Обнаружение аномалий на сетевом уровне с Cisco StealthWatch

Изначально разработанный для учета трафика, обнаружения и классификации проблем в сети, протокол NetFlow и его «клоны» (sFlow, J-Flow, cFlow, NetStream, Packeteer-2, IPFIX, nvzFlow и другие) собирает данные, которые могут быть применены и для целей сетевой безопасности. Сетевая телеметрия помогает ответить на вопросы – «Кто подключается к сети?», «Что подключается?», «Как подключается нечто?», «Когда нечто подключается?» и «Откуда и куда подключается нечто?».

Однако специалистов по безопасности интересует не только типовая информация, которую можно собрать с помощью любого бесплатного open source коллектора NetFlow – необходима готовая аналитика, способная сразу указать на проблемы и угрозы информационной безопасности, среди которых:

• Проникновение в сеть — вход в корпоративную сеть, минуя традиционный периметр (например, через незащищенный Wi-Fi или 3G/4G-модемы) или используя уязвимости и некорректную конфигурацию МСЭ.
• Распространение вредоносных программ внутри сети — распространение вредоносных программ между узлами с целью сбора разведывательных данных о состоянии защищенности, кражи данных или создания обходных путей для входа в сеть.
• Управляющий трафик ботнетов и троянцев — соединения между злоумышленником, узлами-посредниками и скомпрометированными внутренними узлами.
• Кража данных — экспорт конфиденциальных данных злоумышленнику, обычно путем использования инкапсулированного и разрешенного на МСЭ трафика (ICMP, DNS и т.п.).
• Необычные соединения – попытки внутренних узлов установить одноранговые (пиринговые) подключения с другими узлами в своей сети, или узлы, которые обмениваются данными с необычными регионами мира.
• Отказ в обслуживании.

Существует два вида телеметрии NetFlow:

• Выборочная (семплированный трафик) — отбирается небольшой объем трафика (обычно менее 5%), который затем используется для генерации телеметрических данных NetFlow. Это дает краткое представление о сетевой активности и схоже с беглым пролистыванием книги.
• Полная (несемплированный трафик) — для генерации телеметрических данных NetFlow используется весь трафик и формируется комплексное представление обо всех сетевых операциях. Если снова проводить аналогию с книгой, этот процесс схож с чтением каждого напечатанного слова.

Для эффективного обнаружения внутренних угроз без установки дополнительных сенсоров традиционных систем обнаружения вторжений требуется полная прозрачность и контроль сетевого трафика. Единственным способом достижения этой цели является использование полной телеметрии NetFlow или его «клонов». И вот тут в полной мере проявляется эффективность сетевого оборудования компании Cisco, которое способно собирать данные NetFlow на скорости канала передачи без нарушения производительности. Благодаря последним разработкам в области коммутаторов Cisco Catalyst стало возможным использование первой в отрасли повсеместно распространенной телеметрии сетевого трафика – от границы доступа пользователей до ядра коммутируемой сети. Действующие со скоростью канала передачи и не оказывающие влияния на производительность функции телеметрии NetFlow коммутаторов Cisco Catalyst серии 3560-X, 3750-X, 4500 и 6500 позволяют понять характеристики трафика угроз, которые проникли через периметр безопасности и пытаются остаться незаметными для традиционных периметровых средств отражение угроз.

Решение Cisco StealthWatch

В сетевой инфраструктуре Cisco, поддерживающей полную телеметрию NetFlow, можно защитить уже сделанные инвестиции, превратив сеть в полноценную систему защиты информации. Система StealthWatch, предлагаемая компанией Cisco, специально разработана для агрегации и стандартизации больших объемов данных NetFlow и последующего применения к ним результатов анализа безопасности для обнаружения вредоносного и подозрительного трафика, представленного в консоли управления StealthWatch Management Console.

Архитектура решения Cisco по анализу сетевых аномалий состоит из четырех основных функциональных компонентов:

• Сбор телеметрических данных в масштабах сети: экспорт данных NetFlow из уже развернутых в сети коммутаторов, маршрутизаторов, беспроводных контроллеров, межсетевых экранов и оконечных устройств, поддерживающих протокол nvzFlow.
• Объединение, структурирование и анализ телеметрических данных NetFlow для выявления угроз и подозрительных поведений: система Cisco StealthWatch, которая использует свыше ста различных алгоритмов обнаружения аномалий и поведения.
• Предоставление контекстной информации для определения характера и уровня серьезности угрозы (а также блокирование обнаруженных угроз): данные об идентификации пользователей, профилировании оконечных устройств и оценке состояния, получаемые от Cisco Identity Services Engine.

Расследование сетевых инцидентов: захват сетевых пакетов, их хранение и анализ с помощью Cisco Security Packet Analyzer.

Основные компоненты системы Cisco StealthWatch:

• FlowCollector — физическое или виртуальное устройство, которое собирает данные NetFlow и данные о приложениях по протоколу NBAR с коммутаторов Cisco Catalyst, маршрутизаторов Cisco с интеграцией сервисов (ISR), маршрутизаторов с агрегацией сервисов (ASR) серии 1000, устройств NetFlow Generating Appliance, беспроводных контроллеров, многофункциональных защитных устройств Cisco ASA 5500-X, защитных агентов Cisco AnyConnect, которые могут быть установлены на ОС Windows, Linux, MacOS, iOS, Android, BlackBerry и др.
• Консоль управления StealthWatch Management Console — физическое или виртуальное устройство, которое объединяет, упорядочивает и представляет собранные с FlowCollector данные, контекстную информацию от Cisco Identity Services Engine, а также другой сетевой контекст в виде графических схем сетевого трафика и информационных потоков, сведения об идентифицированных пользователях и т.п.

Дополнительные компоненты системы Cisco StealthWatch:

• FlowSensor — физическое или виртуальное устройство, являющееся дополнительным решением для генерации NetFlow для устаревших сетевых инфраструктур Cisco, которые не поддерживают формирование передаваемых со скоростью канала полных данных NetFlow. Они подходят для использования в средах, где для обеспечения ИТ-безопасности предпочтительной является выделенная дополнительная архитектура, отделенная от сетевой инфраструктуры или наложенная на нее.
• UDP Director (прежнее название – FlowReplicator) — физическое устройство, которое в одном месте (например, на удаленной площадке) собирает данные NetFlow и направляет их в виде единого и сжатого потока на FlowCollector.
• Cloud Concentrator – виртуальное устройство, которое собирает данные NetFlow от программных агентов StealthWatch Cloud Agent, установленных в частных или публичных облаках.

Расширение Cisco StealthWatch за счет контекста безопасности

В основе процесса обнаружения и контроля угроз во внутренней сети лежат действия по идентификации подозрительного или явно аномального трафика за счет анализа телеметрии NetFlow. Однако для выяснения намерений и уровня серьезности угроз требуется чуть больше контекстной информации. Например, мы должны иметь возможность отслеживать аномалии даже если устройство работает за NAT или через прокси. Мы должны увязывать телеметрию NetFlow с данными о приложениях, а также с данными об известных вредоносных сайтах или узлах, с которыми пытается взаимодействовать внутренний сетевой узел. И конечно же любому специалисту по сетевой безопасности хотелось бы оперировать не просто IP-адресами узлов, с которых или на которые фиксируются сетевые аномалии, а привязывать эту информацию к пользователям, которые работают за данными узлами, а также оперативно получать информацию о самих узлах – где они расположены, что это за устройство, какие операционные системы и приложения на них функционируют и т.п. Вся эта информация доступна в решении Cisco StealthWatch за счет ряда дополнительных лицензий или внешних решений.

Ключевым элементом для выяснения потенциальной угрозы является контекстная информация о пользователе, который выбран в качестве цели или который является источником нарушения политик безопасности в организации. С помощью Cisco Identity Services Engine (ISE), ведущего механизма поддержки сетевой политики Cisco, информацию о пользователе, профиле устройства и данные оценки состояния можно привязать к данным NetFlow в консоли управления StealthWatch Management Console, и сформировать, таким образом, унифицированное представление моделей подозрительного трафика и информации о пользователях, необходимой для определения вредоносного характера этого трафика. Cisco Identity Services Engine в составе решения Cisco StealthWatch позволяет получить ответы на следующие вопросы:

• Кто является целью угроз? — Определение взаимосвязи подозрительного трафика с пользователями.
• Является ли пользователь важной целью? — Должность и роль пользователя в организации (для Active Directory/LDAP).
• К какой информации имеет доступ пользователь? — Группа сетевой авторизации, в которую входит пользователь.
• С какого устройства пользователь получает трафик? — Ноутбук, смартфон и т. д.
• Возникали ли у пользователя в последнее время ошибки оценки состояния безопасности? — Статус событий помещения в карантин и оценки состояния.
• Существуют ли другие события, связанные с сеансами пользователя? — Доступ ко всем событиям AAA, касающимся пользователя.
• Как лучше всего устранить проблемы, имеющие отношение к пользователю? — Полная прозрачность событий и состояния пользователя, затронутого угрозой, необходимая для определения и выполнения правильных следующих действий по устранению угроз.

Кроме того, следует обратить внимание на приложение, связанное с подозрительным трафиком, которое представляет собой ключевой момент в расшифровке природы и серьезности угрозы. Данные о приложении можно получить из информации NBAR, собранной из маршрутизаторов Cisco. Эта информация также собирается для передачи в консоль управления Cisco StealthWatch Management Console.

Соединения, проходящие через шлюз NAT, могут быть представлены и проанализированы в виде единого потока на экране анализа трафика в консоли управления Cisco StealthWatch с помощью функции «сшивки NAT». В этом случае аналитик безопасности может просматривать информацию о внутренних и внешних адресах преобразованных подключений в правильном контексте, упрощая задачи своевременного выполнения анализа и реагирования на угрозы, а также поиска пробелов в конфигурации межсетевых экранов. С помощью функции ProxyWatch решение Cisco StealthWatch может «видеть» и анализировать сетевой трафик, проходящий даже через прокси-сервера.

Наконец, для того, чтобы связать анализируемый сетевой трафик с внешними управляющими серверами ботнетов и троянцев, решение Cisco StealthWatch может регулярно получать информацию о IP-адресах вредоносных узлов в сети Интернет, которая обновляется с очень высокой частотой – один раз в 3-5 минут (с помощью лицензии StealthWatch Lab Intelligence Center Threat Feed). Это позволяет оперативно отслеживать заражения и компрометации внутренних узлов, которые пытаются установить связь (для загрузки вредоносных расширений или передачи украденной информации) с внешним миром.

Контроль облачных сред

Контроль собственной внутренней сети становится гораздо проще и прозрачнее с помощью решения Cisco StealthWatch. Однако многие организации все чаще и чаще начинают задумываться о переносе части своей инфраструктуры в облачные среды, например Amazon Web Serviсes (AWS). Хорошо, если речь идет о частном облаке на базе виртуализированной инфраструктуры, в которой мониторинг трафика можно обеспечить с помощью модуля Cisco StealthWatch FlowSensor. Но что делать, если компания переходит в публичное облако или использует гибридные схемы? Как мониторить то, что не принадлежит заказчику, но хранит его конфиденциальные данные?

Некоторые облачные провайдеры предлагают возможность выгрузки логов для их анализа. Например, в Amazon Web Services есть VPC Flow Logs, но, к сожалению, возможность настройки для логов почти отсутствует, как и управление временными интервалами, за которые вам могут понадобиться журналы регистрации. Для решения данной задачи можно использовать программных агентов StealthWatch Cloud Agent, которые устанавливаются на каждой облачной платформе, используемой в организации. Этот агент мониторит весь трафик внутри облака, а затем телеметрию NetFlow транслирует на StealthWatch Cloud Concentrator, который затем передает ее в FlowCollector и отображает с помощью единой консоли мониторинга внутренних и облачных сред StealthWatch Management Console, включая и отображение информационных потоков и сетевой карты взаимодействующих облачных узлов.

Контроль мобильных устройств за пределами корпоративной сети

Но облака – это не единственная тенденция последних лет, которая накладывает свой отпечаток на обеспечение информационной безопасности. Мобильные устройства, вынесенные за пределы корпоративного периметра и никак не защищенные сонмом межсетевых экранов, средств предотвращения вторжения, систем фильтрации трафика, вызывают большие опасения у специалистов по ИБ. При этом установленные на такие устройства мобильные версии популярных антивирусов не всегда справляются со своей задачей, особенно если в их базе отсутствуют сигнатуры вредоносных программ, а ресурсов мобильного устройства не хватает для реализации различных эвристических алгоритмов. Как быть в такой ситуации? Можно ограничить сетевое взаимодействие мобильного устройства, перенаправив весь трафик с него на корпоративный периметр или защитное облако (так делает унифицированный защитный агент Cisco AnyConnect), а можно мониторить аномалии на устройстве, связанные с действия приложений или пользователей.

Недавно компания Cisco разработала протокол nvzFlow, который как раз и предназначен для расширения функций NetFlow и переноса его с уровня сетевой инфраструктуры на уровень отдельных пользовательских устройств и серверов. С помощью nvzFlow, встроенного в Cisco AnyConnect, теперь можно всю активность на мобильном устройстве транслировать в аналог NetFlow и передавать его на StealthWatch FlowCollector для последующего анализа наряду с телеметрией внутренней сети или облачных сред.

Расследование сетевых инцидентов и реагирование на них

Разумеется, мониторинг аномалий во внутренней сети предприятия, в неконтролируемом облаке или на мобильном устройстве, задачи полезные и очень важные в деле обеспечения сетевой безопасности, но… Любой специалист по ИБ хотел бы не только видеть, что происходит в сети, но и блокировать нарушения политик сетевой безопасности, а также проводить расследование инцидентов. Cisco StealthWatch помогает решить и эти две задачи – как самостоятельно, так и путем интеграции с другими решениями Cisco по безопасности. Например, возможны реализации следующих сценариев:

• За счет интеграции с ранее упомянутым Cisco ISE возможно автоматически помещать скомпрометированные или иным образом нарушившие политики ИБ узлы в карантин.
• Можно «заморозить» учетную запись пользователя, подключающегося к корпоративному облаку с неразрешенного устройства.
• В случае превышения дневной квоты на скачивание данных из Интернет возможно дать команду на блокирование как устройства-нарушителя, так и самого пользователя-нарушителя на периметровом межсетевом экране Cisco ASA или Cisco Firepower.
• Отправка сигнала тревоги в случае обнаружения в сетевом трафике любых комбинаций интересующих полей – узел, пользователь, устройство, порт, протокол, сегмент, приложение, направление и т.д.
• Захват интересующих сетевых сессий с помощью Cisco Security Packet Analyzer и проведение глубоких расследований инцидентов безопасности.

Заключение

Сетевая безопасность современной сети – это не только и не столько классический набор из межсетевого экрана, системы предотвращения вторжений и фильтрации контента. Современные угрозы давно вышли за пределы периметра и могут попасть во внутреннюю сеть множеством других способов – от проникновения через незащищенный Wi-Fi или 3G/4G-модем, до заражения с флешки или в рамках синхронизации с мобильным устройством. Поэтому перед службами ИБ стоит задача не только обезопасить свой периметр, но и контролировать то, что происходит внутри. При этом возможности поставить на каждый порт коммутатора сенсор системы обнаружения атак не представляется возможным как по финансовым, так и по техническим причинам.