Комплексная безопасность на всех уровнях сети

Стремительное развитие информационных технологий приводит к новым вызовам и угрозам информационной безопасности. Привычных межсетевых экранов, антивирусов и систем анализа логов становится недостаточно. Появляется потребность в внедрении систем анализа сетевого трафика – NTA-решений.

Ключевыми факторами при выборе внедряемого решения часто оказываются:

• Решение задач из одного окна.
• Отсутствие дублирования возможностей уже внедренных систем.
• Возможность безболезненной интеграции в существующую инфраструктуру.
• Минимизация стоимости и вычислительных мощностей.
• Возможность масштабирования.

Под данные условия подходит система анализа сетевого трафика «Гарда Монитор».

Принципы работы систем анализа сетевого трафика

Основным источником данных системы анализа сетевого трафика «Гарда Монитор» является зекралированная копия трафика (SPAN), что не оказывает влияния на работу инфраструктуры заказчика.

Трафик, поступающий в систему подвергается:

1. Анализу с помощью глубокого разбора содержимого пакетов (DPI) – на этом этапе из сырых потоков извлекается метаинформация о свойствах сетевых соединений, определяется тип прикладного протокола и используемого приложения, проводится разбор некоторых прикладных протоколов до уровня команд.
2. Сигнатурному анализу с помощью suricata/snort-совместимых решающих правил, т.е. система включает в себя функционал системы обнаружения вторжений (IDS)
3. Проверке поступивших данных на принадлежность к индикаторам компрометации (репутационным спискам IP-,URL- адресов и доменов).
4. Индексации информации о сетевых соединениях и выявленных угрозах.
5. Записи содержимого сетевых соединений в сыром виде с возможностью последующего извлечения в формате pcap.
6. Анализу на предмет аномального поведения, в частности:

• Строится профиль поведения устройств, удовлетворяющих пользовательским фильтрам для выявления отклонений от “нормального” поведения.
• Выявляются новые устройства в заданном сегменте сети.
• Обнаруживается использование новых портов получателей в указанном сегменте сети.

При этом в системе реализован гибкий многокритериальный поиск с возможностью переход от информации о событии непосредственно к сетевому потоку, его содержащему с возможностью просмотра содержимого из окна системы.

Рекомендуемые системные требования для обработки трафика до 300Мбит/сек:

• Отдельный сервер или виртуальная машина ( Proxmox, VMWare, HyperV) поддерживающие инструкции процессора sse_4_2
• 16 core
• 32 RAM

Добавление сетевого интерфейса с поддержкой технологии DPDK увеличивает скорость обработки трафика до 1Гбит/сек. Объем дискового пространства зависит от требуемого количества дней хранения данных. За 24 часа с 1Гбит/сек трафика можем получить до 10,5 Тбайт данных.

Учитывая большие объёмы обрабатываемых данных, система позволяет задавать время хранения статистики. Для отдельных потоков можно выключить запись содержимого, например, отключить запись содержимого шифрованных соединений. Как правило, содержимое потоков пишется до тех пор, пока хватает свободного места. Устаревшие данные автоматически удаляются.

Быстрое внедрение системы анализа сетевого трафика

Внедрение любой системы состоит из двух этапов:

- установка оборудования, программного обеспечение, подача трафика;

- произвести настройку системы для решения конкретных задач ИБ, максимально автоматизировав этот процесс.

Информационная безопасность начинается с инвентаризации ресурсов.

Первым делом необходимо заполнить список домашних подсетей. Это нужно не только для корректной работы IDS-подсистемы, но и для того, чтобы оперировать фильтрами вида: “Отобразить все соединения на некорпоративный DNS”, то есть фильтр “protocol=DNS && direction="Внутренний → внешний"”.

Система отображает агрегированную информацию о сетевых соединениях. Кроме сводки данных по объему и количеству сетевых соединений, пользователю предоставляется сводка по используемым сетевым протоколам и еще по 30+ предустановленным интерактивным сводкам отчетов. Необходимо заполнить соответствующий список локальных подсетей в настройках комплекса.

Как убедиться, что этот список соответствует действительности? Выполнить поиск по фильтру direction=Неизвестно и посмотреть интерактивные отчеты Подсети отправителей/получателей. В них будут отображена информация о сетевых соединениях для которых ни ip-адрес отправителя ни получателя не принадлежат локальным подсетям, т.е. есть неучтенная локальная подсеть. (локальные сети подсвечиваются, внешние - нет).

Проведя инвентаризацию используемых подсетей, можно смело переходить к проверке разграничения прав доступа. Например, корпоративная политика ИБ предполагает запрет на доступ к внешним ресурсам из подсети 10.1.1.0/24 т.е. в результате применения фильтра ip_addr_src=10.1.1.0/24 && direction!="Внутренний → внутренний" мы должны увидеть 0 сетевых соединений. Если это не так – сотрудник отдела ИБ предпринимает меры чтобы выполнить это требование.

Чтобы исключить инцидент в будущем, в “Гарда Монитор” реализованы функции Политик безопасности. Нужно сохранить фильтр в системе и создать на его основе политику. Для политики можно настроить реагирование: уведомление на почту, экспорт в SIEM-систему, выгрузка содержимого потока в формате pcap во внешнее хранилище, а также вызов активного реагирования на основе python-скриптов, например, добавление acl-правил через API маршрутизатора или экспорт в IRP-систему.

Практика применения системы анализа сетевого трафика

“Гарда Монитор” поставляется с набором предустановленных политик, например, использование средств удаленного управления (TeamViwer, VNC и т.п.).

Инциденты, детектируемые предустановленными политиками:

1. Сотрудники компании не могут пользоваться приложениями для удаленного управления (TeamViewer, VNCи т.д.), так как их установка запрещена и блокируется политиками компании.При этом сотрудники обходят это ограничение используя расширения для браузера Google Chrome. Инцидент отображается в системе и происходит блокировка доступа к ресурсу.
2. Ошибки доступа по HTTP – сотрудник пытается получить доступ к ресурсу на который нет прав доступа.
3. Обнаружение соединений с фишинговыми ресурсами или командными центрами ботнет-сетей.
4. Подключение по ssh к внутренним узлам сети из Китая
5. Использование служб на нестандартном порту, например, SSH или HTTP.

Нужно выявить наиболее значимые в инфраструктуре хосты: адреса пограничных узлов, dns- и ntp- серверов, сервера баз данных и прочее. Для этого предусмотрен механизм логических групп. Аккаунты, имена компьютеров и ip-адреса могут быть объединены в логическую группу для отображения напротив входящих в них сущностей.

Следующий шаг - поиск ошибок разграничения прав доступа и не целевого использования ресурсов. Например, наличие сетевых соединение из подсети компьютера охранника на входе в подсеть бухгалтерии.

Все ip-адреса, dns-имена и URL-адреса проверяются на принадлежность к репутационным спискам скомпрометированных IP-адресов, Хостов и URL-адресов.

Репутационные списки поставляются в составе комплекса и автоматически обновляются с периодичностью в несколько часов. Предоставляется возможность загрузки пользовательских источников. По умолчанию поставляются следующие категории списков: активность бот-сетей, криптомайнинг, фишинг, вредоносное ПО, подозрительные ресурсы. Наличие таких списков позволяет выявлять, например, активность вирусов-шифровальщиков, не замеченную антивирусом на рабочей станции или проникших в серверный сегмент.

Возможности анализа сетевых соединений

“Гарда Монитор” предоставляет широкие возможности для анализа свойств сетевых соединений: фильтрация по свойствам, поддержка масок в ip-адресах, поиск по * для текстовых свойств, гибкий многокритериальный поиск. Поддерживается разбор команд некоторых прикладных протоколов, например, SMB.

Система способна отслеживать длительные сессии. Например, произошло подключение по протоколу HTTP и продлилось 8 ч. 15 мин. 40 секунд. Информация о таком соединении появится в системе не позднее чем через 15 минут после установления соединения. Информация о том, что это соединение активно и обновленная статистика о нем будем поступать в комплекс каждые 40 минут.

Обнаружение вторжений

Сигнатурные решающие правила очень мощный инструмент для выявления попыток проникновения в инфраструктуру с помощью эксплуатации различных уязвимостей ПО. В “Гарда Монитор” эти функции разделены на две категории – обнаружение фактов сетевой разведки и отображение угроз безопасности. В первой отображаются данные о фактах сканирования ресурсов, например, сканирование открытых портов. Во второй категории отображается информация о прочих угрозах, от передачи пароля в открытом виде до выявления попыток эксплуатации CVE-уязвимостей и распростраения троянский программ.

Примеры:

1. Обнаружение атак на WEB-приложения.
2. Обнаружение признаков применения популярного хакерского ПО.
3. Обнаружение попыток эксплуатации CVE уязвимостей ПО.
4. Обнаружение активности программ вымогателей.
5. Обнаружение троянских программ.
6. Потенциальное сканирование ресурсов.

Оба раздела подразумевают гибкий многокритариальный поиск по фильтрам, которые можно использовать в политиках. Также по каждой угрозе предоставляется подробная информация и возможность перехода к содержащему ее потоку. Факты сетевой разведки можно отобразить на карте сети. Набор сигнатур поставляется Центром компетенций информационной безопасности “Гарда Технологии” и автоматически обновляется не реже 1 раза в сутки. Доступна возможность поиска, редактирования и добавления новых сигнатур и пользовательских источников сигнатур. Поставляемый набор сигнатур содержит более 23000 записей. Из них по умолчанию включено порядка 17000. Набор используемых сигнатур сильно зависит от потребностей заказчика и модели угроз.

Функции СОВ оказывается полезным как для анализа периметрового, так внутреннего трафика. Например, передача паролей в открытом виде при доступе к внутренним ресурсам или попытка повышения прав администратора и прочие факты нарушения политики корпоративной безопасности и признаки горизонтального перемещения злоумышленников во внутренней сети.

• Анализ трафика на основе глубокого разбора содержимого пакетов совместно с Системой обнаружения вторжений и автоматической проверкой на принадлежность к индикаторам компрометации, усиленные Политиками (средствами автоматическим реагирования на инцидент) инструмент весьма мощный, но не достаточный. Они не анализируют трафик на предмет появления новых устройств в сети или резких отклонений в поведение устройств. Для решения таких задач в “Гарда Монитор” содержит модуль выявления аномалий. Модуль накапливает данные о сетевых соединениях в течение интервала обучения и позволяет решить следующие задачи безопасности:обнаружение новых устройств - от администратора комплекса не ускользнет факт появления новой виртуальной машины на гипервизоре или нового устройства в клиентской сети. Классический пример: в сети появилось новое устройство, отправило или загрузило несколько гигабайт данных и исчезло. В общем массиве данных такое событие осталось бы без внимания.
• Обнаружение обращений к новым портам получателя. Например, кто-то развернул новую базу данных или реплику базы данных, появилось новое приложение, принимающее запросы или кто-то ошибся в конфигурирование сетевой службы и происходят попытки подключения не на тот ip:port. Для обнаружения отклонений в работе постоянно нагруженных устройств реализован функционал профилирования – построения профиля поведения устройств, попавших под пользовательский фильтр, по заданным метрикам. Например, по количеству сетевых соединений, объему переданных данных, или количеству одновременно используемых портов отправителей или получателей. С помощью этого функционала становится возможным, например, обнаружение туннелей, поверх UDP или HTTPS.
• Выявление развертывания блокчейн-сети по одновременно возросшему количеству портов отправителей/получателей на группе хостов. Обнаруживать периодические всплески в профиле поведения устройства, что может свидетельствовать об активности вредоносного ПО.

Все поступившие в систему данные подвергаются проверке на принадлежность к индикаторам компрометации, что позволяет выявлять активность зловредного ПО, например, выявлять активность вирусов-шифровальщиков. Которые сначала обращаются к своим командным центрам.

Система анализа сетевого трафика интегрируется с журналом безопасности контроллера домена и получает информацию об авторизации пользователей в домене. За счет этого в системе реализована персонификация сетевых соединений. Пользователю предоставляется возможность просмотра журнала авторизации пользователей с возможность фильтрации и создания Политик. Например, на какие компьютеры заходил администратор или почему на КД авторизовался не администратор?

Визуализация сетевых взаимодействий на карте сети позволяет обнаружить и наглядно отразить инциденты во всей локальной сети.

Система масштабируется и может работать с любыми территориально-распределенными сетями из “одного окна”.

Выводы:

“Гарда Монитор” - развивающаяся система анализа сетевого трафика. Хорошо подойдет как для тех кто только начал строить службу ИБ так и для интеграции в существующие SOC. Система объединяет в себе более пяти классов решаемых задач и позволяет работать с данными разной структуру из одного окна. При этом всегда есть возможность перейти непосредственно к потоку содержащему угрозы с возможностью его выгрузки и передачи в компетентные органы в качестве доказательной базы. Система позволяет автоматически выявлять и информировать о инцидентах ИБ с помощью заранее настроенных политик. А также незаменима при поиске скрытых угроз.