Блог экспертов: использование инструментов с открытым исходным кодом для анализа сетевого трафика
Автор: Давид Балабан
Мониторинг сетевого трафика является особенно важным вопросом в наши дни, особенно с учетом условий удаленной работы, навязанных пандемией COVID-19. Современные вредоносные программы успешно обходят методы белого списка и могут эффективно скрывать свое присутствие в системе. Давайте поговорим о том, как подойти к сложной задаче мониторинга сети.
Сегодня, когда политические ИТ-границы становятся более четкими (такие страны, как Китай или Россия, пытаются создать свои собственные экосистемы, включающие независимый Интернет, специальные услуги и программное обеспечение) в корпоративной среде, процесс идет с точностью до наоборот. Периметры все больше растворяются в сфере информации, вызывая сильнейшие головные боли. кибербезопасность менеджеры.
Проблемы вокруг. Специалисты по кибербезопасности приходится сталкиваться с трудностями удаленной работы со своей средой и надежными устройствами, а также с теневой инфраструктурой — Shadow IT. По другую сторону баррикад у нас появляются все более изощренные модели цепей убийств и тщательного сокрытия вторжений и присутствия в сети.
Стандартные инструменты мониторинга кибербезопасности не всегда могут дать полную картину происходящего. Это побуждает нас искать дополнительные источники информации, например анализ сетевого трафика.
Увеличение ИТ-тени
Концепция «Принесите свое собственное устройство» (личные устройства, используемые в корпоративной среде) была внезапно заменена на «Работа с домашнего устройства» (корпоративная среда, переносимая на личные устройства).
Сотрудники используют персональные компьютеры для доступа к своему виртуальному рабочему месту и электронной почте. Я использую личный телефон для многофакторной аутентификации. Все их устройства подключены к домашней сети, которой не доверяют, на нулевом расстоянии от возможно зараженных компьютеров или Интернета вещей. Все эти факторы заставляют сотрудников службы безопасности менять свои методы, а иногда и прибегать к радикализму Zero Trust.
С появлением микросервисы, Рост теневых ИТ усилился. У организаций нет ресурсов для оснащения легальных рабочих станций средствами защиты от вирусов и обнаружения и обработки угроз (EDR), а также для отслеживания этого покрытия. Темный уголок инфраструктуры становится настоящим «адом»,
который не сигнализирует о событиях информационной безопасности или зараженных объектах. Эта область неопределенности существенно затрудняет реагирование на возникающие инциденты.
Для всех, кто хочет понять, что происходит с информационной безопасностью, SIEM он стал краеугольным камнем. Однако SIEM — не всевидящее око. Также исчезло головокружение SIEM. SIEM из-за своих ресурсов и логических ограничений видит только те вещи, которые отправляются ему из ограниченного числа источников, которые также подвержены отключению хакерами.
Увеличилось количество вредоносных установщиков, использующих легитимные утилиты, уже расположенные на хосте: wmic.exe, rgsvr32.exe, hh.exe и многие другие.
В результате процесс установка вредоносной программы происходит в несколько итераций, объединяющих обращения в юридические службы. Поэтому средства автоматического обнаружения не всегда могут объединить их в цепочку установки опасного объекта в системе.
Получив стойкость на зараженной рабочей станции, злоумышленники очень аккуратно скрывают свои действия в системе. В частности, с логированием работает «умно». Например, он не только очищает журналы, но и перенаправляет их во временный файл, выполняет вредоносные действия, а затем возвращает поток журнала в предыдущее состояние. Таким образом, им удается избежать запуска сценария «Файл журнала очищен» на SIEM.
Threat Intelligence не может идентифицировать все серверы C2. Для целевой атаки формируется новая инфраструктура с уникальными IP-адресами, которые до сих пор не использовались. Вредоносные программы быть постоянно компилироваться. Кроме того, уникальные индикаторы атак IoT часто попадают в потоки данных об угрозах. В этом случае еда становится бесполезной.
Текущее состояние мониторинга сети
В настоящее время у организаций есть несколько вариантов мониторинг сетевой активности. Это может включать NGFW или UTM с модулем IDS и различные события сетевой активности, отправляемые в SIEM.
В каждом из вариантов остро стоит вопрос производительности. В NGFW и UTM из-за большой нагрузки модуль IDS часто просто отключается. Кроме того, когда мы говорим о средствах обнаружения атак, мы часто имеем в виду анализ сигнатур. Однако современные злоумышленники уже знают, как обойти такие меры. Наиболее Сервис, похожий на программу-вымогатель платформы, эта опция уже включена.
В случае SIEM, который уже обрабатывает значительное количество событий в секунду из несетевых источников, вам часто приходится жертвовать некоторыми правилами или увеличивать стоимость аппаратных ресурсов.
Эти причины подводят нас к мысли о необходимости отдельного решения для поставки мониторинг и анализ сети как по периметру, так и внутри различных сегментов корпоративной сети. Основными областями кибербезопасности, для которых требуется такое решение, являются обнаружение атак и цифровая криминалистика.
Использование решений с открытым исходным кодом для мониторинга сети
Сегодня существует как минимум три отличных решения с открытым исходным кодом, которые можно использовать для мониторинга сетевой активности.
- Система обнаружения вторжений (IDS) — Meerkat представляет собой мощный IDS, IPS и механизм мониторинга сетевой безопасности. Meerkat разработан Open Information Foundation (OISF) и его поставщиками поддержки.
- Углубленная проверка упаковки (IPR) — Zeek — это платформа для анализа трафика и IDS, ориентированная в первую очередь на отслеживание событий безопасности, но не ограничиваясь этим. Предусмотрены различные модули для анализа и анализа различных сетевых протоколов на уровне приложений, которые учитывают состояние соединений и позволяют формировать подробный журнал (архив) сетевой активности. Пользователи могут использовать объектно-ориентированный язык для создания сценариев мониторинга и обнаружения аномалий с учетом специфики своей инфраструктуры. Система оптимизирована для использования в сетях с высокой пропускной способностью. Предоставляется API для интеграции со сторонними системами и обмена данными в реальном времени.
- Полная система захвата пакетов — Аркиме может анализировать и индексировать миллиарды сетевых сеансов, предоставляя чрезвычайно быстрое и простое веб-приложение для навигации по огромным коллекциям файлов PCAP, включая IP, ASN, имя хоста, URL и т. д. Может использоваться для мониторинга трафика в реальном времени. Его также можно использовать в качестве инструмента сетевой криминалистики при расследовании инцидентов.
Давайте рассмотрим несколько примеров, в которых мы можем использовать эти инструменты с открытым исходным кодом.
Обнаружение
Обнаружение вредоносной активности зависит от типа инструментов, используемых злоумышленником. Вот несколько примеров.
- Известные хакерские утилиты: Это, в частности, эксплойты для Windows RDP (например, CVE-2019-0708, Уязвимость Blue Keep), которая используется в законных процессах. События SEIM позволяют нам обнаруживать их только косвенно. Однако, если вы используете анализ транзитного трафика (Meerkat), очень возможно выявить использование известных уязвимостей.
- Вредоносное ПО, модифицированное собственными протоколами: Для обнаружения вредоносных программ вам необходимо использовать алгоритмы для обнаружения скрытых туннелей DNS, SMTP, HTTP и ICMP, которые злоумышленники используют для кражи данных, для связи между C&C серверами и агентом, а также для скрывает активность от средств защиты. Помимо поиска скрытых туннелей, система сетевого мониторинга должна иметь возможность создавать и использовать свои собственные алгоритмы для выявления сходств, которые сочетаются со статистическими методами, как это сделано в Zeek.
- Инструменты удаленного управления (RAT) и протоколы управления — SSH, RDP: Злоумышленники часто используют разрешенные в системе законные утилиты удаленного администрирования. Также есть необходимость контролировать использование VPN-туннелей, прокси-серверов. TOR, обмен мгновенными сообщениями — все, что обычно запрещено политиками информационной безопасности в крупных компаниях.
изучение
Помимо реагирования на компьютерные атаки в реальном времени, есть еще много препятствий для расследования инцидентов кибербезопасности. Опытные злоумышленники не забывают стирать логи и скрывать свои действия в инфраструктуре жертвы.
Новый источник данных необходим для исследования или проверки существующих гипотез. И этот источник данных часто можно найти в сетевом трафике. Для проведения расследования вам необходим инструмент, который может использовать существующие PCAP, который можно быстро развернуть в клиентской инфраструктуре, заранее накапливать весь трафик, проходящий через сеть, и быстро предоставлять информацию о том, что происходит. . Этот функционал очень удобно реализован в Arkime.
Заключение
Учитывая проблемы, описанные выше, становится ясно, что инструменты Уровень EDR (но сетевые) — отчеты о недоставке) необходимы для обнаружения действий злоумышленников в пределах периметра, которые не только содержат правила Meerkat 90-х годов, но также отвечают современным требованиям для обнаружения угроз, углубленного анализа трафика, сбора и хранения данных для расследование и ретроспективное исследование.
Такой набор функций могут реализовать даже компании, построив систему на основе описанных здесь решений с открытым исходным кодом. Используя упомянутые выше инструменты, можно получить функциональные возможности, которые объединены в относительно новый класс решений кибербезопасности, называемый Анализ сетевого трафика (NTA). Gartner называет этот класс решений одним из краеугольных камней современного SOC, наряду с SIEM и EDR.
Реализация программы Система НТА это логичный и естественный процесс. Однако для этого требуется высокий уровень подготовки сотрудников и руководства, чего, учитывая растущую нехватку кадров, часто бывает трудно достичь. Классическим решением может быть получение NTA на основе модели MSSP.