Стратегия 6. Часть 2. Мониторинг сетей

8.2 Мониторинг сетей

В большинстве SOC система обнаружения инцидентов и сбора данных по ним опирается на набор сетевых сенсоров, размещенных в инфраструктуре заказчика. Для осуществления качественного сетевого мониторинга аналитику необходимы три элемента:

  1. Начальное срабатывание сигнатурной или поведенческой системы обнаружения вторжений (СОВ, IDS). Сюда же входит возможность использования пользовательских сигнатур и доступ к полному описанию той сигнатуры или поведения, которое сработало (например, синтаксис сигнатуры).
  2. Данные NetFlow, отражающие сводку по взаимодействиям узлов, перечисленных в срабатывании, за несколько дней или недель до и после срабатывания.
  3. Захват пакетов, которые спровоцировали срабатывание, желательно полной сессии в формате libpcap (PCAP).

При наличии этих трех элементов, эффективной аналитики и рабочих процессов, аналитик может выявить аномальную или злонамеренную активность и определить, какие необходимы дальнейшие действия. В идеале, срабатывания СОВ и события NetFlow необходимо сопоставлять с данными PCAP для облегчения работы аналитика. Однако немногие решения хорошо справляются со всеми тремя задачами, поэтому SOC приходится комбинировать несколько продуктов. Согласно лучшим практикам, SOC необходимо дополнить эти три пассивные системы встроенными превентивными средствами типа NIPS или средствами детонации контента.

В этой главе мы рассмотрим все эти системы и покажем, как они должны работать в единой сбалансированной архитектуре.

8.2.1 Обзор систем обнаружения вторжений

Системы обнаружения вторжений (СОВ, IDS), согласно определению из [42], – это аппаратные или программные средства, которые собирают и анализируют данные компьютерной системы или сети с целью выявления потенциальных нарушений системы безопасности, к которым относятся как внешние атаки, так и внутренние инциденты (злоупотребления).

Отталкиваясь от этого определения, сетевые IDS — это IDS, которые захватывают и анализируют сетевой трафик на предмет потенциальных вторжений и другой подозрительной или несанкционированной активности.

СОВ уже довольно давно используются и подробно рассмотрены во множестве материалов – см. [2], [46], Приложение B в [9], [135], [5]. СОВ сопоставляет трафик в режиме реального времени с политиками сигнатур, определением приемлемого/нормального поведения и набором других эвристик, генерируя оповещения, которые отсылаются на консоль и в базу данных. Оставим подробное обсуждение NIDS упомянутым источникам и сфокусируемся на их архитектурных особенностях в практике SOC.

Каждый раз, когда СОВ улавливает подозрительную активность, например, по совпадению с одной из сигнатур, она генерирует предупреждение (алерт). Это предупреждение должно содержать полное описание, чтобы аналитик SOC смог понять, как его интерпретировать и что делать. Типичное предупреждение от СОВ (особенно, от сетевой сигнатурной IDS) состоит из следующих полей:

  • ID события
  • Дата и время (иногда с точностью до миллисекунд) срабатывания сигнатуры
  • IP источника и назначения
  • UDP или TCP порт источника и назначения
  • Название или ID сигнатуры
  • Критичность события
  • Текстовое описание сигнатуры или ссылка на внешний репозиторий или базу данных с детальной информацией по сигнатуре, например, на запись CVE и описание сигнатуры.
  • Отправленные и полученные байты для всей сетевой сессии, в ходе которой произошло срабатывание
  • Дополнительная контекстная информация, включающая по возможности поля, специфичные для конкретного протокола– SNMP, SMTP, POP3, HTTP, FTP, SSL или CIFS/SMB.

Алерты от IDS иногда также включают ссылку на исходный PCAP пакета(ов), на которых сработала сигнатура, либо на сессию целиком. Вместо того, чтобы включать все эти данные в каждое предупреждение, можно добавить в описание события ссылку, чтобы аналитик мог получить PCAP данные при необходимости.

NIDS могут быть как в аппаратной (в виде устройства), так и в программной форме. Они могут использовать сигнатурные или поведенческие методы, как мы сказали ранее, и даже в определенных случаях их комбинировать. NIDS могут также действовать в пространстве между атакующим и его жертвой, не просто сообщая о вредоносной активности, но и активно ее блокируя. Такие системы называются NIPS – сетевыми системами предотвращения вторжений.

Крупные SOC обычно размещают несколько NIPS или NIDS сенсоров в основных узловых точках – в точках периметра сети, Интернет-соединений, иногда ключевых свитчей и маршрутизаторов. NIDS выполняет команды центра управления, например, по обновлению сигнатур, и отправляет обратно алерты, которые генерируют детектирующие модули. Аналитик может войти в центр управления через веб-консоль, просмотреть статусы оповещений и системы, управлять политиками сенсоров. Эта архитектура представлена на рисунке 18.

Рис. 18. Типичная архитектура IDS

Ранее мы рассматривали универсальные СОВ, которые осуществляют мониторинг всех протоколов в равной степени, порой в ущерб более детальному анализу конкретного типа трафика. Такие системы составляют большинство средств обнаружения и предотвращения, которые используются множеством зрелых SOC, однако они не закрывают все пробелы. Поэтому их можно дополнить средствами обнаружения и предотвращения, специфичными для конкретного протокола и порой размывающими границы между IDS/IPS и МСЭ. Подобные решения специализируются на одном протоколе, например, XML, на SQL-трафике, веб-трафике или трафике веб-служб. Обычно в них реализованы надежные механизмы воcсоздания и анализа трафика для выявления и блокировки вредоносной активности, которая не детектируется универсальными СОВ. Такие решения хорошо применять для обслуживания критичных сервисов, которые использует огромная масса пользователей.

У каждого из различных типов СОВ есть свои достоинства и недостатки. Они приведены в таблице 9.

ХарактеристикаТипПреимуществаНедостатки
Метод обнаруженияПоведенческий: известный как выявление аномалийПоведенческие IDS могут выявлять ранее не обнаруженные атаки и несанкционированное использование в рамках сессии еще до того, как об атаке стало широко известно (так называемые атаки нулевого дня).Они сложны и склонны к ложным срабатываниям.

Они требуют больше времени на обучение системы эталонам приемлемого поведения.

Сети или системы, подверженные частым обновлениям и скачкам активности, может быть сложно смоделировать для обеспечения эффективного мониторинга.

Интеллектуальный: известный как обнаружение по сигнатурам или выявление несанкционированного использованияОбнаружение, основанное на сигнатурах, дает быстрый результат и меньший уровень ложных срабатываний, чем поведенческое обнаружение.

Сигнатурные IDS могут мгновенно выявлять известные атаки.

Сигнатурные IDS могут выявлять только известные атаки.

Если сигнатуры не обновляются, IDS будет пропускать новые типы атак, в результате, атакующие и защитники будут играть в кошки-мышки.

Склонны к ложным срабатываниям.

Их можно обмануть путем искажения контента или шифрования протокола.

ИсточникСетевые: обнаруживают активность в сетевом трафике на периметре или ключевых точках мониторингаСетевые IDS могут отслеживать широкий диапазон систем каждым из размещенных сенсоров.

Должны быть невидимы пользователям.

Сетевые IDS могут пропускать трафик и подвержены спуфингу, атакам и обходам.

Сетевые IDS зачастую не могут выявить, была ли атака успешной или нет.

Сетевые IDS не могут проверить зашифрованный трафик.

Хостовые (локальные): обеспечивают мониторинг операционной системы и пользовательской активности. Сенсорами служат программные агенты, размещаемые в используемых системах.Хостовые IDS (HIDS) улавливают трафик атакующего, направленный на систему, даже если сетевой трафик отсутствует, зашифрован или искажен, поскольку HIDS его детектирует по активности системы или логам.

Хостовая IDS может помочь оценить успех или провал атаки.

Хостовая IDS может помочь в выявлении несанкционированного использования легитимным пользователем.

Хостовая IDS зачастую обладает дополнительными возможностями, например, по отслеживанию целостности/ доверенности хостов.

Умелый хакер может заблокировать или обойти программы хостовых IDS.

Настройка хостовой IDS довольно трудоемка, поскольку многие из них используют механизмы обнаружения, которые легко обойти, или же требуют нетривиального обучения (и переобучения) нормальному поведению систем.

Хостовая IDS часто требует привилегированных прав доступа к системам для предотвращения или блокировки несанкционированного использования.

Неправильно настроенная хостовая IDS может препятствовать корректной работе хоста.

Режим реагированияАктивный: Активные IDS, называемые IPS, реагируют путем прекращения сервиса или блокировки обнаруженных активностей противника.IPS хорошо комбинировать с сигнатурными IDS в силу потребности в хорошо известных определениях атак.

IPS могут предотвращать или снижать ущерб за счет быстрого реагирования на угрозу или атаку.

Не требуют мгновенного вмешательства оператора.

IPS требуют некоторого контроля над сервисами, которые они мониторят.

IPS требуют тщательной настройки для того, чтобы избежать блокировки или снижения производительности легитимного трафика или активности узла.

Пассивный: Пассивные IDS реагируют путем рассылки предупреждений или алертов. Они не осуществляют никаких корректирующих мер.Легче развернуть.

Ложные срабатывания не оказывают негативного влияния на системы заказчика.

Все алерты требуют вмешательства оператора. Это требует дополнительного времени на интерпретацию, подбор ответных действий и реагирование, что может привести к большему ущербу.

Таблица 9. Преимущества и недостатки систем обнаружения вторжений.

Признаки хорошей IDS рассмотрены в [2]. Для современных специалистов по защите сетей вероятно самая важная функция IDS – детектировать те атаки, от которых организация полноценно не защищена. C момента обнаружения атаки до установки на системы патчей или развертывания других защитных мер. И этот факт подчеркивает важность поведенческих IDS, которые не зависят от сигнатур, и своевременного обновления базы сигнатур IDS.

Рис. 19. Сравнение относительной ценности СОВ и жизненного цикла сигнатуры.
Рис. 19. Сравнение относительной ценности СОВ и жизненного цикла сигнатуры.

Как видно из рисунка 19, СОВ предоставляет наибольшую ценность с момента внедрения эксплойта атакующим до установки патчей против него. Можно также заметить, что сигнатурным СОВ присуще отставание с момента размещения эксплойта до разработки сигнатуры. Поскольку сигнатурные СОВ обычно точнее детектируют атаку, после установки соответствующей сигнатуры такая СОВ может считаться более эффективной применительно к данному эксплойту, чем работающая на эвристике. По мере уменьшения использовании эксплойта ценность такой СОВ в отношении конкретной уязвимости также снижается.

Более полную информацию о размещении технологий IDS/IPS можно найти в разделе 9.1 и [136]. Более подробное сравнение конкретных IDS/IPS решений можно найти в [41].

8.2.2 Предотвращение

До сих пор мы рассматривали пассивные СОВ. Эти системы предоставляют SOC необходимые данные и срабатывания, однако ничего не предотвращают, просто формируют необходимый набор данных, который используется другими инструментами и аналитиками. Если мы сможем воспользоваться технологиями, которые позволят блокировать атаки в режиме реального времени, это даст больший результат. Сетевые IPS обладают такими возможностями, однако требуют еще большей внимательности и тонкой настройки, поскольку потенциально могут оказывать воздействие на работу сети и доступность. Прежде чем мы перейдем к другим пассивным техникам мониторинга, рассмотрим поподробнее «формы реакции» NIPS и проанализируем, что они означают.

Чтобы эффективно воспользоваться возможностями NIPS, SOC важно учесть некоторые моменты, связанные с их использованием. К ним относятся:

Ложные срабатывания. Учитывая высокий уровень ложных срабатываний, присущий СОВ, администраторы NIPS не без основания предельно осторожны. Представим, что каждое ложное срабатывание будет приводить к блокировке трафика. Если администратор NIPS будет неосторожен, его действия приведут к серьезному отказу в обслуживании. В результате, многие SOC очень тщательно отбирают сигнатуры NIPS, которые будут приводить к блокировкам и только после нескольких дней или недель тестирования в режиме только обнаружения. Поэтому крайне важно выбрать NIPS с надежным анализом протоколов и механизмом сигнатурного обнаружения.

Варианты ответной реакции. Различные технологии IPS предлагают разные варианты реакции на вредоносный трафик. Один из методов заключается в сбросе TCP на обоих узлах, участвующих в соединении, однако, это не очень удачная идея. Атакующий вероятно ожидает такую реакцию, поэтому далее он: 1) может просто игнорировать сброс и продолжать соединение; 2) теперь уже знает, что имеет дело с IPS, которую требуется обойти. Некоторые IPS осуществляют блокировки за счет автоматического обновления списка управления доступом МСЭ или маршрутизатора, блокируя подозрительное сетевое взаимодействие. Это тоже проблемный вариант, поскольку приводит к хаосу в конфигурациях МСЭ и маршрутизаторов. Правильные IPS осуществляют блокировки самостоятельно – просто сбрасывая вредоносные пакеты и все последующие между узлами атакующего и жертвы.

Ответные действия. Давайте рассмотрим такой пример, когда IPS блокирует пакеты в ходе злонамеренного соединения и не осуществляет никаких других действий, например, сброса TCP. Сколько по времени следует запрещать взаимодействие атакующего и с кем – только с жертвой или вообще со всеми? Архитектурные особенности сети, например, использование NAT, могут это усложнить. Представим IPS, которая засекла атаку, как бы исходящую от веб-прокси или МСЭ с NAT. IPS может принять МСЭ за атакующего, хотя на самом деле это вообще другой узел извне. Но поскольку мы блокируем трафик, мы сбрасываем пакеты на собственном МСЭ, тем самым вызывая отказ в обслуживании (DoS). Для корректных ответных действий очень важно крайне аккуратно размещать IPS.

Присутствие. NIPS не должна раскрывать свое присутствие никаким другим системам. Это означает, что она не должна отправлять трафик ни атакующему, ни жертве и иметь MAC-адрес. Другими словами, устройство должно восприниматься как «помеха соединения». При этом даже самая хорошая IPS может раскрыть свое присутствие, просто выполняя свою работу. Умелый атакующий может засечь встроенную NIPS, используя старые методики атак. Они почти наверняка не приведут к успеху, т.к. против них уже поставлены обновления. Однако NIPS будет продолжать свою работу по блокировке атакующего от любых последующих соединений. В результате атакующий поймет, что столкнулся с NIPS и может сменить тактику нападения. Поэтому SOC может предпочесть выборочную блокировку атак, а не полный бан всех IP атакующего.

Время ожидания и пропускная способность. Находясь в центре сетевого трафика, NIPS может оказывать нежелательное воздействие на работоспособность сети. Плохо реализованная или неправильно подобранная NIPS может вызывать задержки в сетевых соединениях, непреднамеренно снижать пропускную способность или тормозить проходящий через нее трафик. Чтобы избежать этой проблемы, SOC должен осторожно подходить к выбору NIPS для работы с конкретными сетевыми соединениями, особенно, высокоскоростными.

Цена анализа трафика. NIPS может работать на заявленной скорости только с определенным набором протоколов или с отключением определенных модулей анализа. Например, NIPS рассчитанная на 10 Гигабит, может работать на 2 гигабитах со включенным модулем анализа HTTP-трафика по причине ресурсоемкости HTTP и логики, необходимой для детектирования атак по этому протоколу. Или же NIPS может заявлять о поддержке открытого формата сигнатур (например, Snort), но использование этой возможности существенно снизит скорость обработки трафика механизма обнаружения NIPS. Кроме этого многие NIPS могут предоставлять функции межсетевого экранирования и шейпинга трафика. Использование этого функционала с большой вероятностью приведет к снижению производительности обрабатываемого сетевого трафика. Специалистам SOC необходимо тщательно оценить, окажет ли оно существенное влияние на сетевые сервисы.

Модификация контента. Некоторые из инструментов IPS, особенно, те, которые заявляют о наличии возможностей по пресечению промышленного шпионажа и утечек данных, могут не только блокировать трафик, но и по факту его модифицировать. Сюда может входить удаление части данных с веб-страниц или документов Word в процессе перемещения по сети. Это очень сложная задача, т.к. требует воссоздания сессии протокола и модификации на еще более высоком уровне абстракции, чем сетевой трафик. К примеру, рассмотрим приложение, которое ожидает определенное количество байт, и это значение указано в поле протокола как контрольная сумма. Если переданный контент модифицирован, контрольная сумма должна быть пересчитана. Может ли IDS это осуществить, не провоцируя существенных задержек в сетевом трафике? Такие технологии довольно сложны и рекомендуются к использованию только в SOC, хорошо обеспеченных ресурсами.

Единая точка сбоя. Если IPS установлена «в разрыв», что произойдет в случае ее поломки или отключения? Хорошая IPS обладает возможностями (или дополнениями), которые позволяют ей оставаться в открытом состоянии при отказе (т.е. в случае сбоя и отключения питания, она продолжит пропускать трафик). Это может казаться неудачной идеей, но помните о том, что IPS – не единственное средство защиты сети от внешнего мира. Поблизости должны быть маршрутизаторы и МСЭ, которые настраиваются на правила отказа по умолчанию. Большинство коммерческих вендоров NIPS встраивают возможности открытого сбоя, поэтому нужно предусмотреть меры предосторожности или архитектурные изменения при размещении открытой IPS на типовом оборудовании.

Участие в сетевых операциях. Когда SOC размещает любые инструменты «в разрыв» где-либо в организации (HIPS, NIPS или что-то еще), они де факто становятся участниками сетевых операций. Зачастую любые инструменты SOC обвиняются в том, что вызывают проблемы различного характера (сбои сети или низкую производительность), даже если связь между оборудованием и реальными проблемами надумана. SOC следует четко контролировать статус устройств и потоков данных для своевременного выявления проблем и постоянно работать с командой сетевых операций для гарантии того, что оборудование ведет себя должным образом.

Цена. NIPS не терпит низкой производительности или доступности, как пассивная IDS. Поэтому вендорам NIPS приходиться встраивать надежное, порой кастомизированное оборудование в свои продукты. Стандартный сенсор NIDS может стоить менее $10 тыс., при этом NIPS, работающая на тех же скоростях, может стоить существенно дороже. Большинство NIDS на текущем рынке обладают двойной функцией: они могут работать как пассивно в стороне, так и активно «в разрыв». Тем не менее работа «в разрыв» требует в два раза больше портов на устройстве, что удваивает эффективную стоимость работы «в разрыв» для определенного набора сетевых каналов.

Несмотря на эти сложности, некоторые SOC считают NIPS весьма полезным инструментом. Временной промежуток между разработкой эксплойта и установкой патча представляет собой период повышенного риска для компании; иногда он составляет несколько часов, а иногда несколько недель или месяцев. Несколько грамотно размещенных IPS дадут тот необходимый уровень защищенности в периоды, когда системы заказчика особенно уязвимы.

К сожалению, многие SOC никогда не переводят свои NIPS в блокирующий режим. По результатам общения с несколькими SOC и разработчиками IPS, некоторые, если не большинство, устройств остаются в пассивном режиме отладки/обнаружения на протяжении практически всего периода эксплуатации. Потенциальных причин для этого несколько: 1) у SOC нет необходимых организационных полномочий и операционной маневренности 2) у SOC нет достаточной уверенности в настройках своих сигнатур 3) SOC просто считает, что риски, возникающие в связи с переводом в блокирующий режим «на разрыв», не оправдывают возможный риск спровоцировать DoS. Конечно, существуют и другие методы встроенной блокировки атак, которые предпочитают использовать вместо NIPS некоторые SOC – устройства детонации контента и хостовые IPS, которые рассматриваются в разделе 8.2.7 и 8.3.3 соответственно.

Поделиться записью: