eng
TS_pub
technospheramag
technospheramag
ТЕХНОСФЕРА_РИЦ
Решение Cyber Threat Defense (CTD) способно выявлять и блокировать сложные атаки, включая атаки нулевого дня, утечки конфиденциальной информации и ботнеты. CTD основано на новых механизмах борьбы с продвинутыми угрозами с помощью анализа сетевой активности.
Теги: cyber threat defense netflow
Подходы к выявлению атак
Традиционное выявление атак на уровне сети предполагает анализ сетевого трафика по определенному набору сигнатур, соответствующих известным атакам. Этот подход требует наличия на ключевых участках сети сенсоров IDS/IPS (Intrusion Detection System/Intrusion Prevention System), призванных выявить известные "плохие" паттерны в сетевом трафике. Но данный подход в наше время уже не актуален. Во-первых, анализ сигнатур беспомощен против атак нулевого дня, продвинутых способов маскировки вредоносного кода и каналов управления ботнетами (в частности, с помощью криптографии). Во-вторых, современные целенаправленные атаки (APT, Advanced Persistent Threat) способны "обходить" традиционный периметр сети, на котором устанавливаются сенсоры, и действовать изнутри. Внутрисетевое взаимодействие между рабочими станциями и серверами обычно находится вне поля зрения IDS/IPS, поскольку установка выделенных сенсоров внутри всех сетевых сегментов и мониторинг каждой рабочей станции – задача технически сложная и дорогостоящая.
Уже около десяти лет в индустрии разрабатываются новые подходы обнаружения атак с помощью анализа поведения и анализа аномалий сетевого трафика. Если кратко, то такие системы выявляют известное "плохое поведение" устройств в сети, анализируя сетевое взаимодействие. Элементарными примерами подобного "плохого" поведения служат процесс сканирования сети и открытие большого количества TCP-сессий (Transmission Control Protocol).
Анализ аномалий выявляет существенные отклонения трафика сетевых устройств от нормального профиля трафика для данного устройства или группы устройств. Этот процесс требует обучения системы и предполагает статистический анализ для построения и обновления нормального профиля трафика. К числу аномалий относятся внезапное увеличение интернет-трафика рабочей станции или изменение его структуры, например, увеличение шифрованного SSL-трафика (Secure Sockets Layer) по сравнению с обычными ежедневными показателями для данной рабочей станции. Для выявления "плохого поведения" и аномалий в большинстве случаев достаточно проанализировать основные параметры трафика (телеметрию) (рис.1). Пристально изучать содержимое каждого пакета, как это делает IPS, нужды нет.
Каждый из этих подходов имеет свои преимущества и ограничения, они отражены в таблице. Анализы поведения и аномалий во многом перекликаются, и зачастую оба подхода используются совместно. Системы защиты, построенные на данных принципах, называются Network Behaviour Anomaly Detection (NBAD). Необходимо отметить, что системы NBAD не заменяют, а дополняют традиционные приемы IDS/IPS в части выявления сложных атак и могут использоваться одновременно. IDS/IPS фокусируются на защите периметра и критических точек сети. Системы NBAD проникают вглубь сети, собирая данные телеметрии с устройств сетевой инфраструктуры и устройств безопасности.
NetFlow – ценный источник данных телеметрии для информационной безопасности
Сетевой протокол NetFlow − отличный источник данных телеметрии для задач информационной безопасности (ИБ). NetFlow был разработан компанией Cisco для учета сетевого трафика и мониторинга в 90-е годы прошлого столетия. NetFlow собирал статистику сетевых потоков, проходящих через сетевую инфраструктуру. Под потоком понимается набор пакетов, проходящих в одном направлении и имеющих общие параметры (рис.1):
•адрес источника;
•адрес назначения;
•порт источника для UDP (User Datagram Protocol) и TCP;
•порт назначения для UDP и TCP;
•тип и код сообщения для ICMP;
•номер протокола IP;
•сетевой интерфейс;
•IP-тип сервиса.
За последние 20 лет NetFlow был преобразован в стандарт IETF (Internet Engineering Task Force), получив множество версий и расширений. NetFlow научился собирать детальную статистику о структуре трафика, размерах и характеристиках пакетов, фрагментации и прочих параметрах. В NetFlow можно добавлять информацию о приложениях, если на сетевых устройствах включен DPI (Deep Packet Inspection). NetFlow позволяет идентифицировать более 1000 приложений и, к примеру, дифференцировать обычный веб-трафик от Skype или P2P-файлообменников (Peer-to-Peer) на 80-ом порту. Статистика NetFlow может дополняться информацией о соответствии потока политике на межсетевом экране, о содержании HTTP URL (HyperText Transfer Protocol, Uniform Resource Locator) и прочими данными прикладного уровня. Таким образом, полученную от NetFlow информацию можно успешно использовать для анализа сетевого поведения и выявления угроз.
Еще одно отличие NetFlow – это широта охвата трафика. NetFlow поддерживается на всех маршрутизаторах Cisco, межсетевых экранах Cisco ASA и коммутаторах Catalyst 2960-X, 3560, 3750-X, 3850, 4500, 6500 и Nexus 7000. Совсем недавно поддержка NetFlow появилась и на сетевых интерфейсах серверов Cisco UCS (Unified Computing System), что позволяет собирать данные телеметрии серверного трафика и трафика виртуальных машин.
На коммутаторах и старших моделях маршрутизаторов работа NetFlow аппаратно ускоряется, что минимизирует влияние этого протокола на производительность устройства. Таким образом, NetFlow может собирать данные телеметрии и обеспечивать обнаружение атак на всех участках сети – от уровня доступа и центра обработки данных (ЦОД) до удаленного филиала. Этот протокол позволяет оценить поведение отдельно взятой рабочей станции и сервера без установки программного агента, используя только функционал инфраструктуры.
NetFlow может учитывать каждый обрабатываемый пакет, предоставляя детальный анализ всего трафика. Это отличает данное решение от аналогичных протоколов (таких как sFlow), которые умеют собирать только агрегированную статистику (Sampled Flow), анализируя каждый n-й пакет. Агрегированный и полный NetFlow можно сравнить с чтением каждой n-й страницы книги и внимательным, построчным чтением. Агрегированная статистика дает быстрый взгляд на трафик, но хуже подходит для задач информационной безопасности. Полный NetFlow дает исчерпывающий обзор сетевой активности с точки зрения возможных угроз.
Решение Cisco для защиты от киберугроз
Решение для защиты от киберугроз CTD (Cyber Threat Defence) состоит из:
•сетевой инфраструктуры (коммутаторы, маршрутизаторы, межсетевые экраны) с поддержкой протокола NetFlow;
•системы анализа сетевого трафика Lancope StealthWatch;
•опциональных компонентов, снабжающих систему анализа информацией о контексте.
Продукт StealthWatch, разработанный компанией Lancope в партнерстве с Cisco, − одно из старейших решений на рынке NBAD-систем. Основные компоненты системы Lancope StealthWatch (рис.2):
•FlowCollector – физическое или виртуальное устройство, собирающее данные NetFlow;
◦консоль управления StealthWatch Management Console – физическое или виртуальное устройство, которое объединяет, коррелирует и визуализирует данные телеметрии, собранные с разных FlowCollector.
Дополнительные компоненты системы Lancope StealthWatch:
•FlowSensor – физическое или виртуальное устройство, которое позволяет собрать данные NetFlow с сетевых устройств, не поддерживающих NetFlow. FlowSensor умеет, получив копию сетевого трафика, генерировать соответствующую NetFlow-статистику;
•FlowReplicator – физическое устройство, которое собирает данные NetFlow и может продублировать их одновременно нескольким получателям.
Объединяем телеметрию и контекст
На начальном этапе в StealthWatch Management Console необходимо описать зоны, из которых состоит сеть организации. Такими зонами могут быть:
•локальная сеть;
•филиалы;
•рабочие станции, объединенные по назначению или местоположению;
•серверы, сгруппированные по доступным сервисам и приложениям и т.д.
Зоны могут быть вложены друг в друга: так, зона ЦОД включает зоны для приложений, например, веб-, почтовые и DNS-серверы (Domain Name System), ERP (Enterprise Resource Planning). Зона веб-серверов в свою очередь разбивается на зоны внешних и внутренних веб-серверов.
Чем точнее будет проведена сегментация сети, тем лучше StealthWatch сможет анализировать данные телеметрии и поведение устройств. Эта система сама помогает определить вероятное назначение устройств и их принадлежность к определенной зоне. Например, сервер, служащий источником веб-трафика, StealthWatch предложит отнести к группе веб-серверов.
На следующем этапе StealthWatch Collector собирает данные телеметрии NetFlow с сетевой инфраструктуры и выстраивает профили сетевого поведения для зон и отдельных сетевых устройств. Первоначальное самообучение и настройка проходят в первые семь дней. В последующие 28 дней происходит создание профиля нормального поведения (baseline). Профили автоматически адаптируются при постепенном изменении структуры трафика.
При значительном отклонении трафика от нормального или "плохом" поведении поступит уведомление о потенциальном инциденте безопасности. При регистрации инцидента ключевыми индикаторами служат следующие параметры:
•индекс обеспокоенности (Concern Index, CI) – индикатор того, что определенный хост представляет собой источник недопустимой или аномальной активности;
•целевой индекс (Target Index, TI) – индикатор того, что хост стал возможной целью атаки или аномальной активности;
•индекс файлообмена (File Sharing Index, FSI) отслеживает потенциальную P2P-активность.
Данные индексы подсчитываются для всех сетевых хостов, находящихся под контролем Lancope StealthWatch, с учетом десятков параметров трафика. Индексы позволяют отследить, насколько аномально поведение хостов и насколько StealthWatch уверен в серьезности и достоверности данной аномалии. Индексы также позволяют устанавливать приоритет для расследования инцидентов.
Приведем пример. Если случайный прохожий, позвонив вам в дверь, сообщает, что он ошибся адресом, то нет особых причин волноваться. Но если прохожий таким же образом постучал в десятую по счету дверь, то это веский повод обеспокоиться. Индекс обеспокоенности в этой ситуации равняется 10.
Аналогично поступает и Lancope StealthWatch: в случае превышения индексами порогового значения генерируется соответствующий сигнал тревоги. В системе существует большое количество стандартных политик для генерации сигналов тревоги и предусмотрена возможность создания пользовательской политики, описывающей недопустимую активность с точки зрения конкретной организации.
Ключевое значение в работе Lancope StealthWatch имеет контекст. Протокол NetFlow обычно оперирует IP-адресами и номерами портов. Знание контекста позволяет Lancope StealthWatch понимать:
•какой пользователь и какое устройство скрывается за тем или иным IP-адресом;
•какое приложение использует данный порт;
•какова репутация IP-адреса или доменного имени, был ли интернет-хост замечен ранее в противоправной активности (например, в работе ботнета).
Lancope StealthWatch позволяет "раскрасить" безликую информацию об IP-адресах и портах, снабдив ее контекстом, что дает возможность более точно и оперативно реагировать на потенциальные угрозы.
Информация о пользователях и устройствах собирается благодаря интеграции с Cisco Identity Services Engine, имеющей интеллектуальные механизмы для идентификации типов устройств и имен пользователей в сети.
Данные о репутации интернет-хостов поступают в реальном времени из облачной базы StealthWatch Labs Intelligence Center (SLIC). База SLIC обладает динамической информацией об активных центрах управления ботнетами.
При достижении порогового значения система Lancope StealthWatch может выполнить заранее заданное действие, например, выслать SMS-уведомление администратору или отдать команду межсетевому экрану о блокировке подозрительной активности определенного хоста. В системе есть преинсталлированные скрипты для маршрутизаторов и межсетевых экранов, а также предусмотрена возможность создания пользовательских скриптов.
От чего защищаем
Решение CTD (Cyber Threat Defence) может использоваться в разных сценариях информационной безопасности для защиты от большого количества разноплановых атак. В частности, CTD выявляет и помогает блокировать следующие типы атак и аномалий, влияющих на ИБ:
•распространение вредоносного кода;
•активность ботнетов;
•DDoS-атаки;
•сетевую разведку;
•попытки несанкционированного доступа к ресурсам;
•несанкционированное накопление данных;
•попытки утечек данных;
•несанкционированное использование приложений (например, P2P, IP-телефонии);
•несанкционированную установку сервисов (например, веб-сайта);
•нарушение политик доступа и выявление брешей в конфигурации межсетевого экрана.
И, разумеется, Cyber Threat Defence может оказать помощь в расследовании киберинцидентов, изучении путей распространения вредоносного кода и векторов совершения атаки. Так как система Lancope StealthWatch агрегирует и сохраняет информацию обо всех сетевых потоках и сессиях, появляется возможность узнать, с кем и как подозрительный хост взаимодействовал в тот или иной момент времени в прошлом.
Рассмотрим механизмы работы Cyber Threat Defense на примере нашумевшей уязвимости OpenSSL HeartBleed.
Трудность выявления HearBlead заключалась в том, что при правильной эксплуатации уязвимости в логах веб-сервера не остается никаких следов работы иксплойта. Кроме того, SSL-шифрование осложняет дифференцирование нормальных и вредоносных транзакций по контенту запроса и сигнатурам. Поэтому для выявления попыток использовать уязвимость приходится ориентироваться на характеристики размеров SSL-запросов и ответов веб-сервера.
Если посмотреть на отчет Lancope StealthWatch с попытками эксплуатации HeartBleed-уязвимости на тестовой системе, то можно заметить две особенности данных транзакций. Во-первых, соотношение размера клиентского запроса и ответа примерно равняется 4,8%. Во-вторых, атаки, нацеленные на HeartBleed, скорее всего, будут создавать продолжительные сессии. Каждая транзакция Heartbleed возвращает злоумышленнику ответ с содержимым небольшого фрагмента памяти атакуемого веб-сервера. Чтобы получить интересующую информацию (приватные ключи SSL или пароли), злоумышленнику придется повторять транзакции многократно, и атака будет длиться часы. Lancope StealthWatch имеет встроенный механизм выявления долгоживущих сессий (Suspect Long Flow). По умолчанию система сигнализирует о сессиях продолжительностью более 9 ч. Но многие клиенты Lancope StealthWatch настраивают значение времени для реагирования на долгоживущие сессии в 30 мин, что позволяет оперативно выявлять HeartBleed и ему подобные атаки, направленные на утечку данных.
Таким образом, с помощью Lancope StealthWatch можно выявлять подозрительные веб-транзакции. Так как сетевая телеметрия NetFlow обычно хранится несколько месяцев, система позволяет найти попытки атак, происходивших в прошлом.
NetFlow служит отличным, но не единственным источником информации об инцидентах. Cisco Cyber Threat Defence развивается по пути интеграции дополнительных источников информации – сетевых IPS SourceFire, Cisco Advanced Malware Protection, систем фильтрации почтового и веб-контента, облачного интеллекта. Широта обзора угроз вместе с продвинутыми технологиями обработки и корреляции позволят еще точнее и быстрее реагировать на меняющийся ландшафт угроз.
Литература
1.Решение Cisco Cyber Threat Defense: получение полного представления о новейших скрытых сетевых угрозах. http://www.cisco.com/web/RU/downloads/broch/data_sheet_c78-700868.pdf.
2.Решение Cisco Cyber Threat Defense. http://www.cisco.com/web/RU/downloads/broch/at_a_glance_c45-702757.pdf.
3.Cisco Threat Defense. http://www.cisco.com/c/en/us/solutions/enterprise-networks/threat-defense/index.html.
Традиционное выявление атак на уровне сети предполагает анализ сетевого трафика по определенному набору сигнатур, соответствующих известным атакам. Этот подход требует наличия на ключевых участках сети сенсоров IDS/IPS (Intrusion Detection System/Intrusion Prevention System), призванных выявить известные "плохие" паттерны в сетевом трафике. Но данный подход в наше время уже не актуален. Во-первых, анализ сигнатур беспомощен против атак нулевого дня, продвинутых способов маскировки вредоносного кода и каналов управления ботнетами (в частности, с помощью криптографии). Во-вторых, современные целенаправленные атаки (APT, Advanced Persistent Threat) способны "обходить" традиционный периметр сети, на котором устанавливаются сенсоры, и действовать изнутри. Внутрисетевое взаимодействие между рабочими станциями и серверами обычно находится вне поля зрения IDS/IPS, поскольку установка выделенных сенсоров внутри всех сетевых сегментов и мониторинг каждой рабочей станции – задача технически сложная и дорогостоящая.
Уже около десяти лет в индустрии разрабатываются новые подходы обнаружения атак с помощью анализа поведения и анализа аномалий сетевого трафика. Если кратко, то такие системы выявляют известное "плохое поведение" устройств в сети, анализируя сетевое взаимодействие. Элементарными примерами подобного "плохого" поведения служат процесс сканирования сети и открытие большого количества TCP-сессий (Transmission Control Protocol).
Анализ аномалий выявляет существенные отклонения трафика сетевых устройств от нормального профиля трафика для данного устройства или группы устройств. Этот процесс требует обучения системы и предполагает статистический анализ для построения и обновления нормального профиля трафика. К числу аномалий относятся внезапное увеличение интернет-трафика рабочей станции или изменение его структуры, например, увеличение шифрованного SSL-трафика (Secure Sockets Layer) по сравнению с обычными ежедневными показателями для данной рабочей станции. Для выявления "плохого поведения" и аномалий в большинстве случаев достаточно проанализировать основные параметры трафика (телеметрию) (рис.1). Пристально изучать содержимое каждого пакета, как это делает IPS, нужды нет.
Каждый из этих подходов имеет свои преимущества и ограничения, они отражены в таблице. Анализы поведения и аномалий во многом перекликаются, и зачастую оба подхода используются совместно. Системы защиты, построенные на данных принципах, называются Network Behaviour Anomaly Detection (NBAD). Необходимо отметить, что системы NBAD не заменяют, а дополняют традиционные приемы IDS/IPS в части выявления сложных атак и могут использоваться одновременно. IDS/IPS фокусируются на защите периметра и критических точек сети. Системы NBAD проникают вглубь сети, собирая данные телеметрии с устройств сетевой инфраструктуры и устройств безопасности.
NetFlow – ценный источник данных телеметрии для информационной безопасности
Сетевой протокол NetFlow − отличный источник данных телеметрии для задач информационной безопасности (ИБ). NetFlow был разработан компанией Cisco для учета сетевого трафика и мониторинга в 90-е годы прошлого столетия. NetFlow собирал статистику сетевых потоков, проходящих через сетевую инфраструктуру. Под потоком понимается набор пакетов, проходящих в одном направлении и имеющих общие параметры (рис.1):
•адрес источника;
•адрес назначения;
•порт источника для UDP (User Datagram Protocol) и TCP;
•порт назначения для UDP и TCP;
•тип и код сообщения для ICMP;
•номер протокола IP;
•сетевой интерфейс;
•IP-тип сервиса.
За последние 20 лет NetFlow был преобразован в стандарт IETF (Internet Engineering Task Force), получив множество версий и расширений. NetFlow научился собирать детальную статистику о структуре трафика, размерах и характеристиках пакетов, фрагментации и прочих параметрах. В NetFlow можно добавлять информацию о приложениях, если на сетевых устройствах включен DPI (Deep Packet Inspection). NetFlow позволяет идентифицировать более 1000 приложений и, к примеру, дифференцировать обычный веб-трафик от Skype или P2P-файлообменников (Peer-to-Peer) на 80-ом порту. Статистика NetFlow может дополняться информацией о соответствии потока политике на межсетевом экране, о содержании HTTP URL (HyperText Transfer Protocol, Uniform Resource Locator) и прочими данными прикладного уровня. Таким образом, полученную от NetFlow информацию можно успешно использовать для анализа сетевого поведения и выявления угроз.
Еще одно отличие NetFlow – это широта охвата трафика. NetFlow поддерживается на всех маршрутизаторах Cisco, межсетевых экранах Cisco ASA и коммутаторах Catalyst 2960-X, 3560, 3750-X, 3850, 4500, 6500 и Nexus 7000. Совсем недавно поддержка NetFlow появилась и на сетевых интерфейсах серверов Cisco UCS (Unified Computing System), что позволяет собирать данные телеметрии серверного трафика и трафика виртуальных машин.
На коммутаторах и старших моделях маршрутизаторов работа NetFlow аппаратно ускоряется, что минимизирует влияние этого протокола на производительность устройства. Таким образом, NetFlow может собирать данные телеметрии и обеспечивать обнаружение атак на всех участках сети – от уровня доступа и центра обработки данных (ЦОД) до удаленного филиала. Этот протокол позволяет оценить поведение отдельно взятой рабочей станции и сервера без установки программного агента, используя только функционал инфраструктуры.
NetFlow может учитывать каждый обрабатываемый пакет, предоставляя детальный анализ всего трафика. Это отличает данное решение от аналогичных протоколов (таких как sFlow), которые умеют собирать только агрегированную статистику (Sampled Flow), анализируя каждый n-й пакет. Агрегированный и полный NetFlow можно сравнить с чтением каждой n-й страницы книги и внимательным, построчным чтением. Агрегированная статистика дает быстрый взгляд на трафик, но хуже подходит для задач информационной безопасности. Полный NetFlow дает исчерпывающий обзор сетевой активности с точки зрения возможных угроз.
Решение Cisco для защиты от киберугроз
Решение для защиты от киберугроз CTD (Cyber Threat Defence) состоит из:
•сетевой инфраструктуры (коммутаторы, маршрутизаторы, межсетевые экраны) с поддержкой протокола NetFlow;
•системы анализа сетевого трафика Lancope StealthWatch;
•опциональных компонентов, снабжающих систему анализа информацией о контексте.
Продукт StealthWatch, разработанный компанией Lancope в партнерстве с Cisco, − одно из старейших решений на рынке NBAD-систем. Основные компоненты системы Lancope StealthWatch (рис.2):
•FlowCollector – физическое или виртуальное устройство, собирающее данные NetFlow;
◦консоль управления StealthWatch Management Console – физическое или виртуальное устройство, которое объединяет, коррелирует и визуализирует данные телеметрии, собранные с разных FlowCollector.
Дополнительные компоненты системы Lancope StealthWatch:
•FlowSensor – физическое или виртуальное устройство, которое позволяет собрать данные NetFlow с сетевых устройств, не поддерживающих NetFlow. FlowSensor умеет, получив копию сетевого трафика, генерировать соответствующую NetFlow-статистику;
•FlowReplicator – физическое устройство, которое собирает данные NetFlow и может продублировать их одновременно нескольким получателям.
Объединяем телеметрию и контекст
На начальном этапе в StealthWatch Management Console необходимо описать зоны, из которых состоит сеть организации. Такими зонами могут быть:
•локальная сеть;
•филиалы;
•рабочие станции, объединенные по назначению или местоположению;
•серверы, сгруппированные по доступным сервисам и приложениям и т.д.
Зоны могут быть вложены друг в друга: так, зона ЦОД включает зоны для приложений, например, веб-, почтовые и DNS-серверы (Domain Name System), ERP (Enterprise Resource Planning). Зона веб-серверов в свою очередь разбивается на зоны внешних и внутренних веб-серверов.
Чем точнее будет проведена сегментация сети, тем лучше StealthWatch сможет анализировать данные телеметрии и поведение устройств. Эта система сама помогает определить вероятное назначение устройств и их принадлежность к определенной зоне. Например, сервер, служащий источником веб-трафика, StealthWatch предложит отнести к группе веб-серверов.
На следующем этапе StealthWatch Collector собирает данные телеметрии NetFlow с сетевой инфраструктуры и выстраивает профили сетевого поведения для зон и отдельных сетевых устройств. Первоначальное самообучение и настройка проходят в первые семь дней. В последующие 28 дней происходит создание профиля нормального поведения (baseline). Профили автоматически адаптируются при постепенном изменении структуры трафика.
При значительном отклонении трафика от нормального или "плохом" поведении поступит уведомление о потенциальном инциденте безопасности. При регистрации инцидента ключевыми индикаторами служат следующие параметры:
•индекс обеспокоенности (Concern Index, CI) – индикатор того, что определенный хост представляет собой источник недопустимой или аномальной активности;
•целевой индекс (Target Index, TI) – индикатор того, что хост стал возможной целью атаки или аномальной активности;
•индекс файлообмена (File Sharing Index, FSI) отслеживает потенциальную P2P-активность.
Данные индексы подсчитываются для всех сетевых хостов, находящихся под контролем Lancope StealthWatch, с учетом десятков параметров трафика. Индексы позволяют отследить, насколько аномально поведение хостов и насколько StealthWatch уверен в серьезности и достоверности данной аномалии. Индексы также позволяют устанавливать приоритет для расследования инцидентов.
Приведем пример. Если случайный прохожий, позвонив вам в дверь, сообщает, что он ошибся адресом, то нет особых причин волноваться. Но если прохожий таким же образом постучал в десятую по счету дверь, то это веский повод обеспокоиться. Индекс обеспокоенности в этой ситуации равняется 10.
Аналогично поступает и Lancope StealthWatch: в случае превышения индексами порогового значения генерируется соответствующий сигнал тревоги. В системе существует большое количество стандартных политик для генерации сигналов тревоги и предусмотрена возможность создания пользовательской политики, описывающей недопустимую активность с точки зрения конкретной организации.
Ключевое значение в работе Lancope StealthWatch имеет контекст. Протокол NetFlow обычно оперирует IP-адресами и номерами портов. Знание контекста позволяет Lancope StealthWatch понимать:
•какой пользователь и какое устройство скрывается за тем или иным IP-адресом;
•какое приложение использует данный порт;
•какова репутация IP-адреса или доменного имени, был ли интернет-хост замечен ранее в противоправной активности (например, в работе ботнета).
Lancope StealthWatch позволяет "раскрасить" безликую информацию об IP-адресах и портах, снабдив ее контекстом, что дает возможность более точно и оперативно реагировать на потенциальные угрозы.
Информация о пользователях и устройствах собирается благодаря интеграции с Cisco Identity Services Engine, имеющей интеллектуальные механизмы для идентификации типов устройств и имен пользователей в сети.
Данные о репутации интернет-хостов поступают в реальном времени из облачной базы StealthWatch Labs Intelligence Center (SLIC). База SLIC обладает динамической информацией об активных центрах управления ботнетами.
При достижении порогового значения система Lancope StealthWatch может выполнить заранее заданное действие, например, выслать SMS-уведомление администратору или отдать команду межсетевому экрану о блокировке подозрительной активности определенного хоста. В системе есть преинсталлированные скрипты для маршрутизаторов и межсетевых экранов, а также предусмотрена возможность создания пользовательских скриптов.
От чего защищаем
Решение CTD (Cyber Threat Defence) может использоваться в разных сценариях информационной безопасности для защиты от большого количества разноплановых атак. В частности, CTD выявляет и помогает блокировать следующие типы атак и аномалий, влияющих на ИБ:
•распространение вредоносного кода;
•активность ботнетов;
•DDoS-атаки;
•сетевую разведку;
•попытки несанкционированного доступа к ресурсам;
•несанкционированное накопление данных;
•попытки утечек данных;
•несанкционированное использование приложений (например, P2P, IP-телефонии);
•несанкционированную установку сервисов (например, веб-сайта);
•нарушение политик доступа и выявление брешей в конфигурации межсетевого экрана.
И, разумеется, Cyber Threat Defence может оказать помощь в расследовании киберинцидентов, изучении путей распространения вредоносного кода и векторов совершения атаки. Так как система Lancope StealthWatch агрегирует и сохраняет информацию обо всех сетевых потоках и сессиях, появляется возможность узнать, с кем и как подозрительный хост взаимодействовал в тот или иной момент времени в прошлом.
Рассмотрим механизмы работы Cyber Threat Defense на примере нашумевшей уязвимости OpenSSL HeartBleed.
Трудность выявления HearBlead заключалась в том, что при правильной эксплуатации уязвимости в логах веб-сервера не остается никаких следов работы иксплойта. Кроме того, SSL-шифрование осложняет дифференцирование нормальных и вредоносных транзакций по контенту запроса и сигнатурам. Поэтому для выявления попыток использовать уязвимость приходится ориентироваться на характеристики размеров SSL-запросов и ответов веб-сервера.
Если посмотреть на отчет Lancope StealthWatch с попытками эксплуатации HeartBleed-уязвимости на тестовой системе, то можно заметить две особенности данных транзакций. Во-первых, соотношение размера клиентского запроса и ответа примерно равняется 4,8%. Во-вторых, атаки, нацеленные на HeartBleed, скорее всего, будут создавать продолжительные сессии. Каждая транзакция Heartbleed возвращает злоумышленнику ответ с содержимым небольшого фрагмента памяти атакуемого веб-сервера. Чтобы получить интересующую информацию (приватные ключи SSL или пароли), злоумышленнику придется повторять транзакции многократно, и атака будет длиться часы. Lancope StealthWatch имеет встроенный механизм выявления долгоживущих сессий (Suspect Long Flow). По умолчанию система сигнализирует о сессиях продолжительностью более 9 ч. Но многие клиенты Lancope StealthWatch настраивают значение времени для реагирования на долгоживущие сессии в 30 мин, что позволяет оперативно выявлять HeartBleed и ему подобные атаки, направленные на утечку данных.
Таким образом, с помощью Lancope StealthWatch можно выявлять подозрительные веб-транзакции. Так как сетевая телеметрия NetFlow обычно хранится несколько месяцев, система позволяет найти попытки атак, происходивших в прошлом.
NetFlow служит отличным, но не единственным источником информации об инцидентах. Cisco Cyber Threat Defence развивается по пути интеграции дополнительных источников информации – сетевых IPS SourceFire, Cisco Advanced Malware Protection, систем фильтрации почтового и веб-контента, облачного интеллекта. Широта обзора угроз вместе с продвинутыми технологиями обработки и корреляции позволят еще точнее и быстрее реагировать на меняющийся ландшафт угроз.
Литература
1.Решение Cisco Cyber Threat Defense: получение полного представления о новейших скрытых сетевых угрозах. http://www.cisco.com/web/RU/downloads/broch/data_sheet_c78-700868.pdf.
2.Решение Cisco Cyber Threat Defense. http://www.cisco.com/web/RU/downloads/broch/at_a_glance_c45-702757.pdf.
3.Cisco Threat Defense. http://www.cisco.com/c/en/us/solutions/enterprise-networks/threat-defense/index.html.
Отзывы читателей
