Ielaušanās noteikšana: Dziļāka analīze par tīkla trafika analīzi

21. gadsimta plašajā, savstarpēji savienotajā digitālajā ainavā organizācijas darbojas kaujas laukā, ko tās bieži nevar saskatīt. Šis kaujas lauks ir to pašu tīkls, un kaujinieki nav karavīri, bet gan datu pakotņu plūsmas. Katru sekundi miljoniem šo pakotņu šķērso uzņēmumu tīklus, nesot visu, sākot no ikdienišķām e-pastiem līdz pat sensitīvai intelektuālā īpašuma. Tomēr šajā datu plūdumā slēpjās ļaunprātīgi dalībnieki, kas cenšas izmantot ievainojamības, nozagt informāciju un traucēt darbību. Kā organizācijas var sevi aizsargāt pret draudiem, kurus tās nevar viegli saskatīt? Atbilde slēpjas tīkla trafika analīzes (NTA) mākslas un zinātnes apgūšanā ielaušanās noteikšanai.

Šis visaptverošais ceļvedis izskaidros NTA pamatprincipus kā pamatu spēcīgai ielaušanās noteikšanas sistēmai (IDS). Mēs izpētīsim pamata metodoloģijas, kritiski svarīgus datu avotus un mūsdienu izaicinājumus, ar kuriem saskaras drošības speciālisti globālā, nepārtraukti mainīgā draudu vidē.

Kas ir ielaušanās noteikšanas sistēma (IDS)?

Pēc būtības ielaušanās noteikšanas sistēma (IDS) ir drošības rīks — aparatūras ierīce vai programmatūras lietojumprogramma —, kas uzrauga tīkla vai sistēmas darbības, lai noteiktu ļaunprātīgu politiku vai politikas pārkāpumus. Domājiet par to kā par jūsu tīkla digitālo signalizāciju. Tās galvenā funkcija nav apturēt uzbrukumu, bet gan to noteikt un izdot brīdinājumu, sniedzot drošības komandām kritiski svarīgu informāciju, kas nepieciešama izmeklēšanai un reaģēšanai.

Ir svarīgi atšķirt IDS no tās proaktīvākās radinieces — ielaušanās novēršanas sistēmas (IPS). Kamēr IDS ir pasīvs uzraudzības rīks (tā novēro un ziņo), IPS ir aktīvs, tiešsaistes rīks, kas var automātiski bloķēt noteiktus draudus. Vienkārša analoģija ir drošības kamera (IDS) pret drošības vārtiem, kas automātiski aizveras, kad tie pamana neatļautu transportlīdzekli (IPS). Abi ir būtiski, taču to lomas ir atšķirīgas. Šis ieraksts koncentrējas uz noteikšanas aspektu, kas ir pamata informācija, kas nodrošina jebkuru efektīvu reaģēšanu.

Tīkla trafika analīzes (NTA) centrālā loma

Ja IDS ir signalizācijas sistēma, tad tīkla trafika analīze ir sarežģītā sensoru tehnoloģija, kas to padara funkcionējošu. NTA ir tīkla komunikācijas modeļu pārtveršanas, ierakstīšanas un analīzes process, lai noteiktu un reaģētu uz drošības draudiem. Pārbaudot datu pakotnes, kas plūst pa tīklu, drošības analītiķi var identificēt aizdomīgas darbības, kas var norādīt uz notiekošu uzbrukumu.

Šī ir kiberdrošības patiesā seja. Kamēr atsevišķu serveru vai galapunktu žurnāli ir vērtīgi, tos var pārveidot vai atspējot prasmīgs uzbrucējs. Tīkla trafiku ir daudz grūtāk viltot vai slēpt. Lai sazinātos ar mērķi vai eksfiltrētu datus, uzbrucējam jānosūta pakotnes pa tīklu. Analizējot šo trafiku, jūs tieši novērojat uzbrucēja darbības, līdzīgi kā detektīvs noklausās aizdomās turamā tālruņa līniju, nevis vienkārši lasa viņa izloloto dienasgrāmatu.

Tīkla trafika analīzes pamata metodoloģijas IDS nolūkā

Nav vienas maģiskas lodes tīkla trafika analīzei. Tā vietā nobriedusi IDS izmanto vairākas papildinošas metodoloģijas, lai panāktu aizsardzības dziļuma pieeju.

1. Uz parakstiem balstīta noteikšana: Pazīstamo draudu identificēšana

Uz parakstiem balstīta noteikšana ir tradicionālākā un visplašāk saprotamā metode. Tā darbojas, uzturot plašu unikālu modeļu jeb "parakstu" datubāzi, kas saistīta ar zināmiem draudiem.

• Kā tas darbojas: IDS pārbauda katru pakotni vai pakotņu plūsmu, salīdzinot tās saturu un struktūru ar parakstu datubāzi. Ja tiek atrasts atbilstošais elements, piemēram, noteikts koda virkne, ko izmanto zināms ļaunprogrammatūra, vai noteikta komanda, ko izmanto SQL injekcijas uzbrukumā, tiek izdots brīdinājums.
• Priekšrocības: Tā ir ārkārtīgi precīza zināmu draudu noteikšanā ar ļoti zemu viltus pozitīvu rādītāju. Kad tā kaut ko atzīmē, ir augsta pārliecība, ka tas ir ļaunprātīgs.
• Trūkumi: Tās lielākā stiprā puse ir arī tās lielākais trūkums. Tā ir pilnīgi akla jaunām, nulles dienu uzbrukumiem, kuriem nav paraksta. Lai tā paliktu efektīva, tai nepieciešami pastāvīgi, savlaicīgi drošības piegādātāju atjauninājumi.
• Globāls piemērs: Kad 2017. gadā visā pasaulē izplatījās WannaCry izpirkuma programmatūras tārps, uz parakstiem balstītās sistēmas tika ātri atjauninātas, lai noteiktu konkrētās tīkla pakotnes, ko izmantoja tārpa izplatīšanai, ļaujot organizācijām ar atjauninātām sistēmām to efektīvi bloķēt.

2. Uz anomālijām balstīta noteikšana: Medības pēc nezināmiem nezināmajiem

Tur, kur uz parakstiem balstīta noteikšana meklē zināmu sliktu, uz anomālijām balstīta noteikšana koncentrējas uz noviržu no noteiktās normalitātes identificēšanu. Šī pieeja ir ļoti svarīga, lai notvertu jaunus un sarežģītus uzbrukumus.

• Kā tas darbojas: Sistēma vispirms pavada laiku, apgūstot tīkla normālo darbību, izveidojot statistisku bāzes līniju. Šī bāzes līnija ietver tādus rādītājus kā tipiskais trafika apjoms, izmantotie protokoli, kuri serveri savstarpēji sazinās, un laiki, kad notiek šī saziņa. Jebkura darbība, kas ievērojami atšķiras no šīs bāzes līnijas, tiek atzīmēta kā potenciāla anomālija.
• Priekšrocības: Tai ir spēcīga spēja noteikt iepriekš neredzētus, nulles dienu uzbrukumus. Tā kā tā ir pielāgota konkrēta tīkla unikālajai darbībai, tā var noteikt draudus, kurus vispārīgi paraksti nepamanītu.
• Trūkumi: Tā var būt pakļauta augstākam viltus pozitīvu rādītājam. Likumīga, bet neparasta darbība, piemēram, liela, vienreizēja datu rezerves kopija, var izraisīt brīdinājumu. Turklāt, ja sākotnējās apguves fāzes laikā ir ļaunprātīga darbība, tā var tikt nepareizi bāzēta kā "normāla".
• Globāls piemērs: Darbinieka konts, kas parasti darbojas no viena biroja Eiropā darba laikā, pēkšņi sāk piekļūt sensitīviem serveriem no IP adreses citā kontinentā plkst. 3:00. Anomāliju noteikšana nekavējoties atzīmētu to kā augsta riska novirzi no izveidotās bāzes līnijas, norādot uz kompromitētu kontu.

3. Proaktīva protokola analīze: Sarunu konteksta izpratne

Šī uzlabotā tehnika iet tālāk par atsevišķu pakotņu analīzi izolēti. Tā koncentrējas uz sakaru sesijas konteksta izpratni, izsekojot tīkla protokolu stāvokli.

• Kā tas darbojas: Sistēma analizē pakotņu secības, lai nodrošinātu, ka tās atbilst noteiktajiem standartiem konkrētam protokolam (piemēram, TCP, HTTP vai DNS). Tā saprot, kā izskatās likumīga TCP roku spiešana, vai kā vajadzētu darboties DNS pieprasījumam un atbildei.
• Priekšrocības: Tā var noteikt uzbrukumus, kas izmanto vai manipulē ar protokola uzvedību smalkos veidos, kas varētu neizraisīt konkrētu parakstu. Tas ietver tādas metodes kā portu skenēšana, fragmentētas pakotņu uzbrukumi un daži pakalpojumu atteikuma (DoS) veidi.
• Trūkumi: Tā var būt aprēķinietiski intensīvāka nekā vienkāršākas metodes, prasot jaudīgāku aparatūru, lai spētu sekot līdzi ātriem tīkliem.
• Piemērs: Uzbrucējs var nosūtīt serverim TCP SYN pakotņu plūdus, nekad nepabeidzot roku spiešanu (SYN plūdu uzbrukums). Proaktīvs analīzes dzinējs atzītu to kā nelikumīgu TCP protokola izmantošanu un izdotu brīdinājumu, savukārt vienkāršs pakotņu inspektors tos redzētu kā atsevišķas, likumīgas izskata pakotnes.

Galvenie datu avoti tīkla trafika analīzei

Lai veiktu šīs analīzes, IDS ir nepieciešama piekļuve neapstrādātiem tīkla datiem. Šo datu kvalitāte un veids tieši ietekmē sistēmas efektivitāti. Ir trīs galvenie avoti.

Pilnu pakotņu uztveršana (PCAP)

Šis ir visaptverošākais datu avots, kas ietver katras tīkla segmentu šķērsojošās pakotnes uztveršanu un glabāšanu. Tā ir galīgā patiesības avots dziļām forenziskām izmeklēšanām.

• Analoģija: Tas ir kā augstas izšķirtspējas video un audio ieraksts par katru sarunu ēkā.
• Lietošanas gadījums: Pēc brīdinājuma analītiķis var atgriezties pie pilniem PCAP datiem, lai rekonstruētu visu uzbrukuma secību, redzētu precīzi, kādi dati tika eksfiltrēti, un detalizēti izprastu uzbrucēja metodes.
• Izaicinājumi: Pilna PCAP ģenerē milzīgu datu apjomu, padarot uzglabāšanu un ilgtermiņa saglabāšanu ārkārtīgi dārgu un sarežģītu. Tā rada arī ievērojamas privātuma bažas reģionos ar stingriem datu aizsardzības likumiem, piemēram, GDPR, jo tā uztver visu datu saturu, tostarp sensitīvu personas informāciju.

NetFlow un tā varianti (IPFIX, sFlow)

NetFlow ir Cisco izstrādāts tīkla protokols IP trafika informācijas savākšanai. Tas neuztver pakotņu saturu (lietderīgo slodzi); tā vietā tas uztver augsta līmeņa metadatus par sakaru plūsmām.

• Analoģija: Tas ir kā telefona rēķins, nevis sarunas ieraksts. Jūs zināt, kurš kam zvanīja, kad zvanīja, cik ilgi runāja un cik daudz datu tika apmainīts, bet jūs nezināt, ko viņi teica.
• Lietošanas gadījums: Lieliski piemērots anomāliju noteikšanai un augsta līmeņa redzamībai visā lielā tīklā. Analītiķis var ātri pamanīt, ka darbstacija pēkšņi sazinās ar zināmu ļaunprātīgu serveri vai pārsūta neparasti lielu datu apjomu, neiedziļinoties pakotņu saturā.
• Izaicinājumi: Lietderīgās slodzes trūkums nozīmē, ka jūs nevarat noteikt drauda specifisko raksturu tikai no plūsmas datiem. Jūs varat redzēt dūmus (anomālu savienojumu), bet ne vienmēr varat redzēt uguni (konkrētu ekspluatācijas kodu).

Tīkla ierīču žurnālu dati

Tādu ierīču kā ugunsmūru, starpniekserveru, DNS serveru un tīmekļa lietojumprogrammu ugunsmūru žurnāli sniedz kritiski svarīgu kontekstu, kas papildina neapstrādātus tīkla datus. Piemēram, ugunsmūra žurnāls var norādīt, ka savienojums tika bloķēts, starpniekservera žurnāls var norādīt konkrētu URL, kuru lietotājs mēģināja piekļūt, un DNS žurnāls var atklāt vaicājumus par ļaunprātīgām domēnām.

• Lietošanas gadījums: Tīkla plūsmas datu korelācija ar starpniekserveru žurnāliem var bagātināt izmeklēšanu. Piemēram, NetFlow parāda lielu datu pārsūtīšanu no iekšējā servera uz ārēju IP. Tad starpniekservera žurnāls var atklāt, ka šī pārsūtīšana bija uz nekomerciālu, augsta riska failu koplietošanas vietni, sniedzot tūlītēju kontekstu drošības analītiķim.

Mūsdienu drošības operāciju centrs (SOC) un NTA

Mūsdienu SOC NTA ir ne tikai atsevišķa darbība; tā ir pamata sastāvdaļa plašākā drošības ekosistēmā, ko bieži iemieso rīku kategorijā, kas pazīstama kā tīkla noteikšana un reaģēšana (NDR).

Rīki un platformas

NTA ainavā ietilpst jaudīgu atvērtā pirmkoda rīku un sarežģītu komerciālu platformu kombinācija:

• Atvērtā pirmkoda: Tādi rīki kā Snort un Suricata ir nozares standarti uz parakstiem balstītai IDS. Zeek (iepriekš Bro) ir jaudīgs pamats proaktīvai protokola analīzei un bagātīgu darījumu žurnālu ģenerēšanai no tīkla trafika.
• Komerciālā NDR: Šīs platformas integrē dažādas noteikšanas metodes (parakstu, anomāliju, uzvedības) un bieži izmanto mākslīgo intelektu (AI) un mašīnmācīšanos (ML), lai izveidotu ļoti precīzas uzvedības bāzes līnijas, samazinātu viltus pozitīvus un automātiski korelētu atsevišķus brīdinājumus vienā, saprotamā incidentu laika skalā.

Cilvēciskais elements: Aiz brīdinājuma

Rīki ir tikai puse no vienādojuma. Patiesa NTA spēks tiek realizēts, kad prasmīgi drošības analītiķi izmanto tās izvadi, lai proaktīvi meklētu draudus. Tā vietā, lai pasīvi gaidītu brīdinājumu, draudu medības ietver hipotēzes izveidošanu (piemēram, "Es turu aizdomās, ka uzbrucējs varētu izmantot DNS tuneļošanu, lai eksfiltrētu datus") un pēc tam NTA datu izmantošanu, lai meklētu pierādījumus tās apstiprināšanai vai noliegt. Šī proaktīvā nostāja ir būtiska, lai atrastu slēptus uzbrucējus, kuri ir prasmīgi izvairīties no automatizētas noteikšanas.

Izaicinājumi un nākotnes tendences tīkla trafika analīzē

NTA joma nepārtraukti attīstās, lai spētu sekot līdzi tehnoloģiju un uzbrucēju metodoloģiju izmaiņām.

Šifrēšanas izaicinājums

Varbūt lielākais šodienas izaicinājums ir plaši izmantotā šifrēšana (TLS/SSL). Lai gan tā ir būtiska privātumam, šifrēšana padara tradicionālo lietderīgās slodzes pārbaudi (uz parakstiem balstītu noteikšanu) bezjēdzīgu, jo IDS nevar redzēt pakotņu saturu. Tas bieži tiek saukts par "tumšuma" problēmu. Nozare reaģē ar tādām metodēm kā:

• TLS pārbaude: Tas ietver trafika atšifrēšanu tīkla vārtejā pārbaudei un pēc tam tā atkārtotu šifrēšanu. Tas ir efektīvs, bet var būt aprēķinietiski dārgs un rada privātuma un arhitektūras sarežģītības.
• Šifrēta trafika analīze (ETA): Jaunāka pieeja, kas izmanto mašīnmācīšanos, lai analizētu metadatus un modeļus pašā šifrētajā plūsmā — bez atšifrēšanas. Tā var noteikt ļaunprogrammatūru, analizējot tādas īpašības kā pakotņu garumu un laika secības, kas var būt unikālas noteiktām ļaunprogrammatūru grupām.

Mākoņu un hibrīda vides

Organizācijām pārejot uz mākoņiem, tradicionālā tīkla perimetrs izzūd. Drošības komandas vairs nevar novietot vienu sensoru pie interneta vārtejas. NTA tagad jādarbojas virtualizētās vidēs, izmantojot mākoņiem dabiskos datu avotus, piemēram, AWS VPC Flow Logs, Azure Network Watcher un Google VPC Flow Logs, lai iegūtu redzamību austrumu-rietumu (serveris-serveris) un ziemeļu-dienvidu (iekšā un ārā) trafiku mākoņa ietvaros.

IoT un BYOD eksplozija

Lietu interneta (IoT) ierīču un "atnes savu ierīci" (BYOD) politiku izplatība ir dramatiski paplašinājusi tīkla uzbrukumu virsmu. Daudzām no šīm ierīcēm trūkst tradicionālo drošības kontroļu. NTA kļūst par kritiski svarīgu rīku šo ierīču profilēšanai, to normālās komunikācijas modeļu bāzēšanai un ātrai noteikšanai, kad kāda no tām ir kompromitēta un sāk darboties neparasti (piemēram, viedā kamera pēkšņi mēģina piekļūt finanšu datubāzei).

Secinājums: Mūsdienu kiberdrošības pīlārs

Tīkla trafika analīze ir vairāk nekā tikai drošības tehnika; tā ir pamata disciplīna, lai izprastu un aizstāvētu jebkuras modernās organizācijas digitālo nervu sistēmu. Aizejot tālāk par vienu metodoloģiju un pieņemot jauktu pieeju, kas ietver parakstu, anomāliju un proaktīvu protokola analīzi, drošības komandas var iegūt nepārspējamu redzamību savās vidēs.

Lai gan tādi izaicinājumi kā šifrēšana un mākonis prasa nepārtrauktu inovāciju, princips paliek tas pats: tīkls nemelo. Pa to plūstošās pakotnes stāsta patieso stāstu par to, kas notiek. Organizācijām visā pasaulē spēja klausīties, saprast un rīkoties pēc šī stāsta vairs nav obligāta — tā ir absolūta nepieciešamība, lai izdzīvotu šodienas sarežģītajā draudu vidē.