  • межсетевой экран (Firewall);
  • система предотвращения/обнаружения вторжений (IPS/IDS);
  • встроенный функционал управления межсетевым доступом (ACL);
  • системы защиты конечных точек (Antivirus/Anti-Malware/HIDS/HIPS/DLP);
  • система контроля доступа к сети (NAC);
  • система управления событиями ИБ (SIEM).

Все эти системы хороши как по отдельности для решения поставленных задач, так и в комплексе. Однако существуют различные задачи, такие как выявление и предотвращение комплексных угроз и целевых кибератак, которые данные системы решить не в состоянии, поскольку в современных реалиях сетевой периметр любой компании размыт благодаря использованию облачных технологий и мобильности сотрудников. Не стоит забывать о существенном росте объёмов передаваемого зашифрованного трафика, а также возможности инкапсуляции трафика приложений в другие протоколы (туннелирование), что существенно сказывается на сложности выявления комплексных угроз, поскольку для сотрудников службы ИБ данный трафик будет выглядеть как легитимный.

 

ОСНОВНАЯ ПРОБЛЕМА

В качестве основной проблемы, препятствующей выявлению и предотвращению комплексных угроз, можно обозначить отсутствие полноценной, детальной видимости и автоматизированного поведенческого анализа сетевого трафика. Обнаружение комплексных угроз в сетевом трафике и проактивное реагирование на них становится возможным благодаря использованию систем Network Traffic Analysis (сетевой анализ трафика, далее - NTA), которые выявляют угрозы, выполняя глубокий анализ сетевого трафика вплоть до 7-го уровня сетевой модели OSI (уровень приложений), предоставляя таким образом возможность раннего обнаружения злоумышленников, оперативного выявления атак, локализации угроз и анализа выполнения требований регламентов ИБ компаний в сегменте сетевого функционирования.

 

STEALTHWATCH

Системный интегратор CTI (Communications. Technology. Innovations.) в своих проектах для анализа сетевого трафика чаще всего применяет Cisco Stealthwatch Enterprise (далее – Stealthwatch). Это решение использует телеметрию из существующей сетевой инфраструктуры, повышает эффективность обнаружения угроз, ускоряет реагирование на них и упрощает сегментацию сети с помощью многоуровневого машинного обучения и усовершенствованного поведенческого моделирования. Одной из ключевых особенностей, крайне значимой для ИБ, является интеграция Stealthwatch с каналом глобальной аналитики угроз, разработанным Cisco Talos, который обеспечивает дополнительный уровень защиты за счёт сопоставления подозрительной активности в сетевой среде с обширной базой известных индикаторов компрометации (Indicators of Compromise, IOC), благодаря чему обеспечивается высокая точность обнаружения угроз и высокая скорость реагирования на них. Cisco Talos выявляет 1,5 млн уникальных образцов вредоносного ПО и блокирует порядка 20 млрд угроз в день.

 

ОТВЕТЫ НА ВОПРОСЫ

Возможно ли выявить несанкционированный сбор информации об ИТ-инфраструктуре компании с использованием различных техник сканирования (по протоколам ICMP/UDP/TCP) как вне, так и внутри периметра?

В случае использования традиционных средств ИБ выявить несанкционированный сбор информации об инфраструктуре будет достаточно сложно. Зачастую злоумышленники проводят сканирования, маскируя их в общем потоке трафика, например, проводя практически атомарные сканирования, которые выглядят как единичные неудачные попытки установления соединений. В результате ИБ службы не уделяется им должного внимания. Стоит понимать, что традиционные системы в целом не предоставляют какого-либо поведенческого анализа трафика, в результате чего крайне сложно определить, является ли данное поведение трафика (необычные IP-адреса/протоколы/потоки/объёмы) отклонением от типового поведения. В случае использования Stealthwatch, от администратора не потребуется каких-либо действий, поскольку система автоматически производит детальный анализ получаемых данных сетевой телеметрии, формирует модели поведения потоков трафика, вплоть до учёта взаимодействия конечных точек, в результате чего предоставляется информация по проведённым атакам типа «разведка» (сканирование).

 

Если пользователь сети, имеющий разрешения на работу с конфиденциальной информацией, обычно скачивал около 10 Мб в день, вдруг скачал с сервера 100 Гб. Как служба информационной безопасности может узнать об этом?

Системы класса Data Leak Prevention (DLP) чаще всего контролируют движение информационных потоков, но при этом у таких систем есть технические ограничения по перечню контролируемых сетевых протоколов. Также есть много различных систем контроля работы пользователей с ИТ-ресурсами, такие как системы аудита файловых серверов, Data Base Monitoring и другие.  NTA системы могут централизованно мониторить передаваемые данные по объёму, направлению, протоколу и другим параметрам вне зависимости от типа ИТ актива и способа работы пользователей с ним. NTA системы в процессе сбора и анализа данных формируют поведенческую модель в контексте протоколов, IP-адресов, приложений и объёмов трафика с использованием машинного обучения для конечных точек и потоков трафика. Они автоматически выявляют и уведомляют о нелегитимных, подозрительных фактах передачи и получения данных как внутри, так и из внесетевого контура компаний, в отличие от традиционных систем. В этом заключается их ценность.

 

Пользователь заразил свой ноутбук сетевым червём за пределами корпоративной сети и принёс его на работу с дальнейшим подключением к внутреннему защищённому контуру компании. Как службы информационной безопасности узнают об этом?

Традиционные системы, конечно, могут это выявить. Сетевой червь будет стремиться реплицировать себя на все доступные хосты в сетевом окружении, создавать подключения, в том числе и к другим хостам подсети. Такие активности можно отследить NTA системами за счёт сбора сетевой телеметрии с устройств уровня доступа (коммутаторы, беспроводные точки доступа). Конечно, не всё оборудование обладает возможностью передачи сетевой телеметрии, но можно собирать и анализировать как копии трафика, так и данных syslog и SNMP.

 

При попытке извлечь из сети компании конфиденциальную информацию, злоумышленники используют, например, DNS или UDP/53 протоколы путём туннелирования. Как система поможет выявить инцидент и сообщить ИБ об этом?

Помимо DNS злоумышленники также используют протоколы NTP, SSH и SSL, сейчас начинается процесс перехода на TLS 1.3. Шифрование зловредного трафика существенно усложняет процесс выявления атак и вредоносного ПО в сетевом трафике. Опираться исключительно на традиционные средства обеспечения ИБ неэффективно именно по причинам использования сигнатурного подхода. Тот же Stealthwatch позволяет выявлять подобные инциденты путём анализа объёма передаваемых данных в привязке с используемым типом протокола, порта, источника, получателя и направления трафика.

 

NTA системы – неотъемлемая часть многоуровневой, современной системы обеспечения ИБ, позволяют получить полноценную видимость и аналитику не только сетевого трафика, но и общего состояния защищённости IT-инфраструктуры в целом. Эксперты CTI в своих проектах всегда рекомендуют использовать NTA системы, поскольку их наличие в СОИБ позволяет выявить как текущие, так и потенциальные, скрытые угрозы, получить подробную и ясную картину по текущей ситуации с защищённостью ИТ-инфраструктуры заказчика, существенно сократить время расследования инцидентов, обеспечить всесторонний контроль сегментации сети и функционирования политик межсетевого взаимодействия.

Смотрите также