Įsilaužimų aptikimas: gilus tinklo srauto analizės tyrimas

XXI amžiaus didžiuliame, tarpusavyje susijusiame skaitmeniniame kraštovaizdyje organizacijos veikia mūšio lauke, kurio dažnai nemato. Šis mūšio laukas yra jų pačių tinklas, o kovotojai nėra kariai, o duomenų paketų srautai. Kiekvieną sekundę milijonai šių paketų kerta įmonių tinklus, nešdami viską – nuo įprastų el. laiškų iki slaptos intelektinės nuosavybės. Tačiau šiame duomenų sraute paslėpti kenkėjiški veikėjai siekia išnaudoti pažeidžiamumus, pavogti informaciją ir sutrikdyti operacijas. Kaip organizacijos gali apsiginti nuo grėsmių, kurių negali lengvai pamatyti? Atsakymas slypi įsisavinant tinklo srauto analizės (NTA) meną ir mokslą įsilaužimų aptikimui.

Šis išsamus vadovas nušvies pagrindinius NTA naudojimo principus kaip patikimos įsilaužimų aptikimo sistemos (IDS) pagrindą. Mes išnagrinėsime pagrindines metodikas, svarbiausius duomenų šaltinius ir šiuolaikinius iššūkius, su kuriais susiduria saugumo specialistai pasauliniame, nuolat besikeičiančiame grėsmių kraštovaizdyje.

Kas yra įsilaužimų aptikimo sistema (IDS)?

Iš esmės įsilaužimų aptikimo sistema (IDS) yra saugumo įrankis – aparatinės įrangos įrenginys arba programinės įrangos programa – kuri stebi tinklo ar sistemos veiklą, ar nėra kenkėjiškų politikų ar politikos pažeidimų. Pagalvokite apie tai kaip apie skaitmeninį signalizacijos įtaisą jūsų tinklui. Pagrindinė jo funkcija yra ne sustabdyti ataką, o ją aptikti ir įspėti, suteikiant saugumo komandoms svarbią informaciją, reikalingą tirti ir reaguoti.

Svarbu atskirti IDS nuo jos aktyvesnio brolio ar sesers – įsilaužimų prevencijos sistemos (IPS). Nors IDS yra pasyvus stebėjimo įrankis (ji stebi ir praneša), IPS yra aktyvus, įterptinis įrankis, kuris gali automatiškai blokuoti aptiktas grėsmes. Paprasta analogija yra apsaugos kamera (IDS) ir apsaugos vartai, kurie automatiškai užsidaro, kai pastebi neteisėtą transporto priemonę (IPS). Abu yra gyvybiškai svarbūs, bet jų vaidmenys yra skirtingi. Šis įrašas skirtas aptikimo aspektui, kuris yra pagrindinis intelektas, maitinantis bet kokį veiksmingą atsaką.

Pagrindinis tinklo srauto analizės (NTA) vaidmuo

Jei IDS yra signalizacijos sistema, tinklo srauto analizė yra sudėtinga jutiklių technologija, kuri leidžia jai veikti. NTA yra tinklo komunikacijos modelių perėmimo, įrašymo ir analizės procesas, skirtas aptikti ir reaguoti į saugumo grėsmes. Patikrindami duomenų paketus, kurie teka per tinklą, saugumo analitikai gali nustatyti įtartiną veiklą, kuri gali rodyti vykstančią ataką.

Tai yra kibernetinio saugumo pagrindinė tiesa. Nors žurnalai iš atskirų serverių ar galinių taškų yra vertingi, kvalifikuotas priešininkas gali juos sugadinti arba išjungti. Tačiau tinklo srautą daug sunkiau suklastoti ar paslėpti. Norėdamas bendrauti su taikiniu arba išfiltruoti duomenis, užpuolikas privalo siųsti paketus per tinklą. Analizuodami šį srautą, jūs stebite tiesioginius užpuoliko veiksmus, panašiai kaip detektyvas, klausantis įtariamojo telefono linijos, o ne tik skaitydamas jo kuruojamą dienoraštį.

Pagrindinės tinklo srauto analizės metodikos, skirtos IDS

Nėra vienos magiškos kulkos tinklo srautui analizuoti. Vietoj to, subrendusi IDS naudoja kelias papildomas metodikas, kad pasiektų gynybos gylio metodą.

1. Parašais pagrįstas aptikimas: žinomų grėsmių nustatymas

Parašais pagrįstas aptikimas yra tradiciškiausias ir plačiausiai suprantamas metodas. Jis veikia palaikant didžiulę unikalių modelių arba "parašų" duomenų bazę, susijusią su žinomomis grėsmėmis.

• Kaip tai veikia: IDS tikrina kiekvieną paketą ar paketų srautą, lygindama jo turinį ir struktūrą su parašų duomenų baze. Jei randamas atitikmuo – pavyzdžiui, konkreti kodo eilutė, naudojama žinomoje kenkėjiškoje programinėje įrangoje, arba konkreti komanda, naudojama SQL injekcijos atakoje – suaktyvinamas įspėjimas.
• Argumentai už: Jis yra išskirtinai tikslus aptinkant žinomas grėsmes su labai mažu klaidingų teigiamų rezultatų lygiu. Kai jis ką nors pažymi, yra didelis tikrumas, kad tai yra kenkėjiška.
• Argumentai prieš: Didžiausia jo stiprybė taip pat yra didžiausias jo trūkumas. Jis yra visiškai aklas naujoms, nulinės dienos atakoms, kurioms nėra parašo. Norint išlikti veiksmingam, reikia nuolatinių, savalaikių saugumo pardavėjų atnaujinimų.
• Pasaulinis pavyzdys: Kai „WannaCry“ išpirkos reikalaujančios programinės įrangos kirminas išplito visame pasaulyje 2017 m., parašais pagrįstos sistemos buvo greitai atnaujintos, kad aptiktų konkrečius tinklo paketus, naudojamus kirminui platinti, leidžiant organizacijoms su atnaujintomis sistemomis veiksmingai jį blokuoti.

2. Anomalijomis pagrįstas aptikimas: nežinomų nežinomų medžioklė

Kai parašais pagrįstas aptikimas ieško žinomų blogybių, anomalijomis pagrįstas aptikimas orientuojasi į nukrypimų nuo nustatytos normos nustatymą. Šis požiūris yra labai svarbus gaudant naujas ir sudėtingas atakas.

• Kaip tai veikia: Sistema pirmiausia praleidžia laiką mokydamasi tinklo įprasto elgesio, sukurdama statistinę bazinę liniją. Ši bazinė linija apima tokius rodiklius kaip tipiškas srauto kiekis, kurie protokolai naudojami, kurie serveriai bendrauja tarpusavyje ir kuriuo paros metu vyksta šie ryšiai. Bet kokia veikla, kuri žymiai nukrypsta nuo šios bazinės linijos, yra pažymima kaip potenciali anomalija.
• Argumentai už: Jis turi galingą galimybę aptikti anksčiau nematytas, nulinės dienos atakas. Kadangi jis yra pritaikytas prie konkretaus tinklo unikalaus elgesio, jis gali pastebėti grėsmes, kurių praleistų bendrieji parašai.
• Argumentai prieš: Jis gali būti linkęs į didesnį klaidingų teigiamų rezultatų lygį. Teisėta, bet neįprasta veikla, tokia kaip didelis, vienkartinis duomenų atsarginis kopijavimas, gali suaktyvinti įspėjimą. Be to, jei kenkėjiška veikla vyksta pradinio mokymosi etapo metu, ji gali būti klaidingai nustatyta kaip "normali".
• Pasaulinis pavyzdys: Darbuotojo paskyra, kuri paprastai veikia iš vieno biuro Europoje darbo valandomis, staiga pradeda pasiekti slaptus serverius iš IP adreso kitame žemyne 3:00 val. Anomalijų aptikimas iškart pažymėtų tai kaip didelės rizikos nukrypimą nuo nustatytos bazinės linijos, nurodant, kad paskyra buvo pažeista.

3. Būsenos protokolo analizė: pokalbio konteksto supratimas

Ši pažangi technika neapsiriboja atskirų paketų tikrinimu atskirai. Ji orientuojasi į komunikacijos sesijos konteksto supratimą, sekant tinklo protokolų būseną.

• Kaip tai veikia: Sistema analizuoja paketų sekas, kad užtikrintų, jog jie atitinka nustatytus konkretaus protokolo standartus (pvz., TCP, HTTP arba DNS). Ji supranta, kaip atrodo teisėtas TCP rankos paspaudimas arba kaip turėtų veikti tinkama DNS užklausa ir atsakymas.
• Argumentai už: Ji gali aptikti atakas, kurios piktnaudžiauja arba manipuliuoja protokolo elgesiu subtiliais būdais, kurie gali nesukelti konkretaus parašo. Tai apima tokius metodus kaip prievadų skenavimas, suskaidytų paketų atakos ir kai kurios atsisakymo paslaugos formos.
• Argumentai prieš: Jis gali būti intensyvesnis skaičiavimo požiūriu nei paprastesni metodai, todėl reikia galingesnės aparatinės įrangos, kad būtų neatsilikta nuo didelės spartos tinklų.
• Pavyzdys: Užpuolikas gali siųsti TCP SYN paketų potvynį į serverį niekada neužbaigdamas rankos paspaudimo (SYN potvynio ataka). Būsenos analizės variklis atpažintų tai kaip neteisėtą TCP protokolo naudojimą ir įspėtų, o paprastas paketų inspektorius gali matyti juos kaip atskirus, atrodančius galiojančius paketus.

Pagrindiniai duomenų šaltiniai tinklo srauto analizei

Norint atlikti šias analizes, IDS reikia prieigos prie neapdorotų tinklo duomenų. Šių duomenų kokybė ir tipas tiesiogiai veikia sistemos efektyvumą. Yra trys pagrindiniai šaltiniai.

Pilnas paketų fiksavimas (PCAP)

Tai yra išsamiausias duomenų šaltinis, apimantis kiekvieno per tinklo segmentą einančio paketo fiksavimą ir saugojimą. Tai yra galutinis tiesos šaltinis giliems teismo ekspertizės tyrimams.

• Analogija: Tai tarsi didelės raiškos vaizdo ir garso įrašas kiekvieno pokalbio pastate.
• Naudojimo atvejis: Po įspėjimo analitikas gali grįžti prie visų PCAP duomenų, kad atkurtų visą atakos seką, tiksliai pamatytų, kokie duomenys buvo išfiltruoti, ir išsamiai suprastų užpuoliko metodus.
• Iššūkiai: Visas PCAP generuoja didžiulį duomenų kiekį, todėl saugojimas ir ilgalaikis saugojimas yra labai brangūs ir sudėtingi. Tai taip pat kelia didelių privatumo problemų regionuose, kuriuose galioja griežti duomenų apsaugos įstatymai, pvz., GDPR, nes jis fiksuoja visą duomenų turinį, įskaitant slaptą asmeninę informaciją.

NetFlow ir jo variantai (IPFIX, sFlow)

NetFlow yra tinklo protokolas, sukurtas Cisco, skirtas rinkti IP srauto informaciją. Jis nefiksuoja paketų turinio (apkrovos); vietoj to, jis fiksuoja aukšto lygio metaduomenis apie ryšio srautus.

• Analogija: Tai tarsi telefono sąskaita vietoj skambučio įrašo. Jūs žinote, kas kam skambino, kada jie skambino, kiek ilgai jie kalbėjo ir kiek duomenų buvo apsikeista, bet jūs nežinote, ką jie pasakė.
• Naudojimo atvejis: Puikiai tinka anomalijų aptikimui ir aukšto lygio matomumui dideliame tinkle. Analitikas gali greitai pastebėti darbo vietą, staiga bendraujančią su žinomu kenkėjišku serveriu arba perduodančią neįprastai didelį duomenų kiekį, netikrindamas paties paketo turinio.
• Iššūkiai: Apkrovos trūkumas reiškia, kad jūs negalite nustatyti konkretaus grėsmės pobūdžio tik iš srauto duomenų. Jūs galite pamatyti dūmus (anomalų ryšį), bet ne visada galite pamatyti ugnį (konkretų eksploatacijos kodą).

Žurnalo duomenys iš tinklo įrenginių

Žurnalai iš įrenginių, tokių kaip ugniasienės, tarpiniai serveriai, DNS serveriai ir žiniatinklio programų ugniasienės, suteikia svarbų kontekstą, kuris papildo neapdorotus tinklo duomenis. Pavyzdžiui, ugniasienės žurnale gali būti rodoma, kad ryšys buvo užblokuotas, tarpinio serverio žurnale gali būti rodomas konkretus URL, kurį vartotojas bandė pasiekti, o DNS žurnalas gali atskleisti užklausas dėl kenkėjiškų domenų.

• Naudojimo atvejis: Tinklo srauto duomenų susiejimas su tarpinio serverio žurnalais gali praturtinti tyrimą. Pavyzdžiui, NetFlow rodo didelį duomenų perdavimą iš vidinio serverio į išorinį IP. Tarpinio serverio žurnalas tada gali atskleisti, kad šis perdavimas buvo į ne verslo, didelės rizikos failų bendrinimo svetainę, suteikiant tiesioginį kontekstą saugumo analitikui.

Šiuolaikinis saugumo operacijų centras (SOC) ir NTA

Šiuolaikiniame SOC NTA yra ne tik atskira veikla; tai pagrindinis platesnės saugumo ekosistemos komponentas, dažnai įkūnytas įrankių kategorijoje, žinomoje kaip tinklo aptikimas ir reagavimas (NDR).

Įrankiai ir platformos

NTA kraštovaizdis apima galingų atvirojo kodo įrankių ir sudėtingų komercinių platformų derinį:

• Atvirojo kodo: Įrankiai, tokie kaip Snort ir Suricata, yra pramonės standartai parašais pagrįstai IDS. Zeek (anksčiau Bro) yra galingas pagrindas būsenos protokolo analizei ir turtingų operacijų žurnalų generavimui iš tinklo srauto.
• Komercinis NDR: Šios platformos integruoja įvairius aptikimo metodus (parašo, anomalijos, elgesio) ir dažnai naudoja dirbtinį intelektą (DI) ir mašininį mokymąsi (ML), kad sukurtų labai tikslias elgesio bazines linijas, sumažintų klaidingus teigiamus rezultatus ir automatiškai susietų skirtingus įspėjimus į vieną nuoseklią incidento laiko juostą.

Žmogiškasis elementas: už įspėjimo ribų

Įrankiai yra tik pusė lygties. Tikroji NTA galia realizuojama, kai kvalifikuoti saugumo analitikai naudoja jo išvestį aktyviai grėsmėms medžioti. Užuot pasyviai laukę įspėjimo, grėsmių medžioklė apima hipotezės suformulavimą (pvz., "Įtariu, kad užpuolikas gali naudoti DNS tuneliavimą, kad išfiltruotų duomenis") ir tada NTA duomenų naudojimą ieškant įrodymų, kad ją įrodytų arba paneigtų. Ši aktyvi pozicija yra būtina norint rasti slaptus priešininkus, kurie moka išvengti automatinio aptikimo.

Iššūkiai ir ateities tendencijos tinklo srauto analizėje

NTA sritis nuolat tobulėja, kad neatsiliktų nuo technologijų ir užpuolikų metodikų pokyčių.

Šifravimo iššūkis

Bene didžiausias iššūkis šiandien yra plačiai paplitęs šifravimo (TLS/SSL) naudojimas. Nors šifravimas yra būtinas privatumui, jis daro tradicinį apkrovos patikrinimą (parašais pagrįstą aptikimą) nenaudingu, nes IDS negali matyti paketų turinio. Tai dažnai vadinama "tamsėjimo" problema. Pramonė reaguoja tokiais metodais kaip:

• TLS patikrinimas: Tai apima srauto iššifravimą tinklo šliuze patikrinimui ir tada jo iš naujo užšifravimą. Jis yra veiksmingas, bet gali būti intensyvus skaičiavimo požiūriu ir sukelia privatumo ir architektūrinius sunkumus.
• Šifruoto srauto analizė (ETA): Naujesnis požiūris, kuris naudoja mašininį mokymąsi, kad analizuotų metaduomenis ir modelius pačiame šifruotame sraute – be iššifravimo. Jis gali identifikuoti kenkėjišką programinę įrangą analizuodamas tokias charakteristikas kaip paketų ilgių ir laikų seka, kuri gali būti unikali tam tikroms kenkėjiškų programų šeimoms.

Debesų ir hibridinės aplinkos

Organizacijoms persikeliant į debesį, tradicinis tinklo perimetras ištirpsta. Saugumo komandos nebegali įdėti vieno jutiklio į interneto šliuzą. NTA dabar turi veikti virtualizuotose aplinkose, naudojant debesies vietinius duomenų šaltinius, tokius kaip AWS VPC srauto žurnalai, Azure tinklo stebėjimo priemonė ir Google VPC srauto žurnalai, kad būtų matomas rytų-vakarų (serverio-serverio) ir šiaurės-pietų (įeinantis ir išeinantis) srautas debesyje.

IoT ir BYOD sprogimas

Daiktų interneto (IoT) įrenginių ir Atsineškite savo įrenginio (BYOD) politikų platinimas smarkiai išplėtė tinklo atakos plotą. Daugeliui šių įrenginių trūksta tradicinių saugumo valdiklių. NTA tampa svarbiu įrankiu profiliuojant šiuos įrenginius, nustatant jų įprastus komunikacijos modelius ir greitai aptinkant, kai vienas iš jų yra pažeistas ir pradeda elgtis nenormaliai (pvz., išmani kamera staiga bando pasiekti finansų duomenų bazę).

Išvada: Šiuolaikinės kibernetinės gynybos ramstis

Tinklo srauto analizė yra daugiau nei tik saugumo technika; tai yra fundamentali disciplina suprasti ir apginti bet kurios šiuolaikinės organizacijos skaitmeninę nervų sistemą. Pereidamos už vienos metodikos ribų ir priimdamos mišrų parašo, anomalijos ir būsenos protokolo analizės požiūrį, saugumo komandos gali įgyti neprilygstamą matomumą savo aplinkoje.

Nors tokie iššūkiai kaip šifravimas ir debesys reikalauja nuolatinių naujovių, principas išlieka tas pats: tinklas nemeluoja. Per jį tekantys paketai pasakoja tikrąją istoriją apie tai, kas vyksta. Organizacijoms visame pasaulyje gebėjimas klausytis, suprasti ir reaguoti į tą istoriją nebėra pasirinktinis – tai yra absoliuti būtinybė išgyventi šiuolaikiniame sudėtingame grėsmių kraštovaizdyje.