Зачем мониторить трафик локальной сети?
Угрозы ИБ
Компания Positive Technologies провела исследование угроз ИБ в корпоративных сетях, в ходе которого был составлен рейтинг угроз:
- Нарушение регламентов ИБ найден у 100% компаний
- Подозрительная сетевая активность найдена у 90% компаний
- Активность вредоносного ПО найдена у 68% компаний
- Попытки эксплуатации уязвимости в ПО найдены у 31% компаний
- Попытки подбора пароля найдены у 26% компаний
- Попытки эксплуатации веб-уязвимостей найдены у 3% компаний
Среди нарушений регламентов ИБ можно выделить: использование ПО для удаленного доступа, использование незащищенных протоколов передачи данных, использование BitTorrent, загрузку с последующей установкой потенциально опасного стороннего ПО, установку подмененного ПО (со скрытым функционалом), применение протоколов LLMNR, NetBios. К подозрительной сетевой активности можно отнести: сокрытие трафика, множественную неуспешную аутентификацию, сканирование внутренней сети, попытки подключения к внешним сетям, попытки удаленного запуска приложения, копирование и передача данных в больших объёмах. Вредоносным ПО называются специальные программы - майнеры, шифровальщики, рекламное ПО, трояны, загрузчик, шпионское ПО. Благодаря уязвимости ПО злоумышленник может использовать функционал программы в своих целях. В локальной сети распространены попытки подбора пароля при помощи методов перебора, при этом логин известен полностью или частично. Веб-уязвимости могут быть использованы для доступа к веб-серверу и выполнения вредоносного кода.
Зачем мониторить трафик локальной сети?
Традиционная модель контроля трафика на периметре сети не справляется со всеми угрозами ИБ по одной простой причине - она предназначена для контроля периметра, а помимо основного пути, на котором стоит межсетевой экран (МЭ), существуют обходные каналы получения доступа к локальной сети (рисунок 1). Такими каналами могут быть подключенные зараженные мобильные устройства, ноутбуки, флешки и диски. Особую опасность представляют несанкционированные подключения модемов и Wi-Fi адаптеров к устройствам локальной сети. Они могут открыть каналы передачи данных, которые никаким образом не контролируются МЭ. Для устранения данных угроз можно использовать мониторинг локальных машин, но и он имеет недостатки - вредоносные программы могут обходить данные решения. Стоит также отметить, что существуют устройства, к которым нельзя применить локальный мониторинг. Причины могут быть разные: малораспространенные ОС, на которых просто нет сборок устанавливаемых агентов, невозможность установки агента по административным причинам, специализированное оборудование, промышленные контроллеры и т.п. Отметим, что не весь трафик, генерируемый сетевым и абонентским оборудованием локальной сети, будет проходить через периметр (МЭ) и локальные машины с установленными системами мониторинга. Данный трафик будет проходить через точки мониторинга, расположенные по всей сети, где и будет осуществлен его перехват для анализа.
Имея доступ ко всему трафику в сети, анализируя его и сопоставляя, мы можем создать поведенческий профиль узла. В данный профиль будет входить следующая информация: какие протоколы использует, с какими сегментами сети взаимодействует, сколько трафика передает/получает и т.п. В случае выявления нетипичного поведения (аномалии) подается сигнал тревоги. Появление нового узла в сети не останется незамеченным.
Благодаря распределенной системе мониторинга трафика локальной сети возможно детально провести анализ распространения угроз ИБ, определив место их возникновения. Имея мощности для хранения трафика, можно произвести его ретроспективный анализ в будущем и разобраться в прошедшем инциденте. Также можно отслеживать распределение трафика в сети между узлами. Благодаря этому легко определить узкие места, неправильную конфигурацию оборудования или его неисправность. Полученные данные можно использовать для анализа и планирования дальнейшего развития сети.
Решения по защите от угроз ИБ, работающие с трафиком локальной сети
Для предотвращения нарушения регламентов ИБ, подозрительной сетевой активности, использования вредоносного ПО и эксплуатации уязвимости в ПО используются административные и технические меры. К административным относятся разграничение прав пользователей оконечного оборудования и введение списков разрешенного ПО. К техническим мерам – отключение уязвимых протоколов, правильная настройка сети (ограничение доступа к внешним ресурсам, блокировка портов и сервисов, отказ от использования незащищенных протоколов передачи данных). Рассмотрим системы организации мониторинга и защиты от угроз ИБ, изображенные на рисунке 2.
Для анализа трафика, взятого на периметре и в самой сети, на наличие используемых запрещенных протоколов и сервисов, используется Network Traffic Analysis (NTA) и Network Behavior Analysis (NBA). С помощью сравнения сигнатур и поведенческого анализа система NTA/NBA сможет распознать работу вредоносного ПО. Благодаря функциональным возможностям по работе с шифрованным трафиком и анализом протоколов возможно выявить аномалии в трафике. Поведенческий анализ и машинное обучение системы NTA/NBA позволит выявить странную активность в работе сети и попытки подбора учетных данных, которые порождают большое количество неуспешных аутентификаций. Данный факт будет виден в трафике.
Выявить угрозы безопасности сети и провести анализ поведения пользователей можно с помощью системы Data Leak Prevention (DLP), которая использует сбор данных с точек мониторинга локальной сети и с DLP-агентов, установленных на сетевом и абонентском оборудовании. Однако использование DLP-агентов может вызывать затруднения, ведь существуют устройства, на которые их невозможно установить. Причины могут быть разные – отсутствие доступа к ОС, нет поддержки ОС, конфликты с установленным ПО и прочие. Существует риск несанкционированного подключения к сети, когда пользователи могут подключать к сети свои личные устройства. В сети могут присутствовать контроллеры, различные датчики, которые генерируют большое количество трафика, но установить на такие устройства DLP-агенты невозможно. Стоит отметить, что вредоносное ПО может обходить мониторинг DLP-агента. В таких случаях анализ трафика локальной сети позволит системе DLP исключить описанные ограничения, наложенные DLP-агентами. Получая трафик с точек мониторинга локальной сети, система DLP сможет проводить анализ поведения всех устройств в сети в независимости, установлен ли на них DLP-агент или нет.
Система Security Information and Event Management (SIEM) собирает, анализирует логи различных приложений и на их основании может делать выводы о наличии угроз ИБ: подозрительный трафик и атаки, случаи заражения вредоносным ПО, нарушение регламентов ИБ пользователями. Работа системы SIEM со встроенным модулем NetFlow/sFlow заключается в следующем: трафик с точек мониторинга сети поступает на модуль NetFlow/sFlow, модуль NetFlow/sFlow анализирует трафик, формирует события и отправляет на SIEM, где проводится анализ и делается вывод о наличии угрозы ИБ. Таким образом, модуль NetFlow/sFlow собирает сетевую статистику по полученному трафику, а применение его совместно с SIEM позволяет осуществлять независимый от других приложений мониторинг сети на предмет угроз ИБ.
Система Intrusion Detection System (IDS) предназначена для обнаружения вторжений. Среди самых распространённых видов IDS можно выделить Perimeter Intrusion Detection Systems (PIDS) и Network Intrusion Detection System (NIDS). Система PIDS анализирует трафик, взятый с периметра сети (данный трафик может быть получен как с активного сетевого оборудования, так и с точки мониторинга на сети). Но не все угрозы ИБ можно выявить на периметре сети, они могут возникнуть внутри сети и не выходить наружу. Такие угрозы чаще всего возникают при подключении к сети несанкционированных устройств пользователей, подключении модемов, Wi-Fi адаптеров, заражение локальных устройств вирусами. Система NIDS получает и анализирует трафик с точек мониторинга, расположенных по всей локальной сети. Использование системы NIDS позволяет выявить все описанные угрозы ИБ.
Вместо заключения
Как мы видим, мониторинг трафика локальной сети необходим для эффективной защиты от рассматриваемых угроз ИБ. Комплексное использование мониторинга локальной сети, локальных машин и периметра сети даёт возможность достичь максимальной защиты от актуальных угроз ИБ и позволяет проводить анализ эффективности работы сети.