Системи NTA виявляють загрози інформаційній безпеці, аналізуючи події на рівні мережі.
Вони дозволяють фахівцям із безпеки виявляти напади на ранній стадії, ефективно
ізолювати загрози та забезпечувати дотримання вказівок щодо безпеки.Важливо стежити за безпекою мережі, щоб запобігти хакерам здійснювати атаку всередині мережі. Тут починають грати системи NTA.
Системи NTA виявляють напади за допомогою комбінації інструментів, які включають машинне навчання, аналіз поведінки, показники компромісу та ретроспективний аналіз. За допомогою цих інструментів напади можна запобігти як по периметру мережі, так і у випадках, коли зловмисник уже отримав доступ до мережевої інфраструктури.
Незабаром після того, як почали з’являтися центри оперативної інформації з інформаційної безпеки (SOCs), стало зрозуміло, що даних недостатньо для ефективного моніторингу та виявлення загроз. Системи SIEM, які збирають дані журналу з найрізноманітніших джерел, виявляються погано оснащеними для виявлення атак, антивірусні системи легко піддаються обробці, а системи виявлення та реагування на кінцеві точки важко застосувати у всій
інфраструктурі - вони неминуче залишаються сліпі плями. Однак НТА може компенсувати ці недоліки.
Аналітичне та дослідницьке агентство Gartner включило NTA у тріаду видимості SOC разом із системами SIEM та EDR. Ці системи працюють разом, щоб значно знизити ймовірність успішних інфраструктурних атак. Якщо зловмиснику вдасться залишатись невизначеним системами EDR та SIEM, тим не менше його діяльність буде помітна для систем NTA, як тільки він підключиться до системи внутрішньої мережі.
Дослідження та огляди клієнтів свідчать про ефективність систем NTA. Багато клієнтів
Gartner повідомили, що інструменти NTA виявили підозрілий мережевий трафік, пропущений
іншими інструментами безпеки периметра. Інститут SANS визначив рішення NTA як одну з провідних технологій виявлення загроз, підкресливши, що СОК у всьому світі були задоволені результатами систем NTA.Використання систем NTA
Виявлення атак - не єдина перевага систем NTA. Вони також можуть бути використані для ретроспективного відстеження розвитку атак та викладення хронології їх прогресування, а також для виділення загроз та компенсації уразливості. Наприклад, виявивши підозрілу спробу підключення до контролера домену від несанкціонованого вузла, можна переглянути
історію мережевої активності з цього вузла та переконатися, що він не був джерелом будь- яких інших подібних спроб з'єднання. Інші спроби з'єднання є ймовірною ознакою організованої та умисної атаки. Система NTA позитивних технологій, PT Network Attack
Discovery (PT NAD), записує необроблені дані про трафік і відстежує 1200 параметрів сеансу, що дозволяє вкрай специфічні запити фільтрів і своєчасно виявляти підозрілі сеанси.
В умовах погроз за допомогою інструментів NTA можна використовувати для перевірки та заперечення гіпотез про вторгнення в мережу. Візьмемо такий приклад: аналітик безпеки припускає, що зловмисник порушив системну інфраструктуру. Для підтвердження цієї гіпотези аналітик безпеки аналізує всю активність доменної мережі, оскільки зловмисник буде змушений проводити розвідку в Active Directory для того, щоб здійснити атаку. Якщо будуть виявлені будь-які підозрілі запити (наприклад, запити, що використовують LDAP (легкий протокол доступу до каталогу)), підозри аналітика будуть підтверджені та може бути проведено більш детальне розслідування.
Рішення NTA також можуть бути використані для забезпечення дотримання інструкцій щодо захисту інформації. Розслідуючи інциденти та аналізуючи дані про трафік, ми часто виявляємо неправильні конфігурації та порушення правил керівництва корпоративною безпекою. 81 відсоток організацій відкрито повідомляє паролі, 67 відсотків використовують засоби віддаленого доступу, а в 44 відсотках співробітники організацій використовують однорангові передачі даних, наприклад, для завантаження торентів. Усі ці дії значно збільшують шанс того, що зловмисник успішно скомпрометує мережу та здійснить атаку.
PT NAD ідентифікує понад 50 протоколів та аналізує 30 найпоширеніших протоколів до рівня
L7 та включає його. Це забезпечує системним операторам детальне розуміння того, що відбувається в їхній мережі, і дозволяє їм бачити всі дані, які відкрито передаються в мережі.
За допомогою фільтра можна налаштувати віджет для відображення всіх відкритих облікових записів (див. Малюнок нижче). Сеанси, в яких відкрито передавались дані, можуть переглядатись, а також адреси вихідних вузлів та кінцевих вузлів. Це дає інженерам з безпеки всі необхідні інструменти для покращення ситуації.Системи NTA можуть використовуватися в набагато ширшому наборі контекстів, ніж інші системи, що аналізують трафік. Використовуючи NTA, фахівці з інформаційної безпеки можуть виявляти атаки в межах мереж, а також по периметру мережі, можуть контролювати відповідність мережі, розслідувати інциденти безпеки та усунути потенційні загрози. Це можливо завдяки наступним особливостям:
Моніторинг трафіку як між корпоративними мережами та Інтернетом, так і всередині організаційних мереж
Технологія виявлення загроз, розроблена спеціально для виявлення загроз у мережевих периметрах
Корисне зберігання метаданих.
Аналіз мережевого трафіку як основа для моніторингу
Моніторинг завжди спирався як на мережеве адміністрування, так і на аналіз мережевого трафіку. Обидва поля надають способи отримання даних, що дозволяє нам отримати
інформацію про загальний стан платформи.
Неважко зрозуміти, що стикаючись, наприклад, з проблемою продуктивності програми, ми хочемо мати змогу спостерігати та оцінювати генерований трафік, і саме це робить аналіз мережевого трафіку.
Цей природний перший імпульс спостерігати за трафіком фактично виправданий, оскільки аналіз трафіку виявився корисним при виявленні таких проблем, як помилки конфігурації, погіршення роботи сервера, проблеми із затримкою в деяких мережевих компонентах та багато інших умов помилок.
Два способи зробити аналіз мережевого трафіку
Існує щонайменше два способи проведення аналізу мережевого трафіку: аналіз пакетів та аналіз потоку мережевого трафіку.
В обох методах, звичайно, мета однакова: отримати інформацію про мережевий трафік, яка може бути представлена в інтерфейсі, що полегшує її оцінку.
Відмінності між однією формою та іншою зосереджені у використаній методиці.
Аналіз пакетів дає можливість оцінювати мережевий трафік від пакета до пакету, тоді як аналіз потоку спрямований на збір метаданих або інформації про трафік та полегшення статистичного аналізу
Про аналіз пакетів
Аналіз пакетів базується на застосуванні методів захоплення, таких як конфігурація портів
SPAN (Switch Port Analyzer) або встановлення обладнання, такого як TAP (Terminal Network
TAP) для доступу до мережевого трафіку.
Насправді пристрої TAP були розроблені для покриття певних недоліків, які виникають при застосуванні портів SPAN, таких як залежність від ресурсів обробки комутатора, де вони налаштовані, і делікатна залежність між кількістю трафіку, який ми маємо намір захопити, і потужністю Сам порт SPAN.
Якщо ви зацікавлені у визначенні зручностей портів SPAN та мережевих TAP, радимо статтю, опубліковану в цьому блозі, яка заглиблюється у захоплення пакетів за допомогою мережевих TAP.
Після того, як питання захоплення вирішено, виникають два дуже важливих питання:
Зберігання трафіку: справа в тому, чи можемо ми робити аналіз у режимі реального часу чи за відкладений час, а також вартість зберігання, яку передбачає аналіз.
Вибір пакетів, які ми хочемо оцінити: для вирішення цього питання інструменти, що реалізують аналіз пакетів, зазвичай пропонують багато засобів, які дозволяють нам обирати та вибирати пакети, які ми хочемо оцінити.
Змінні, що вибираються, як правило, множинні, від вихідних та цільових IP-адрес до наявності певної послідовності байтів у пакетах.
Ще один важливий момент, який слід зазначити з точки зору аналізу пакетів, - це обробка, надана частині даних пакетів.
Традиційний аналіз пакетів підтримується при перегляді заголовків, залишаючи без візуалізації частину, відповідну даним.
Цей підхід має три виправдання:
Оцінюючи заголовки, існує багато інформації, про яку можна зробити висновок.
Обминаючи частину даних, витрати на зберігання зберігаються на відстані.
Частина даних зазвичай містить конфіденційну інформацію як для користувачів, так і для організації, тому її оцінка може призвести до порушення правил безпеки та захисту даних.
Однак протягом багатьох років Інтернет-трафік оцінювали за принципами методики, відомої як глибока перевірка пакетів.
Глибока перевірка пакетів передбачає огляд та оцінку заголовків та частини даних пакетів.
Останнім часом його застосування вийшло за межі Інтернет-трафіку і перейшло до ділового трафіку, звичайно, маючи багато суперечок щодо можливих ризиків для конфіденційності даних.
Якщо вам цікаво детальніше дізнатись про наслідки глибокої перевірки пакетів, ми рекомендуємо нашу статтю з цього приводу, опубліковану кілька місяців тому в цьому блозі.
Про аналіз потоку руху
Аналіз руху потоків пропонує наступне:
Оцінити мережевий трафік на основі загальних характеристик. Іншими словами, початковою точкою є абстракція, що називається "потік трафіку" - що відповідає всьому трафіку, який розділяє певні загальні характеристики та переміщується від одного мережевого хоста до
іншого. Наприклад, якщо ми враховуємо весь трафік, який має станція та сервер може поділитися, що трафік, який є частиною однієї розмови або має ту саму мету, буде вважатися потоком.
Потік не зберігається як такий, лише метадані. Ідея полягає у використанні пристроїв, що беруть участь у передачі мережевого трафіку, без збереження пакетів, що складають потік трафіку, для генерування інформації про потік трафіку або його метадані.
Потім ці метадані необхідно зберігати та переробляти, щоб їх нарешті показали з можливістю аналізу, незалежно від: моніторингу, безпеки, криміналістики, виставлення рахунків тощо.
Аналіз потоку трафіку базується на групі протоколів, які дозволяють реалізувати процеси генерації, транспортування, зберігання та попередньої обробки метаданих.
Важливо уточнити, що ці протоколи не визначають, як слід робити аналіз; вони залишають це
інструментами, які використовують метадані для досягнення своїх цілей.
Є два протоколи, які представляють два різні підходи до впровадження аналізу потоків трафіку: NetFlow та sFlow.
NetFlow
NetFlow - це протокол, розроблений Cisco, який став перевіреним стандартом для впровадження аналізу потоків IP-трафіку. Окрім Cisco, багато компаній, як виробників мережевих пристроїв, так і розробників рішень, підтримують цей протокол.
Експортер: Вони відповідають за збір метаданих із вхідних та вихідних потоків IP-адреси деяких мережевих пристроїв. Насправді експортери - це програмне забезпечення, яке міститься в таких пристроях, як комутатори та маршрутизатори. Експортери використовують сховище під назвою кеш NetFlow для зберігання інформація про потоки, які вони фіксують під час надходження та виходу трафіку через комутатор або маршрутизатор.
Колекціонери: відповідальний за отримання метаданих від експортерів, їх зберігання та попередню обробку.
Аналізатор: Цей елемент відповідає за можливість аналізу інформації, що міститься в колекторах.
Завдання колектора та аналізатора регулярно доповнюються програмами, які використовують NetFlow.
NetFlow розвивався з часом, починаючи з версії 5 до версії 9; протоколи, такі як IPv6 або такі технології, як VLAN, MPLS та BGP, були включені.
З іншого боку, версія NetFlow 9 отримала ще один протокол, відомий як IPFIX (IP Flow
Information Export), який має на меті регулювати спосіб передачі інформації від експортерів до колекторів.
IPFIX впроваджує кілька удосконалень; з одного боку, ми маємо підтримку полів різної довжини та можливість включення даних, зазвичай пов'язаних з мережевим адмініструванням (SNMP та Syslog).
Якщо вам цікаво дізнатися більше про програми NetFlow, радимо прочитати статтю про
NetFlow, опубліковану в цьому блозі. sFlow
Інші виробники NetFlow розробили власний протокол аналізу потоків; загалом усі вони дотримуються однакової архітектури експортерів - колекціонерів - аналізаторів і підтримуються в середовищі трафіку IP.
Нижче наведено список протоколів, отриманих від NetFlow:
Як було сказано вище, більшість є наближеннями до NetFlow без надто великих варіацій.
Однак з протоколом sFlow відбувається щось інше.
SFlow (Sampling Flow), розроблений корпорацією InMon і опублікований в RFC 3176, вносить помітні зміни.
SFlow не працює з абстракцією, про яку йшлося раніше, протікає і концентрується на активності збору зразків.
При використанні sFlow радіус вибірки визначається ¨n¨; Таким чином, кожен n пакетів експортер sFlow візьме зразок пакетів з урахуванням усіх рівнів, від 2 до 7, для моделі OSI та всіх існуючих протоколів, а не тільки IP.
Зразки sFlow збережуть початкові байти, додадуть лічильники і передадуть всю цю
інформацію колекторам sFlow.
Отже, ми з NetFlow маємо інформацію про потоки IP, враховуючи рівень 3 та 4, тоді як із
SFlow ми маємо зразки будь-якого протоколу, що враховує рівень 2 до рівня 7.
Це приводить нас до розгляду sFlow більш широкого протоколу та зменшення споживання ресурсів у експортерах, що добре масштабує, але те, що грунтуючись на вибірці, може залишити деякий трафік без оцінки.
Зважаючи на це, читач може правильно припустити, що є суперечки. Який протокол краще?
Якщо вас це цікавить, перегляньте цю статтю, опубліковану в comparitech, і цю, опубліковану в pcwdld, щоб увійти в тему.
NetFlow і Pandora FMS
Pandora FMS, як інструмент моніторингу загального призначення, що включає використання методів аналізу мережевого трафіку.
Фактично Pandora FMS включає інтеграцію до обладнання для захоплення трафіку, такого як
TAP, а також підтримує NetFlow.
Інтеграція з NetFlow досягається шляхом встановлення FMS-сервера Pandora як NetFlow
Collector and Analyzer. Ця інтеграція передбачає використання вільного програмного засобу під назвою nfcap.
Після встановлення інструменту демон запуститься автоматично, і схема, представлена
Pandora FMS, запропонує тоді дуже гнучку схему фільтрів, яка дозволить точно вибрати вибір трафіку, який ви хочете оцінити.
Якщо вам цікаво перевірити схему інтеграції Pandora FMS та NetFlow за допомогою пристрою Raspberry, радимо переглянути цю цікаву статтю.