Блог экспертов: использование инструментов с открытым исходным кодом для анализа сетевого трафика

Блог экспертов: использование инструментов с открытым исходным кодом для анализа сетевого трафика


Бит ниндзя

Дэвид БалабанАвтор: Давид Балабан

Мониторинг сетевого трафика является особенно важным вопросом в наши дни, особенно с учетом условий удаленной работы, навязанных пандемией COVID-19. Современные вредоносные программы успешно обходят методы белого списка и могут эффективно скрывать свое присутствие в системе. Давайте поговорим о том, как подойти к сложной задаче мониторинга сети.

Сегодня, когда политические ИТ-границы становятся более четкими (такие страны, как Китай или Россия, пытаются создать свои собственные экосистемы, включающие независимый Интернет, специальные услуги и программное обеспечение) в корпоративной среде, процесс идет с точностью до наоборот. Периметры все больше растворяются в сфере информации, вызывая сильнейшие головные боли. кибербезопасность менеджеры.

Проблемы вокруг. Специалисты по кибербезопасности приходится сталкиваться с трудностями удаленной работы со своей средой и надежными устройствами, а также с теневой инфраструктурой — Shadow IT. По другую сторону баррикад у нас появляются все более изощренные модели цепей убийств и тщательного сокрытия вторжений и присутствия в сети.

Стандартные инструменты мониторинга кибербезопасности не всегда могут дать полную картину происходящего. Это побуждает нас искать дополнительные источники информации, например анализ сетевого трафика.

Увеличение ИТ-тени

Концепция «Принесите свое собственное устройство» (личные устройства, используемые в корпоративной среде) была внезапно заменена на «Работа с домашнего устройства» (корпоративная среда, переносимая на личные устройства).

Сотрудники используют персональные компьютеры для доступа к своему виртуальному рабочему месту и электронной почте. Я использую личный телефон для многофакторной аутентификации. Все их устройства подключены к домашней сети, которой не доверяют, на нулевом расстоянии от возможно зараженных компьютеров или Интернета вещей. Все эти факторы заставляют сотрудников службы безопасности менять свои методы, а иногда и прибегать к радикализму Zero Trust.

С появлением микросервисы, Рост теневых ИТ усилился. У организаций нет ресурсов для оснащения легальных рабочих станций средствами защиты от вирусов и обнаружения и обработки угроз (EDR), а также для отслеживания этого покрытия. Темный уголок инфраструктуры становится настоящим «адом»,

который не сигнализирует о событиях информационной безопасности или зараженных объектах. Эта область неопределенности существенно затрудняет реагирование на возникающие инциденты.

Для всех, кто хочет понять, что происходит с информационной безопасностью, SIEM он стал краеугольным камнем. Однако SIEM — не всевидящее око. Также исчезло головокружение SIEM. SIEM из-за своих ресурсов и логических ограничений видит только те вещи, которые отправляются ему из ограниченного числа источников, которые также подвержены отключению хакерами.

Узнайте как:   Это лучший хостинг в Канаде?

Увеличилось количество вредоносных установщиков, использующих легитимные утилиты, уже расположенные на хосте: wmic.exe, rgsvr32.exe, hh.exe и многие другие.

В результате процесс установка вредоносной программы происходит в несколько итераций, объединяющих обращения в юридические службы. Поэтому средства автоматического обнаружения не всегда могут объединить их в цепочку установки опасного объекта в системе.

Получив стойкость на зараженной рабочей станции, злоумышленники очень аккуратно скрывают свои действия в системе. В частности, с логированием работает «умно». Например, он не только очищает журналы, но и перенаправляет их во временный файл, выполняет вредоносные действия, а затем возвращает поток журнала в предыдущее состояние. Таким образом, им удается избежать запуска сценария «Файл журнала очищен» на SIEM.

Threat Intelligence не может идентифицировать все серверы C2. Для целевой атаки формируется новая инфраструктура с уникальными IP-адресами, которые до сих пор не использовались. Вредоносные программы быть постоянно компилироваться. Кроме того, уникальные индикаторы атак IoT часто попадают в потоки данных об угрозах. В этом случае еда становится бесполезной.

Текущее состояние мониторинга сети

В настоящее время у организаций есть несколько вариантов мониторинг сетевой активности. Это может включать NGFW или UTM с модулем IDS и различные события сетевой активности, отправляемые в SIEM.

В каждом из вариантов остро стоит вопрос производительности. В NGFW и UTM из-за большой нагрузки модуль IDS часто просто отключается. Кроме того, когда мы говорим о средствах обнаружения атак, мы часто имеем в виду анализ сигнатур. Однако современные злоумышленники уже знают, как обойти такие меры. Наиболее Сервис, похожий на программу-вымогатель платформы, эта опция уже включена.

В случае SIEM, который уже обрабатывает значительное количество событий в секунду из несетевых источников, вам часто приходится жертвовать некоторыми правилами или увеличивать стоимость аппаратных ресурсов.

Эти причины подводят нас к мысли о необходимости отдельного решения для поставки мониторинг и анализ сети как по периметру, так и внутри различных сегментов корпоративной сети. Основными областями кибербезопасности, для которых требуется такое решение, являются обнаружение атак и цифровая криминалистика.

Узнайте как:   Автономная база данных Oracle теперь доступна в центрах обработки данных клиентов

Использование решений с открытым исходным кодом для мониторинга сети

Сегодня существует как минимум три отличных решения с открытым исходным кодом, которые можно использовать для мониторинга сетевой активности.

  1. Система обнаружения вторжений (IDS) — Meerkat представляет собой мощный IDS, IPS и механизм мониторинга сетевой безопасности. Meerkat разработан Open Information Foundation (OISF) и его поставщиками поддержки.
  2. Углубленная проверка упаковки (IPR) — Zeek — это платформа для анализа трафика и IDS, ориентированная в первую очередь на отслеживание событий безопасности, но не ограничиваясь этим. Предусмотрены различные модули для анализа и анализа различных сетевых протоколов на уровне приложений, которые учитывают состояние соединений и позволяют формировать подробный журнал (архив) сетевой активности. Пользователи могут использовать объектно-ориентированный язык для создания сценариев мониторинга и обнаружения аномалий с учетом специфики своей инфраструктуры. Система оптимизирована для использования в сетях с высокой пропускной способностью. Предоставляется API для интеграции со сторонними системами и обмена данными в реальном времени.
  3. Полная система захвата пакетовАркиме может анализировать и индексировать миллиарды сетевых сеансов, предоставляя чрезвычайно быстрое и простое веб-приложение для навигации по огромным коллекциям файлов PCAP, включая IP, ASN, имя хоста, URL и т. д. Может использоваться для мониторинга трафика в реальном времени. Его также можно использовать в качестве инструмента сетевой криминалистики при расследовании инцидентов.

Давайте рассмотрим несколько примеров, в которых мы можем использовать эти инструменты с открытым исходным кодом.

Обнаружение

Обнаружение вредоносной активности зависит от типа инструментов, используемых злоумышленником. Вот несколько примеров.

  • Известные хакерские утилиты: Это, в частности, эксплойты для Windows RDP (например, CVE-2019-0708, Уязвимость Blue Keep), которая используется в законных процессах. События SEIM позволяют нам обнаруживать их только косвенно. Однако, если вы используете анализ транзитного трафика (Meerkat), очень возможно выявить использование известных уязвимостей.
  • Вредоносное ПО, модифицированное собственными протоколами: Для обнаружения вредоносных программ вам необходимо использовать алгоритмы для обнаружения скрытых туннелей DNS, SMTP, HTTP и ICMP, которые злоумышленники используют для кражи данных, для связи между C&C серверами и агентом, а также для скрывает активность от средств защиты. Помимо поиска скрытых туннелей, система сетевого мониторинга должна иметь возможность создавать и использовать свои собственные алгоритмы для выявления сходств, которые сочетаются со статистическими методами, как это сделано в Zeek.
  • Инструменты удаленного управления (RAT) и протоколы управления — SSH, RDP: Злоумышленники часто используют разрешенные в системе законные утилиты удаленного администрирования. Также есть необходимость контролировать использование VPN-туннелей, прокси-серверов. TOR, обмен мгновенными сообщениями — все, что обычно запрещено политиками информационной безопасности в крупных компаниях.
Узнайте как:   Управление хостингом VPS в Южной Корее с помощью сервера Onlive

изучение

Помимо реагирования на компьютерные атаки в реальном времени, есть еще много препятствий для расследования инцидентов кибербезопасности. Опытные злоумышленники не забывают стирать логи и скрывать свои действия в инфраструктуре жертвы.

Новый источник данных необходим для исследования или проверки существующих гипотез. И этот источник данных часто можно найти в сетевом трафике. Для проведения расследования вам необходим инструмент, который может использовать существующие PCAP, который можно быстро развернуть в клиентской инфраструктуре, заранее накапливать весь трафик, проходящий через сеть, и быстро предоставлять информацию о том, что происходит. . Этот функционал очень удобно реализован в Arkime.

Заключение

Учитывая проблемы, описанные выше, становится ясно, что инструменты Уровень EDR (но сетевые) — отчеты о недоставке) необходимы для обнаружения действий злоумышленников в пределах периметра, которые не только содержат правила Meerkat 90-х годов, но также отвечают современным требованиям для обнаружения угроз, углубленного анализа трафика, сбора и хранения данных для расследование и ретроспективное исследование.

Такой набор функций могут реализовать даже компании, построив систему на основе описанных здесь решений с открытым исходным кодом. Используя упомянутые выше инструменты, можно получить функциональные возможности, которые объединены в относительно новый класс решений кибербезопасности, называемый Анализ сетевого трафика (NTA). Gartner называет этот класс решений одним из краеугольных камней современного SOC, наряду с SIEM и EDR.

Реализация программы Система НТА это логичный и естественный процесс. Однако для этого требуется высокий уровень подготовки сотрудников и руководства, чего, учитывая растущую нехватку кадров, часто бывает трудно достичь. Классическим решением может быть получение NTA на основе модели MSSP.

phoenixNAP

admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *