Виявлення вторгнень: глибокий аналіз мережевого трафіку

У величезному взаємопов'язаному цифровому ландшафті 21-го століття організації працюють на полі бою, якого часто не бачать. Це поле бою – їхня власна мережа, а комбатанти – не солдати, а потоки пакетів даних. Щосекунди мільйони цих пакетів перетинають корпоративні мережі, несучи все: від звичайних електронних листів до конфіденційної інтелектуальної власності. Однак, приховавшись у цьому потоці даних, зловмисники прагнуть використати вразливості, викрасти інформацію та порушити роботу. Як організації можуть захистити себе від загроз, яких вони не можуть легко побачити? Відповідь полягає в опануванні мистецтва та науки аналізу мережевого трафіку (NTA) для виявлення вторгнень.

Цей вичерпний посібник висвітлить основні принципи використання NTA як основи для надійної системи виявлення вторгнень (IDS). Ми дослідимо фундаментальні методології, критичні джерела даних і сучасні виклики, з якими стикаються професіонали з безпеки в глобальному ландшафті загроз, що постійно розвивається.

Що таке система виявлення вторгнень (IDS)?

За своєю суттю, система виявлення вторгнень (IDS) – це інструмент безпеки – або апаратний пристрій, або програмна програма – який відстежує мережеву або системну діяльність на предмет зловмисних дій або порушень політики. Уявіть це як цифрову охоронну сигналізацію для вашої мережі. Її основна функція – не зупинити атаку, а виявити її та підняти тривогу, надаючи командам безпеки важливу інформацію, необхідну для розслідування та реагування.

Важливо відрізнити IDS від її більш проактивного аналога – системи запобігання вторгненням (IPS). У той час як IDS є пасивним інструментом моніторингу (вона спостерігає та повідомляє), IPS є активним інструментом, який може автоматично блокувати виявлені загрози. Легка аналогія – камера безпеки (IDS) проти захисних воріт, які автоматично закриваються, коли бачать несанкціонований транспортний засіб (IPS). Обидва є життєво важливими, але їхні ролі різні. Ця публікація зосереджується на аспекті виявлення, який є фундаментальним інтелектом, що забезпечує будь-яку ефективну відповідь.

Центральна роль аналізу мережевого трафіку (NTA)

Якщо IDS є системою сигналізації, то аналіз мережевого трафіку – це складна сенсорна технологія, яка змушує її працювати. NTA – це процес перехоплення, запису та аналізу шаблонів мережевого зв'язку для виявлення та реагування на загрози безпеці. Перевіряючи пакети даних, які протікають через мережу, аналітики з безпеки можуть ідентифікувати підозрілу діяльність, яка може вказувати на атаку в процесі.

Це основна істина кібербезпеки. Хоча журнали з окремих серверів або кінцевих точок є цінними, їх може бути підроблено або вимкнено кваліфікованим зловмисником. Однак мережевий трафік набагато важче підробити або приховати. Щоб зв'язатися з ціллю або вилучити дані, зловмисник повинен надсилати пакети через мережу. Аналізуючи цей трафік, ви безпосередньо спостерігаєте за діями зловмисника, подібно до детектива, який прослуховує телефонну лінію підозрюваного, а не просто читає його відредагований щоденник.

Основні методології аналізу мережевого трафіку для IDS

Не існує єдиної чарівної палички для аналізу мережевого трафіку. Замість цього, зріла IDS використовує кілька взаємодоповнюючих методологій для досягнення глибокого захисту.

1. Сигнатурне виявлення: ідентифікація відомих загроз

Сигнатурне виявлення – це найтрадиційніший і найбільш широко зрозумілий метод. Він працює шляхом підтримки великої бази даних унікальних шаблонів, або «сигнатур», пов'язаних з відомими загрозами.

• Як це працює: IDS перевіряє кожен пакет або потік пакетів, порівнюючи його вміст і структуру з базою даних сигнатур. Якщо знайдено збіг – наприклад, певний рядок коду, що використовується у відомому шкідливому програмному забезпеченні, або певна команда, що використовується в SQL-ін'єкції – генерується сповіщення.
• Плюси: Він надзвичайно точний у виявленні відомих загроз з дуже низьким рівнем хибних спрацювань. Коли він щось позначає, є високий ступінь впевненості, що це зловмисно.
• Мінуси: Його найбільша сила також є його найбільшою слабкістю. Він повністю сліпий до нових атак нульового дня, для яких не існує жодної сигнатури. Для збереження ефективності потрібні постійні, своєчасні оновлення від постачальників послуг безпеки.
• Глобальний приклад: Коли черв'як-вимагач WannaCry поширився по всьому світу в 2017 році, системи на основі сигнатур були швидко оновлені для виявлення конкретних мережевих пакетів, які використовувалися для поширення черв'яка, дозволяючи організаціям з оновленими системами ефективно блокувати його.

2. Виявлення на основі аномалій: полювання на невідомі невідомості

Там, де сигнатурне виявлення шукає відомі погані речі, виявлення на основі аномалій зосереджується на виявленні відхилень від встановленої нормальності. Цей підхід має вирішальне значення для виявлення нових і складних атак.

• Як це працює: Система спочатку витрачає час на вивчення нормальної поведінки мережі, створюючи статистичну базову лінію. Ця базова лінія включає такі показники, як типові обсяги трафіку, які протоколи використовуються, які сервери спілкуються один з одним і час доби, коли відбувається цей зв'язок. Будь-яка діяльність, яка значно відхиляється від цієї базової лінії, позначається як потенційна аномалія.
• Плюси: Він має потужну здатність виявляти раніше невидимі атаки нульового дня. Оскільки він адаптований до унікальної поведінки конкретної мережі, він може виявляти загрози, які пропустять загальні сигнатури.
• Мінуси: Він може бути схильний до більш високого рівня хибних спрацювань. Законна, але незвичайна діяльність, наприклад велике одноразове резервне копіювання даних, може викликати сповіщення. Крім того, якщо під час початкової фази навчання присутня зловмисна діяльність, її можна неправильно встановити як «нормальну».
• Глобальний приклад: Обліковий запис співробітника, який зазвичай працює з одного офісу в Європі в робочий час, раптово починає отримувати доступ до конфіденційних серверів з IP-адреси на іншому континенті о 3:00 ранку. Виявлення аномалій негайно позначить це як відхилення високого ризику від встановленої базової лінії, припускаючи скомпрометований обліковий запис.

3. Stateful Protocol Analysis: розуміння контексту розмови

Ця передова техніка виходить за рамки перевірки окремих пакетів ізольовано. Він зосереджується на розумінні контексту сеансу зв'язку, відстежуючи стан мережевих протоколів.

• Як це працює: Система аналізує послідовності пакетів, щоб переконатися, що вони відповідають встановленим стандартам для даного протоколу (наприклад, TCP, HTTP або DNS). Він розуміє, як виглядає законне TCP-рукостискання або як має функціонувати належний DNS-запит і відповідь.
• Плюси: Він може виявляти атаки, які зловживають протокольною поведінкою або маніпулюють нею способами, які можуть не викликати конкретну сигнатуру. Це включає в себе такі методи, як сканування портів, атаки фрагментованих пакетів і деякі форми відмови в обслуговуванні.
• Мінуси: Він може бути більш обчислювально інтенсивним, ніж простіші методи, що вимагає більш потужного обладнання, щоб не відставати від високошвидкісних мереж.
• Приклад: Зловмисник може надіслати потік TCP SYN пакетів на сервер, ніколи не завершуючи рукостискання (атака SYN-потопу). Механізм аналізу стану розпізнає це як незаконне використання протоколу TCP і підніме тривогу, тоді як простий інспектор пакетів може розцінити їх як окремі, дійсні на вигляд пакети.

Ключові джерела даних для аналізу мережевого трафіку

Щоб виконати ці аналізи, IDS потрібен доступ до необроблених мережевих даних. Якість і тип цих даних безпосередньо впливають на ефективність системи. Є три основні джерела.

Повне захоплення пакетів (PCAP)

Це найбільш вичерпне джерело даних, яке включає захоплення та зберігання кожного окремого пакета, що проходить через сегмент мережі. Це остаточне джерело правди для глибоких судово-медичних розслідувань.

• Аналогія: Це як мати відео- та аудіозапис високої чіткості кожної розмови в будівлі.
• Випадок використання: Після сповіщення аналітик може повернутися до повних даних PCAP, щоб відтворити всю послідовність атак, точно побачити, які дані були вилучені, і зрозуміти методи зловмисника в деталях.
• Проблеми: Повний PCAP генерує величезну кількість даних, що робить зберігання та довгострокове зберігання надзвичайно дорогим і складним. Це також викликає значні проблеми з конфіденційністю в регіонах із суворими законами про захист даних, такими як GDPR, оскільки він збирає весь вміст даних, включаючи конфіденційну особисту інформацію.

NetFlow та його варіанти (IPFIX, sFlow)

NetFlow – це мережевий протокол, розроблений Cisco для збору інформації про IP-трафік. Він не захоплює вміст (корисне навантаження) пакетів; замість цього він збирає метадані високого рівня про потоки зв'язку.

• Аналогія: Це як мати рахунок за телефон замість запису дзвінка. Ви знаєте, хто кому дзвонив, коли дзвонили, як довго розмовляли та скільки даних було обмінено, але ви не знаєте, що вони сказали.
• Випадок використання: Відмінно підходить для виявлення аномалій і видимості високого рівня у великій мережі. Аналітик може швидко помітити робочу станцію, яка раптово зв'язується з відомим зловмисним сервером або передає надзвичайно великий обсяг даних, без необхідності перевіряти вміст пакету.
• Проблеми: Відсутність корисного навантаження означає, що ви не можете визначити конкретний характер загрози лише з даних про потік. Ви можете побачити дим (аномальне з'єднання), але не завжди можете побачити вогонь (конкретний код експлойту).

Дані журналів з мережевих пристроїв

Журнали з таких пристроїв, як брандмауери, проксі-сервери, DNS-сервери та брандмауери веб-додатків, надають важливий контекст, який доповнює необроблені мережеві дані. Наприклад, журнал брандмауера може показувати, що з'єднання було заблоковано, журнал проксі-сервера може показувати конкретну URL-адресу, до якої користувач намагався отримати доступ, а журнал DNS може виявляти запити до зловмисних доменів.

• Випадок використання: Кореляція даних мережевого потоку з журналами проксі-сервера може збагатити розслідування. Наприклад, NetFlow показує велику передачу даних з внутрішнього сервера на зовнішню IP-адресу. Потім журнал проксі-сервера може показати, що ця передача була на неділовий веб-сайт обміну файлами високого ризику, надаючи негайний контекст для аналітика безпеки.

Сучасний центр операцій безпеки (SOC) і NTA

У сучасному SOC NTA є не просто окремою діяльністю; це основний компонент ширшої екосистеми безпеки, часто втілений у категорії інструментів, відомих як Виявлення та реагування в мережі (NDR).

Інструменти та платформи

Ландшафт NTA включає в себе поєднання потужних інструментів з відкритим кодом і складних комерційних платформ:

• З відкритим кодом: Такі інструменти, як Snort і Suricata, є галузевими стандартами для IDS на основі сигнатур. Zeek (раніше Bro) – це потужна платформа для аналізу протоколів стану та створення розширених журналів транзакцій з мережевого трафіку.
• Комерційний NDR: Ці платформи інтегрують різні методи виявлення (сигнатурний, аномальний, поведінковий) і часто використовують штучний інтелект (AI) і машинне навчання (ML) для створення високоточних поведінкових базових ліній, зменшення кількості хибних спрацювань і автоматичної кореляції розрізнених сповіщень в єдину узгоджену хронологію інциденту.

Людський фактор: за межами сповіщення

Інструменти – це лише половина рівняння. Справжня сила NTA реалізується, коли кваліфіковані аналітики з безпеки використовують її вихідні дані для активного полювання на загрози. Замість пасивного очікування сповіщення, полювання на загрози передбачає формування гіпотези (наприклад, «Я підозрюю, що зловмисник може використовувати DNS-тунелювання для вилучення даних»), а потім використання даних NTA для пошуку доказів, щоб довести або спростувати її. Ця активна позиція має важливе значення для виявлення прихованих зловмисників, які вміють ухилятися від автоматизованого виявлення.

Проблеми та майбутні тенденції в аналізі мережевого трафіку

Сфера NTA постійно розвивається, щоб не відставати від змін у технологіях і методологіях зловмисників.

Проблема шифрування

Мабуть, найбільшою проблемою сьогодні є широке використання шифрування (TLS/SSL). Хоча шифрування має важливе значення для конфіденційності, воно робить традиційну перевірку корисного навантаження (сигнатурне виявлення) марною, оскільки IDS не може бачити вміст пакетів. Це часто називають проблемою «затемнення». Галузь реагує такими методами, як:

• Перевірка TLS: Це передбачає розшифрування трафіку на мережевому шлюзі для перевірки, а потім повторне його шифрування. Це ефективно, але може бути обчислювально дорогим і створює проблеми з конфіденційністю та архітектурною складністю.
• Аналіз зашифрованого трафіку (ETA): Новий підхід, який використовує машинне навчання для аналізу метаданих і шаблонів у самому зашифрованому потоці – без розшифрування. Він може ідентифікувати шкідливе програмне забезпечення, аналізуючи такі характеристики, як послідовність довжин пакетів і час, які можуть бути унікальними для певних сімейств шкідливого програмного забезпечення.

Хмарні та гібридні середовища

Оскільки організації переходять у хмару, традиційний мережевий периметр розчиняється. Команди безпеки більше не можуть розміщувати один датчик на інтернет-шлюзі. NTA тепер має працювати у віртуалізованих середовищах, використовуючи власні хмарні джерела даних, такі як журнали потоків AWS VPC, Azure Network Watcher і журнали потоків VPC Google, щоб отримати видимість схід-захід (сервер-сервер) і північ-південь (вхід і вихід) трафіку в хмарі.

Вибух IoT і BYOD

Поширення пристроїв Інтернету речей (IoT) і політики Bring Your Own Device (BYOD) значно розширили поверхню мережевих атак. Багатьом з цих пристроїв бракує традиційних засобів контролю безпеки. NTA стає критично важливим інструментом для профілювання цих пристроїв, визначення базових ліній їх нормальних моделей зв'язку та швидкого виявлення, коли один із них скомпрометовано та починає поводитися аномально (наприклад, розумна камера раптово намагається отримати доступ до фінансової бази даних).

Висновок: Стовп сучасної кіберзахисту

Аналіз мережевого трафіку – це більше, ніж просто техніка безпеки; це фундаментальна дисципліна для розуміння та захисту цифрової нервової системи будь-якої сучасної організації. Виходячи за рамки єдиної методології та охоплюючи змішаний підхід сигнатурного, аномального та державного аналізу протоколів, команди безпеки можуть отримати неперевершену видимість свого середовища.

Хоча такі виклики, як шифрування та хмара, вимагають постійних інновацій, принцип залишається незмінним: мережа не бреше. Пакети, що протікають через неї, розповідають правдиву історію того, що відбувається. Для організацій у всьому світі розвиток здатності слухати, розуміти та діяти на основі цієї історії більше не є необов'язковим – це абсолютна необхідність для виживання в сучасному складному ландшафті загроз.