Кибератаки становятся все сложнее, поэтому компании уделяют особое внимание защите своих сетей. Ключевой элемент современной защиты — выявление аномалий в работе сети и быстрое реагирование на них. Такой подход предлагает широкий спектр возможностей для предотвращения инцидентов и минимизации ущерба, обеспечивая проактивную защиту сетевой инфраструктуры. В этой статье мы рассмотрим, как работают системы обнаружения аномалий, какие подходы и технологии лежат в их основе, и как они помогают в борьбе с кибератаками.
Аномалии в сети — это любые отклонения от нормальной, ожидаемой активности, которые могут указывать на угрозы безопасности или технические сбои. Эти нетипичные процессы в ИТ-инфраструктуре часто являются первыми признаками возможных проблем, таких как целенаправленные атаки злоумышленников, автоматизированная вирусная активность или технические сбои. Аномальное поведение может проявляться в различных формах:
Необычный трафик:
Внезапный и резкий всплеск трафика может свидетельствовать о DDoS-атаке или утечке данных из сети организации.
Необычно высокий объем передачи данных в нерабочее время нередко указывает на попытки взлома или несанкционированный доступ к системе.
Необычные подключения:
Сетевые сервисы обычно используют определенные порты, поэтому активность на нестандартных портах часто вызывает подозрение. Это может указывать на попытки обхода систем безопасности или использование вредоносного программного обеспечения.
Не менее тревожным признаком являются соединения с подозрительными IP-адресами, например, нодамисети TOR или удаленные подключения из стран, в которых организация не работает. Такая активность может свидетельствовать о попытках несанкционированного доступа или утечках данных.
Необычные действия пользователей:
Изменение привычек пользователей. Внезапные изменения в привычных паттернах поведения пользователей также могут свидетельствовать о вредоносной активности. Например, если сотрудник неожиданно начинает скачивать большие объемы данных или запрашивать доступ к информации, которая обычно не используется в работе, это может указывать как на расширение задач сотрудника со стороны руководства, так и на попытку кражи данных.
Подозрительные аутентификации. К аномалиям относится аутентификация на нетипичных для пользователя хостах или в нетипичное время (например, аутентификация операциониста в автоматизированной банковской системе вне рабочей смены). Такие события указывают на несанкционированный доступ.
Необычные данные:
Изменение структуры или формата данных, передаваемых по сети, может сигнализировать о серьезных угрозах. Такие изменения могут быть признаком внедрения вредоносного кода, попыток обхода систем безопасности или несанкционированного доступа к информационным ресурсам.
Особое внимание следует уделять неожиданным запросам к базам данных. Когда запросы значительно отклоняются от привычного шаблона поведения пользователя или приложения, это может указывать на попытку SQL-инъекции или другие виды атак на базы данных. Злоумышленники часто используют нетипичные запросы для извлечения конфиденциальной информации или нарушения работы системы.
Подозрительная активность устройств:
Появление неизвестных устройств в сети. Когда новые устройства подключаются к корпоративной сети без предварительного разрешения или уведомления, это может свидетельствовать о попытке несанкционированного доступа или внедрения вредоносного оборудования.
Необычное поведение IoT-устройств. Если IoT-устройства начинают функционировать нетипичным образом, это может указывать на их компрометацию. Взломанные IoT-устройства могут стать точкой входа для атак на всю сеть и периодически попадают в состав ботнетов.
Не каждое отклонение в работе сети означает атаку. Зачастую это просто результат изменений в рабочих процессах или технический сбой. Например, установка нового программного обеспечения может вызвать временные изменения в сетевом трафике.
Однако таких аномалий может быть много, и каждая требует внимания квалифицированного специалиста. Быстрое обнаружение и тщательное расследование помогают предотвратить возможные утечки данных и защитить информационную систему компании от целого ряда угроз: от стилеров и вирусов-шифровальщиков, которые в последнее время представляют собой большую проблему, до изощренных направленных атак.
Основные методы детектирования аномалий
Специалисты по кибербезопасности (SOC) используют два основных метода для поиска аномалий: анализ сетевого трафика и поведенческий анализ.
Эти методы включают изучение истории подключений при помощи статистических приемов, прежде всего — анализа отклонений от медианных значений, а также создания профилей нормальной активности пользователей. Они нацелены на выявление нетипичных коммуникаций и включают анализ таких параметров, как время, частота и объем передаваемых данных. Это позволяет быстро выделять из потока сетевой активности любые аномальные события, требующие внимания.
Хакеры стараются скрыть свои действия, но все равно оставляют цифровые следы. Каждая атака, даже хорошо замаскированная, нарушает привычные сетевые процессы.
Базовым методом обнаружения таких аномалий служит глубокий анализ пакетов (Deep Packet Inspection, DPI). Кроме того, специалисты по безопасности обращают внимание на аномальные временные интервалы соединений, подозрительные изменения объема трафика или попытки скрытной коммуникации с внешними ресурсами. Своевременное обнаружение и анализ подозрительной активности помогают предотвратить кибератаки и защитить корпоративную инфраструктуру.
Для достижения высокой точности обнаружения аномалий требуется время. После одного-двух месяцев работы число ложных срабатываний существенно снижается, что делает возможным практическое применение системы.
Например, в среду два конкретных сервера компании коммуницируют в три часа утра с объемом передаваемых данных от 10 до 15 мегабайт. Когда эта дельта появляется на протяжении как минимум 14 элементов данных, статистические алгоритмы начинают выдавать правдивый результат. Это позволяет не привязываться к незначительным изменениям в паттернах, а ориентироваться только на существенные. То есть, если вместо 15 мегабайт внезапно было передано 20 мегабайт — это не будет считаться существенным отклонением. Однако передача 200 мегабайт в нестандартное время, особенно если среди данных обнаружен исполняемый файл, сразу привлечет внимание системы безопасности. Классические методы детектирования позволяют сразу выявить опасный файл, а статистический анализ подтверждает аномальность всей операции.
Этим подходам обнаружения сетевых аномалий около пяти лет. За это время они доказали свою эффективность в реальных условиях. Однако технологии не стоят на месте. Сейчас многие центры обеспечения кибербезопасности (SOC) изучают возможности машинного обучения для поиска угроз. Эти технологии часто называют искусственным интеллектом. На наш взгляд, они еще недостаточно точны для этой узкоспециализированной задачи, однако в перспективе могут существенно усилить киберзащиту компаний.
Технологии и системы для эффективного обнаружения аномалий
Для более эффективного обнаружения и предотвращения аномального поведения в сети необходим набор инструментов, которые анализируют сетевой трафик и действия пользователей на предмет отклонений от нормы. Это например:
- IDS — системы обнаружения вторжений;
- IPS — системы предотвращения вторжений;
- EDR — решения для обнаружения подозрительной активности на конечных точках сети: подключенных серверах, персональных компьютерах, IoT-объектах и так далее;
- XDR — системы расширенного проактивного обнаружения и реагирования на разных уровнях инфраструктуры;
- NTA — системы комплексного анализа сетевого трафика, включающие и поведенческий анализ.
Для поиска аномалий мы используем данные от разных систем защиты:
- Межсетевые экраны нового поколения (NGFW) выходят за рамки обычных файерволов. Они анализируют сетевой трафик на уровне приложений и включают функциональность систем обнаружения (IDS) и предотвращения вторжений (IPS). При размещении на границах и внутри сети такие экраны не только блокируют несанкционированный трафик, но и позволяют выявлять признаки атак, такие как несовпадение используемого порта и фактического протокола передачи данных.
- Системы анализа сетевого трафика (NTA). Они помогают выявлять подозрительную активность в сети.
- Иногда мы смотрим данные с систем защиты конечных устройств (EDR) или расширенных систем обнаружения угроз (XDR). Это помогает получить более полную картину происходящего.
Объем используемых данных зависит от масштаба ИТ-инфраструктуры клиента и ее упорядоченности. Чем меньше порядка в системе заказчика, тем больше времени уйдет на сбор данных. При этом даже собранные данные могут не дать полной картины из-за хаотичности инфраструктуры.
Реагирование на аномалии в сети
При обнаружении аномального поведения система рассчитывает два показателя.
Первый — дельта «Активность». Она показывает, насколько текущая активность сетевых устройств или пользователей отличается от обычной. Например, дельта зафиксирует отклонение, если устройство внезапно начнет передавать больше данных или сделает это в нетипичное время.
Второй показатель — дельта «Окрестность». Она отражает изменения в поведении сетевых объектов относительно их ближайшего окружения. Дельта «Окрестность» фиксирует, когда устройство начинает общаться с новыми узлами сети или меняется характер трафика в подсети.
Собирается контекст события и отправляется заказчику для проверки. Если заказчик не подтверждает легитимность события, начинается расследование. Специалисты выясняют, где в сети находятся пользователи и как они попали в тот или иной сегмент. Обычно сначала стараются полностью локализовать злоумышленника. Только потом предлагают действия по его исключению из сети и предотвращению повторного вторжения. Если выявлена деятельность, направленная на нанесение ущерба организации, в процессе расследования сразу начинается активная фаза реагирования на инцидент.
Проблемы и ограничения детекции аномалий
Основное ограничение методов обнаружения аномалий в сети — ложные срабатывания. Они появляются из-за шума в данных и нехватки контекста. Увеличение трафика может быть как признаком атаки, так и результатом обычных действий: обновления ПО или резервного копирования. Без контекста трудно понять, действительно ли поведение аномально. Проблему усугубляет динамичность компьютерных сетей. Из-за нее статистические модели быстро устаревают, что тоже ведет к ложным срабатываниям.
Чтобы снизить число ложных срабатываний, специалисты уточняют профили. Они сужают фокус с общей инфраструктуры до конкретных сегментов, требующих особого внимания.
Этот метод эффективен не везде. Он лучше работает там, где есть стабильный контур обработки данных, например, в финансовом секторе, где ведется обработка платежей через Центробанк. В ИТ-секторе это актуально для сегментов разработки и сборки дистрибутивов, а в госсекторе — для защиты объектов критической информационной инфраструктуры (КИИ).
Системы обнаружения аномалий — лишь один из инструментов защиты от киберугроз. Это не универсальное решение. Они требуют тщательной настройки и грамотной интерпретации результатов высококвалифицированными специалистами. Важно помнить: такие системы нужны не всем организациям и не для всей ИТ-инфраструктуры.
Качественная детекция аномалий невозможна без активного участия заказчика. Внедрение этих инструментов требует подготовки. Начните с базовой сегментации сети: плохо регламентированная инфраструктура непригодна для эффективного процесса обнаружения. Определите критичные элементы вашей инфраструктуры, учитывая не только требования регуляторов и внутренние процессы, но и реальную значимость для ИТ- и ИБ-структуры компании.
Назначьте сотрудника, ответственного за взаимодействие со специалистами по безопасности. Без глубокого знания особенностей вашей инфраструктуры невозможно эффективно выявлять и анализировать аномалии.
Автор: Михаил Шеховцов, руководитель центра мониторинга информационной безопасности компании «Бастион».
Оригинал публикации на сайте CISOCLUB: "Методы выявления и реагирования на аномалии в компьютерных сетях".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
