Co w sieci piszczy?

21 Października 2020|Tagi: sieci

Mówiąc o monitorowaniu sieci często mamy na myśli jedynie monitorowanie ruchu sieciowego pod kątem sprawnego działania np. wytrzymałość łączy na generowany ruch, obciążenie urządzeń sieciowych zapominając jak ważny jest element widoczności tego, co dzieje się w samym ruchu sieciowym. Widoczność zdarzeń zachodzących w ruchu sieciowym pozwala na wczesne wykrycie anomalii czy pewnych charakterystyk świadczących o cyberzagrożeniu.

Wykrywanie zagrożeń w infrastrukturze IT jest kluczowym elementem zarządzania bezpieczeństwem IT. Bez skutecznej detekcji incydentów bezpieczeństwa, nie możemy mówić o planowaniu reakcji. W pierwszej kolejności należy wykryć zdarzenie, odpowiednio zakwalifikować, aby następnie móc właściwie zareagować – czy to w sposób zautomatyzowany, czy też za pośrednictwem zespołów bezpieczeństwa IT. Reakcja jest dopiero kolejnym etapem (wykryj → reaguj).

Działania cyberprzestępców w większości przypadków nakierowane są na jak najpóźniejsze ujawnienie, aby móc uzyskać jak najwięcej danych, które następnie posłużą do szantażu i uzyskania większego okupu za nieujawnianie wykradzionych danych lub/i klucze deszyfrujące. W takim przypadku krytyczna staje się widoczność tego, co dzieje się w infrastrukturze IT. Kluczowa jest również szybkość wykrycia incydentów bezpieczeństwa i zastosowanie odpowiednich kroków w celu ochrony własnych zasobów.

Monitorowanie bezpieczeństwa powinno koncentrować się na zapewnieniu odpowiedniego wglądu w informacje, które pomogą analitykom bezpieczeństwa wykrywać, badać i reagować na zagrożenia i kampanie ataków w wielu punktach infrastruktury IT – ruch sieciowy, urządzenia sieciowe, serwery, komputery użytkowników.

 

IDS - co dzieje się „na łączach”

Jednym z rozwiązań pozwalających na wgląd w zdarzania zachodzące w ruchu sieciowym jest technologa IDS - Intrusion Detection System, a konkretnie to NIDS - Network Intrusion Detection System. NIDS to system, który w czasie rzeczywistym analizując to co dzieje się „na łączach” sieciowych zapewnia wczesne wykrywanie incydentów bezpieczeństwa. NIDS zapewnia wiedzę o tym co dzieje się w naszej sieci, pozwala wykrywać odstępstwa od przyjętych ram oraz raportować o nieprawidłowościach.

Współczesne systemy NIDS to skuteczne narzędzia monitorujące sieć - zaczynając od prostego podsłuchiwania pakietów, a kończąc na zaawansowanym systemie opartym na regułach. Wdrożenie takiego rozwiązania daje szeroki zakres mechanizmów detekcji mogących w czasie rzeczywistym dokonywać analizy ruchu i rejestrowania pakietów w sieciach opartych na protokołach IP/TCP/UDP/ICMP. Systemy NIDS potrafią przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak przepełnienia bufora, skanowanie portów typu stealth, ataki na usługi WWW, SMB, próby wykrywania systemu operacyjnego i wiele innych.

Jednym z wyzwań wdrożeniowych rozwiązania Network Intrusion Detection System jest sposób umiejscowienia go w infrastrukturze IT. W zależności od miejsca gdzie NIDS zostanie wdrożony ruch sieciowy może być do niego kopiowany za pomocą SPAN portu (port mirroring) ewentualnie urządzenia TAP[1] lub sam może uczestniczyć w wymianie ruchu – jako aktywny element pośredniczący (inline).

 

Rys. 1 Uproszczony schemat wdrożenia systemu NIDS w trybie pasywnym

W pierwszym przypadku musimy mieć świadomość, iż NIDS, który nie uczestniczy bezpośrednio w wymianie pakietów nie jest w stanie zablokować natychmiast podejrzanego ruchu. Analiza odbywa się „z boku” dlatego też reakcja może być opóźniona np. blokada podejrzanego adresu IP może nastąpić nie w pierwszej próbie nawiązania połącznia, a w kolejnej.

 

Rys. 2 Uproszczony schemat wdrożenia systemu NIDS w trybie aktywnym (inline) 

W drugim przypadku, gdy NIDS aktywnie uczestniczy w ruchu sieciowym jest on w stanie natychmiast zablokować podejrzany ruch (stając się de facto systemem IPS[2]). Jednak to rozwiązanie może wymagać dużych zasobów po stronie sprzętu, na którym posadowiony jest system, tak aby przy dużym natężeniu ruchu sieciowego nie powodował opóźnień. Przeanalizowanie pakietów, porównanie do reguł i wzorców, wykrycie anomalii a następnie podjęcie decyzji o blokadzie lub przepuszczeniu może powodować zmniejszenie wydajności sieci.

Systemy NIDS używają głównie dwóch metod detekcji intruzów:

  • bazującej na sygnaturach (signature-based) - odnosi się do wykrywania ataków poprzez wyszukiwanie określonych wzorców, takich jak sekwencje bajtów w ruchu sieciowym lub znane złośliwe sekwencje instrukcji wykorzystywane przez złośliwe oprogramowanie;
  • bazującej na anomaliach (anomaly-based) – wprowadzone przede wszystkim w celu wykrywania nieznanych ataków. System najpierw uczy się wzorcowego ruchu sieciowego aby wykorzystać go do stworzenia modelu aktywności godnej zaufania, a następnie porównanie nowego zachowania z tym modelem.

W przypadku detekcji bazującej na regułach, warto wspomnieć o grupie Cisco Talos,  która to jest zespołem czołowych ekspertów ds. bezpieczeństwa sieci. Zespół ten pracuje nad wykrywaniem, oceną i reagowaniem na najnowsze trendy w zakresie działań cyberprzestępców, prób włamań i luk w zabezpieczeniach. Wspierany jest on również przez ogromne zasoby społeczności Snort (open source NIDS), co czyni go największą grupą zajmującą się detekcją zagrożeń w branży bezpieczeństwa sieci. Grupie CiscoTalos jest autorem zestawu reguł dla systemów wykrywania zagrożeń. Uzbrojenie systemu NIDS w reguły od Cisco Talos powoduje bardzo duży skok efektywności wykrywania niepożądanych zdarzeń w sieci.

Natomiast techniki wykrywania anomalii mogą wykrywać zarówno nowe, jak i znane ataki, jeśli wykazują duże różnice w stosunku do profilu normalnego ruchu sieciowego. Ponieważ techniki te sygnalizują wszystkie wykryte anomalie jako alerty, można spodziewać się fałszywych alarmów (false positive) - gdy anomalie są spowodowane nieprawidłowością zachowania, a nie wtargnięciem. Dlatego też techniki rozpoznawania wzorców i techniki wykrywania anomalii są często używane razem, aby się wzajemnie uzupełniać.

 

Ruch szyfrowany – wyzwanie nie do przejścia?

Kolejnym wyzwaniem, do pokonania w przypadku wdrożenia systemów wykrywania naruszeń, jest szyfrowany ruch sieciowy. Obecnie zaszyfrowany ruch sieciowy stanowi ponad 90% całego ruchu[3], przewiduje się również, że w 2020 ponad 70% kampanii złośliwego oprogramowania będzie używać pewnego rodzaju szyfrowania w celu ukrycia dostarczenia złośliwego oprogramowania, aktywności command-and-control lub nieautoryzowanego dostępu do danych3.

Z wyzwaniem postawionym przez szyfrowany ruch sieciowy możemy poradzić sobie na 3 sposoby:

  • poddanie inspekcji tylko procesu uzgadniania ruchu SSL/TLS;
  • deszyfrowanie ruchu sieciowego;
  • rozwiązania umożliwiające analizę ruchu sieciowego bez konieczności deszyfrowania np. technologia CiscoEncrypted Traffic Analytics (ETA).

Pierwsze rozwiązanie bada jedynie poprawność procesu uzgadniania ruchu szyfrowanego. Po ustaleniu, że ruch jest zaszyfrowany i prawidłowo uzgodniony między odbiorcą i nadawcą, nie przeprowadza dalszej kontroli danych dotyczących połączenia. System IDS przy prawidłowym uzgodnieniu połączenia szyfrowanego nie ma informacji o przysyłanych pakietach. Oczywiście nadal na podstawie dostępnych danych np. z serwera DNS z połączeniem reguł system IDS jest wstanie wykryć wiele zagrożeń np. gdy w sieci pojawiają się domeny o niskiej reputacji czy adresy IP znajdujące się na czarnych listach (dostarczanych np. przez Cisco Talos).

 

Rys. 3 Uproszczony schemat deszyfrowania ruchu sieciowego

Drugie rozwiązanie, mające na celu deszyfrowanie daje pełen wgląd co dzieje się wewnątrz zaszyfrowanego ruchu sieciowego. Niestety nie jest to rozwiązanie idealne.  Zadanie szyfrowania i deszyfrowania ruchu szyfrowanego powoduje znaczne obciążenie infrastruktury sieciowej co może prowadzić do zmniejszenia ich wydajności. Według firmy F5 Networks w przypadku zapory nowej generacji podczas inspekcji zaszyfrowanego ruchu jej wydajność spada aż o 81%. Dobrym rozwiązaniem tego problemu jest zastosowanie oddzielnego urządzenia odpowiedzialnego za deszyfrowanie ruchu.

Jednym z najlepszych rozwiązań deszyfrujących ruch sieciowy jest SSL Orchestrator od  firmy F5 Networks, które pozwala na inspekcję wcześniej zaszyfrowanego ruchu i dostarczenie go w postaci niezaszyfrowanej do rozwiązań typu NIDS. Zapewnia to doskonałą widoczność ruchu i w konsekwencji pozwala zredukować wielkość urządzeń służących do jego przyjmowania np. NGFW. W przeciwieństwie do innych rozwiązań na rynku, opartych na wykorzystaniu oprogramowania SSL w technice MITM (Man-In-The-Middle), F5 stosuje akcelerację sprzętową przetwarzania ruchu SSL (odciążanie SSL). Rozwiązanie to obsługuje zarządzanie oparte na zasadach i sterowanie przepływami ruchu do istniejących urządzeń zabezpieczających. Jest zaprojektowane tak, aby można je było łatwo zintegrować z istniejącymi architekturą sieci, a także centralizuje funkcję odszyfrowywania  SSL. Ponadto dba o prywatność, która odgrywa kluczową sprawę przy deszyfrowaniu ruchu.

Należy pamiętać, że deszyfrowanie ruchu sieciowego powinno odbywać się z poszanowaniem prywatności użytkownika, bo czy powinniśmy deszyfrować ruch w momencie gdy pracownik w przerwie na kawę sprawdza wyniki swoich badań lekarskich lub stan konta w banku? Firma F5 w swoim produkcie wprowadziła specjalne, na bieżąco aktualizowane filtry, dzięki którym możemy wyłączyć pewien ruch z deszyfracji. Poprzez proste użycie reguł możemy wyłączyć z inspekcji ruch dotyczący spraw medycznych, finansowych czy portali społecznościowych.

 

Rys. 4 Architektura rozwiązania SSL Orchestrator źródło: https://www.f5.com/

Godnym uwagi rozwiązaniem w temacie wglądu w szyfrowany ruch sieciowy jest również Cisco Encrypted Traffic Analytics (ETA), które przy wykorzystaniu najnowszej technologii umożliwia wykrywanie niepożądanych zdarzeń w zaszyfrowanej transmisji bez konieczności odszyfrowywania pakietów i analizy treści. To unikalne rozwiązanie pozwala administratorom ds. bezpieczeństwa zapewnić wysoki poziom ochrony bez deszyfrowania i naruszania prywatności przesyłanych w sieci informacji.

 

Rys. 5 CISCO Encrypted Traffic Analytics (ETA), źródło: https://community.cisco.com/

Cisco ETA wykorzystuje mechanizmy analizy ruchu w sieci i wielopoziomowy system uczenia maszynowego do wykrywania różnic między standardową transmisją danych, a ruchem zawierającym szkodliwy malware. Działanie tego rozwiązania, po pierwsze polega na analizie pierwszego pakietu danych przesyłanych zaraz po nawiązaniu połączenia, który może zawierać wiele wartościowych informacji dotyczących pozostałej treści. W kolejnym kroku analizuje jaka jest sekwencja długości i czasu transmisji kolejnych pakietów, co dostarcza kluczowych wskazówek dotyczących charakteru przesyłanych danych. Ponieważ mechanizmy detekcji zagrożeń są wspomagane przy wykorzystaniu uczenia maszynowego, następuje ich ciągłe dopasowanie do co raz to nowszych cyberzagrożeń, a efektywność pozostaje wysoka i nie zmienia się w czasie.

Podsumowując

Widoczność zagrożeń w infrastrukturze IT oraz ich wykrywanie na wczesnym etapie pojawienia się jest kluczowa aby sprawnie zarządzać cyberbezpieczeństwem w firmie. Monitorowanie i wykrywanie zagrożeń jest fundamentem bezpieczeństwa. Wgląd w zdarzenia zachodzące w infrastrukturze IT dostarcza niezbędnej wiedzy aby w odpowiedni sposób reagować na pojawiające incydenty i chronić o firmowe zasoby. Nowoczesne systemy NIDS to jak nowa para okularów, gdy pogarsza Ci się wzrok – zaczynasz widzieć więcej, co znacząco podnosi bezpieczeństwo i minimalizuje ryzyko stania się celem cyberataku.

 

Jeśli chciałbyś zacząć w odpowiedni sposób monitorować bezpieczeństwo w swojej firmie zapraszam do kontaktu. Dzięki wiedzy inżynierów Atende i bogatego portfolio produktów własnych oraz naszych partnerów jesteśmy w stanie dobrać idealne rozwiązanie dla każdego naszego klienta.

 


[1] TAP (ang. Test Access Point) - pasywne urządzenie elektroniczne lub optyczne, którego zadaniem jest dostarczenie kopii ruchu sieciowego.

[2] IPS (ang. Intrusion Prevention System) – system, którego zadaniem jest wykrywanie podejrzanego ruchu sieciowego oraz jego zablokowanie. W uproszczeniu możemy powiedzieć, iż jest to połączenie systemu NIDS z zaporą sieciową.

[3] Cisco Encrypted Traffic Analytics https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/enterprise-network-security/nb-09-encrytd-traf-anlytcs-wp-cte-en.pdf

 

Karol Kij, Kierownik Produktu, Dział Rozwiązań Cyberbezpieczeństwa