Сетевая безопасность и анализ сетевого трафика
Сетевая безопасность
Cовокупность мероприятий по защите данных, приложений, устройств и систем, подключенных к сети.
Не будет ошибкой сказать, что сетевая безопасность является краеугольным камнем кибербезопасности.
Базовые способы обеспечения сетевой безопасности
-
Физические - предотвращают несанкционированный физический доступ к сетевым устройствам и средам передачи данных
-
Технические - предотвращают несанкционированный доступ к данным передаваемым по сети (шифрование, туннелирование, авторизованный доступ к сети)
-
Организационные - определяют политики/правила доступа к сети.
Для контроля выполнения вышеописанных способов существуют два основных подхода:
-
Контроль доступа
-
Контроль угроз
Ключевые элементы обеспечения контроля доступа:
-
Сетевой экран
-
Контроль доступа к сети (NAC) - например 802.1x
-
Балансировка нагрузки
-
Сегментация сети
-
VPN
Ключевые элементы управления угрозами:
-
IDS/IPS
-
DLP
-
EPP
-
Security Cloud
-
SIEM
-
SOAR
-
Анализ сетевого трафика
Анализ сетевого трафика
Анализ сетевого трафика (Сетевая криминалистика) - деятельность направленная на исследование сетевого трафика с целью обнаружения IOC/артефактов/потенциальных проблем в сетевом взаимодействии. Позволяет получить достаточную информацию для обнаружения вредоносных действий, нарушений безопасности, соответствия политикам/нормативным актам, работоспособности системы и поведения пользователей
В основе анализа сетевого трафика лежат следующие вопросы:
- Кто? (IP-адрес источника и порт)
- Где? (IP-адрес назначения и порт)
- Что? (Данные)
- Когда? (Время)
- Почему? (как/что произошло)
Чем еще полезен анализ трафика?
-
Инвентаризация сети: Позволяет увидить подключенные устройства, хосты-нарушители, сетевую нагрузку.
-
Ретроспективный анализ: Повторный анализ сохранённых pcap файлов позволяет обнаружить ранее незамеченные IOC
-
Обнаружение утечек данных: Анализ объема, скорости, адреса назначения передачи пакетов в разрезе каждого хоста поможет обнаружить возможную утечку данных.
Преимущества анализа сетевого трафика по отношению к другим способам обнаружения IOC.
-
Поскольку сам трафик и является доказательством подозрительных событий, его сложно уничтожить. Тем не менее, его можно скрыть путем шифрования, туннелирования и манипулирования пакетами.
-
Практически любая современная вредоносная активность не происходит без связи с С2. Анализ трафика поможет выявить такое взаимодействие даже в том случае, если вредоносное ПО существует только в памяти и не записано на диск.
Сложности при анализе сетевого трафика
-
Для полноты картины, трафик нужно собирать и анализировать постоянно. Это влечёт увеличение расходов на инфраструктуру
-
Зашифрованный трафик также может быть проблемой. При этом все же имеются способы "легального MitM", используя например squid ssl bump. Кроме того зашифрованные данные все равно могут предоставить ценную информацию, такую как адрес источника, назначения, клиентские приложения. Так же не стоит забывать про TLS fingeprint с его JAR3, JAR3S и JARM хэшами
-
Сохранение и анализ трафика - это то же самое, что "запись всего, что передается по проводам"; следовательно, это действие должно соответствовать НПА по обработке конфиденциальной информации и ПДн (152-ФЗ, GDPR, PCI-DSS и т.д.)
Источники данных
Источниками данных являются как специальные технологии/оборудование:
-
Ответвители трафика (Test Access Point)
-
Технологии зеркалирования SPAN (RSPAN, ERSPAN)
Так и системы непосредственно участвующие в сетевом взаимодействии:
-
Коммутаторы
-
Маршрутизаторы
-
DHCP, DNS серверы
-
Контроллеры домена
-
Серверы аутентификации
-
Брандмауэры
-
Веб-прокси
-
Серверы хранения логов