Как выявить вредоносную активность в ЛВС без ущерба для производительности сети

Как выявить вредоносную активность в ЛВС без ущерба для производительности сети

Сегодня, в условиях постоянно растущего количества приложений и пользователей, ИТ-инфраструктура организации находится в состоянии постоянного изменения. Повсеместное распространение мобильных гаджетов и стремление сотрудников организаций к использованию личных устройств для работы с корпоративными IT-системами привели к тому, что четкое определение периметра сети как точки применения правил обеспечения информационной безопасности становится проблематичным.

Широкое применение технологий виртуализации, приложений для совместной работы и использование внутренних и публичных социальных сетей для нужд организации привело к тому, что потоки сетевого трафика стали слабо предсказуемыми. Как следствие, отражение угроз стало сложнее, а успешные атаки и утечки данных гораздо труднее обнаружить, особенно в территориально-распределенной сети.

В настоящее время сложно представить организацию, в которой не применяются самые базовые меры обеспечения информационной безопасности, такие как контроль потоков сетевого трафика в точке сопряжения с внешними сетями. К ним относятся средства защиты и контроля периметра, например, межсетевые экраны, системы обнаружения и предотвращения вторжений (Intrusion Prevention Systems, IPS). Во многих сетях используются и более продвинутые системы – например, контроль утечек данных (Data Loss Prevention, DLP). Часто встречается внедрение межсетевых экранов и IPS не только на периметре, но и внутри сети – например, для защиты серверных сегментов.

Традиционные межсетевые экраны фильтруют сетевые взаимодействия на уровне IP-адресов и протоколов сетевого и транспортного уровня модели OSI. Многие IPS-системы используют для контроля сетевых атак сигнатурные методы обнаружения вредоносной активности, одним из недостатков которых является значительная вероятность ошибок второго рода (false negatives) – т.е. IPS не обнаруживает атаку, для которой в базе нет соответствующей сигнатуры. Системы DLP также используют сигнатурные методы, хотя и на более высоком уровне модели OSI – цифровые отпечатки документов, и таким образом имеют аналогичные недостатки.

Применение статистических методов анализа – т.е. контроль аномалий трафика, в рамках устройств, выполняющих функции межсетевого экрана и/или IPS, не очень эффективно в силу ограниченности их ресурсов для полноценного, например, в масштабах дня или недели, сбора статистических данных о сетевом трафике.

Не секрет, что достаточно давно существуют методы обеспечения безопасности на уровне доступа ЛВС, такие как:

• статическая и динамическая привязка адресов сетевых адаптеров ПК к портам активного сетевого оборудования;
• аутентификация пользователей по технологии IEEE 802.1x;
• проверка состояния ПК с применением технологий Network Admission Control в различных вариантах.

Современные решения, такие как система Cisco Identity Services Engine (ISE), имеют возможность использовать для анализа данные о контексте подключения к ЛВС, предоставляя ответы на вопросы:

• кто подключается к сети;
• с помощью какого устройства происходит подключение и соответствует ли состояние устройства политикам безопасности;
• где происходит подключение;
• с помощью какой технологии доступа (проводная, WiFi, VPN) осуществляется подключение.

Однако, как показывает практика, они не обеспечивают достаточный уровень контроля при постоянно меняющихся условиях.

Как следствие, существует весьма значительное количество потоков трафика, которые либо не контролируются имеющимися средствами, либо проходят через них, не вызывая подозрений, хотя несут угрозу IT-ресурсам организации.

К упомянутым потокам можно отнести такие сетевые взаимодействия, как:

• эпидемии сетевых «червей», распространяющиеся внутри сегментов ЛВС;
• «длинные» соединения и «медленные» атаки;
• сетевые соединения между виртуальными машинами в среде виртуализации;
• передача данных с применением криптографии или стеганографии;
• внутренние по отношению к ЛВС организации бот-сети;
• DoS и DDoS атаки на не доступные извне IT-ресурсы.

Общим свойством для указанных «неконтролируемых» потоков является то, что они проходят через активное сетевое оборудование ЛВС и распределенной сети – коммутаторы и маршрутизаторы.

Решением, позволяющим эффективно собирать, анализировать и использовать статистические данные о потоках сетевого трафика, является система Cisco Cyber Threat Defense. Принцип работы системы следующий: с помощью сенсоров собираются статистические данные о потоках трафика, которые по протоколу NetFlow передаются с активного сетевого оборудования модулю анализа, и на основе собранных данных строится профиль сетевой активности для каждого внутреннего хоста. В случае обнаружения отклонений от «нормального» профиля выполняется дополнительный анализ сетевых взаимодействий на предмет комплексных вредоносных активностей, таких как распространение «червей» или DDoS-атака, и осуществляется оповещение IT- и ИБ-администраторов.

Архитектура решения эффективно сочетает следующие элементы:

• механизмы сбора статистических данных по протоколу Netflow – сетевые коммутаторы Cisco Catalyst, маршрутизаторы, межсетевые экраны, сетевые сенсоры;
• модуль хранения и анализа информации о потоках трафика на базе системы StealthWatch компании Lancope;
• информацию о контексте сетевого взаимодействия, предоставляемую системой Cisco ISE и активным сетевым оборудованием, которая может использоваться для определения степени серьезности угрозы.

Как можно заметить, традиционно компания Сisco Systems предлагает владельцам своего оборудования стратегический подход на сохранение ранее сделанных вложений. Этот подход прослеживается и в решении Cisco Cyber Threat Defense: основные инфраструктурные элементы сбора и отправки данных о трафике по протоколу NetFlow в значительной мере уже имеются в сети – это маршрутизаторы и коммутаторы. Межсетевые экраны Cisco ASA также пользуются популярностью и поддерживают передачу информации о сетевой активности по протоколу NSEL (Netflow Secure Event Logging). Многие организации уже приступили или имеют планы по внедрению современного решения контроля доступа к ЛВС на базе системы Cisco ISE.

Что же кроется за модулем анализа, увязывающим воедино вышеперечисленные элементы решения, уже имеющиеся в компании?

Система StealthWatch включает в себя следующие компоненты:

• сетевые сенсоры (Flow Sensor) – предназначенные для сбора данных о трафике из сетевых сегментов с устаревшим оборудованием или оборудованием, не поддерживающим протокол NetFlow, а также из среды виртуализации;
• коллекторы (Flow Collector) – предназначены для сбора, хранения и корреляции данных о сетевых потоках;
• консоль управления – обеспечивает централизованное управление системой, а также построение разнообразных отчетов.

Внедрение системы происходит достаточно безболезненно, т.к. она не нарушает существующей конфигурации сети и через нее не проходят потоки трафика. Для любой системы сбора и анализа статистики необходимо первичное накопление информации, на основе которой формируется базовый профиль сетевой активности для каждого хоста с обязательным учетом его типа – веб-сервер или принтер получат различные профили. В результате внедрения администратор приобретает возможность получить сводную информацию по многим вопросам, в том числе:

• как выглядит «нормальное» состояние сети – каковы объемы трафика, какие приложения и сервисы нагружают сеть, блокирует ли МСЭ попытки рекогносцировки, что происходит внутри виртуальной инфраструктуры;
• нет ли эпидемии неизвестного «червя» и не стали ли ПК в сети частью ботнета;
• кто из пользователей выгружает во внешние сети аномально большое количество данных и к какому порту коммутатора он подключён.

В чьих интересах – IT- или ИБ-подразделения – работает решение Cisco Cyber Threat Defense? Учитывая отсутствие непосредственного влияния на доступность и производительность инфраструктуры, а также богатые возможности по анализу и контролю – скорее всего – помогает обоим.