Get best of the week

Integração de soluções de monitoramento Netflow e SIEM

Os SIEMs se tornaram um padrão de fato na análise de eventos de segurança e na detecção de incidentes (embora haja algum movimento para abandonar o SIEM e substituí-los por soluções para gerenciar logs com um complemento das tecnologias de aprendizado de máquina), mas a eficácia dessa solução depende de com quais fontes de dados ele trabalha. Ainda assim, geralmente os especialistas em SIEM trabalham principalmente com logs, deixando de lado uma fonte de informações tão importante como o Netflow, que permite ver algo que geralmente não entra ou entra, mas é tarde demais. Isso levanta uma série de perguntas. Por que uma solução moderna de SIEM precisa do suporte do Netflow? O que o SIEM pode obter da análise do Netflow? Qual opção para integrar o SIEM ao Netflow, se houver fabricantes,que incorporam o suporte ao Netflow diretamente em suas soluções e há quem prefira trabalhar com vários coletores do Netflow. Quais são os recursos do trabalho com o SIEM Netflow? Nós vamos falar sobre isso.

Netflow para detecção de ameaças


Em um artigo anteriorEu já descrevi as possibilidades de usar o Netflow para segurança cibernética. Deixe-me lembrá-lo de que, diferentemente dos logs do equipamento de rede ou do tráfego bruto, o Netflow é um protocolo que permite analisar o tráfego por metadados coletados nas sessões de rede. Estes não são apenas endereços e portas de destino e origem, mas também tipos e códigos de mensagens para ICMP, tipos de serviço IP, tipo de protocolo IP, interfaces de rede, duração da sessão, horário de início e término, etc. Se os logs geralmente são gerados em dispositivos de terminal (por exemplo, servidores, estações de trabalho e DBMS) ou meios de proteção, o que fazer em uma situação em que os primeiros não geram eventos de segurança ou você não pode colocar meios de segurança neles,e estes últimos são instalados apenas no perímetro e não vêem o que está acontecendo dentro da rede corporativa ou departamental? Outra coisa é o equipamento de rede - switches e roteadores (hardware ou virtual), pontos de acesso sem fio e controladores. Eles são instalados internamente e a interação de usuários, dispositivos, aplicativos sempre passa por eles. É impossível passar por eles! Ao transmitir dados sobre essa interação para o Netflow (até o Cisco ASA ou Firepower os gera), obtemos uma fonte valiosa de informações não apenas para a TI, mas também para a segurança cibernética. Onde o equipamento não entende o protocolo de fluxo, podemos usar exportadores especiais, soluções de software ou hardware que geram registros de fluxo para o tráfego passado por eles (com a Cisco, o Netflow Generation Appliance ouque geram registros de fluxo para o tráfego passado por eles (com Cisco, o Netflow Generation Appliance ouque geram registros de fluxo para o tráfego passado por eles (com Cisco, o Netflow Generation Appliance oupontos de acesso e controladores sem fio. Eles são instalados internamente e a interação de usuários, dispositivos, aplicativos sempre passa por eles. É impossível passar por eles! Ao transmitir dados sobre essa interação para o Netflow (até o Cisco ASA ou Firepower os gera), obtemos uma fonte valiosa de informações não apenas para a TI, mas também para a segurança cibernética. Onde o equipamento não entende o protocolo de fluxo, podemos usar exportadores especiais, soluções de software ou hardware que geram registros de fluxo para o tráfego transmitido por eles (para Cisco, o Netflow Generation Appliance oupontos de acesso e controladores sem fio. Eles são instalados internamente e a interação de usuários, dispositivos, aplicativos sempre passa por eles. É impossível passar por eles! Ao transmitir dados sobre essa interação para o Netflow (até o Cisco ASA ou Firepower os gera), obtemos uma fonte valiosa de informações não apenas para a TI, mas também para a segurança cibernética. Onde o equipamento não entende o protocolo de fluxo, podemos usar exportadores especiais, soluções de software ou hardware que geram registros de fluxo para o tráfego passado por eles (para Cisco, o Netflow Generation Appliance ouAo transmitir dados sobre essa interação para o Netflow (até o Cisco ASA ou Firepower os gera), obtemos uma fonte valiosa de informações não apenas para a TI, mas também para a segurança cibernética. Onde o equipamento não entende o protocolo de fluxo, podemos usar exportadores especiais, soluções de software ou hardware que geram registros de fluxo para o tráfego passado por eles (para Cisco, o Netflow Generation Appliance ouAo transmitir dados sobre essa interação para o Netflow (até o Cisco ASA ou Firepower os gera), obtemos uma fonte valiosa de informações não apenas para a TI, mas também para a segurança cibernética. Onde o equipamento não entende o protocolo de fluxo, podemos usar exportadores especiais, soluções de software ou hardware que geram registros de fluxo para o tráfego passado por eles (para Cisco, o Netflow Generation Appliance ouque geram registros de fluxo para o tráfego passado por eles (com Cisco, o Netflow Generation Appliance ouque geram registros de fluxo para o tráfego passado por eles (com Cisco, o Netflow Generation Appliance ouSensor de fluxo Stealthwatch ). Os algoritmos para detectar anomalias ou assinaturas sobrepostas nos fluxos do Netflow, bem como os métodos de aprendizado de máquina, permitem identificar desvios do comportamento de referência do tráfego de rede, o que caracterizará ameaças ou problemas de segurança da informação na infraestrutura de TI.

Vale lembrar que o Netflow não pode dizer o que é transmitido dentro do tráfego da rede (embora já existam tecnologias que possam reconhecer os aplicativos usados ​​e o código malicioso do Netflow), ele foi desenvolvido para outras tarefas. Mas ele pode dizer quem "falou" e com quem, como e por quanto tempo. Apesar da existência de diferentes versões dos protocolos de fluxo, a maioria deles permite coletar os seguintes dados:

  • Endereço IP de origem e destino
  • portas de origem e destino
  • protocolo
  • tipo de serviço
  • interface de origem
  • timestamps de início e de término
  • a quantidade de informações transmitidas.

Em algumas versões, por exemplo, no IPFIX ou no Netflow v9, é possível extrair algumas informações do corpo dos dados, o que permite que o analisador do Netflow (independente ou embutido no SIEM) identifique os aplicativos em execução. Todas essas informações costumam ser suficientes para detectar anomalias ou até ameaças no tráfego da rede.

imagem

Netflow e SIEM: qual é a força, irmão?


E se o sistema de destino não gerar logs ou for desativado por invasores? O que fazer quando simplesmente não há recursos de segurança no sistema de destino, porque eles carregam o processador e tornam o sistema lento? O que fazer quando um funcionário traz seu dispositivo pessoal que não está conectado ao SIEM? Ainda temos a única fonte de informação - o tráfego de rede, que de qualquer forma é gerado pelo dispositivo de destino. O que pode ajudar a identificar um Netflow “limpo” que pode ser analisado sem o SIEM usando as soluções de Análise de Tráfego de Rede (NTA)? Aqui está uma pequena lista dessas ameaças e anomalias:

  • códigos maliciosos, ransomware e mineradores de criptografia
  • interação com servidores de comando
  • varredura de rede
  • ataques de negação de serviço
  • Vazamento de informações
  • hacking ssh ou rdp
  • torrents e outras aplicações P2P
  • ,
  • ..

E o que os logs que seu SIEM coleta fornecem a você? A capacidade de monitorar a atividade do usuário em nós, acesso a recursos, entrada e saída de e para sistemas, alarmes de equipamentos de rede e ferramentas de segurança e muito mais. A combinação de logs e Netflow que chegam ao SIEM e são analisados ​​lá permite identificar rapidamente novas sessões e novo tráfego de dispositivos que acabaram de ser atacados, incluindo aqueles que ignoram seu perímetro. Ao combinar esses tipos de dados, você também pode identificar os recursos de segurança de rede configurados incorretamente. O Netflow complementa os recursos tradicionais do SIEM com a capacidade de detectar novos tipos de tráfego, suas explosões, interação com recursos externos e internos, vazamentos de dados, distribuição de código malicioso, interação com servidores de equipe,encapsulamento de carga maliciosa em protocolos permitidos, etc.

A combinação de dados SIEM tradicionalmente processados ​​com o Netflow permite não apenas ver mais eventos de segurança, mas também vê-los mais rapidamente, reduzindo o chamado parâmetro TTD (Time-to-Detect) e, como resultado, o tempo de resposta. É claro que as análises SIEM e Netflow podem funcionar independentemente umas das outras e fazer seu trabalho bem, mas é a combinação dessas duas soluções que permite obter um efeito sinérgico.

Alterar o padrão de comportamento do tráfego pode indicar comportamento suspeito ou anormal. Por exemplo, exceder o limite de dados carregados na Internet pode indicar um vazamento. Uma alteração no tamanho das consultas e respostas DNS em comparação com a RFC fornecida pode caracterizar o fato da operação de código malicioso (de acordo com as estatísticas da Cisco, 92% dos malwares usam DNS para receber comandos, baixar dados ou baixar atualizações). Lembra da história com a Equifax? Em seguida, os atacantes conseguiram acessar o portal da Web e, em seguida, os servidores de banco de dados internos, carregando lentamente grandes quantidades de dados para o exterior. Separadamente, todos esses eventos não eram de grande interesse e apenas reunidos e enriquecidos com os dados do Netflow, permitiram identificar incidentes de segurança da informação. Esse é outro caso para os sistemas de análise Netflow,que pode detectar um comportamento não padrão do portal da Web do qual a consulta ao banco de dados é freqüente e de bancos de dados que repentinamente fornecem muitos dados ao portal. Eu ja estouDescreveu esse cenário no Habr anteriormente. O SIEM, recebendo dados do Netflow, pode obter um contexto adicional para eventos gerados por IPS, ITU, proxies, antivírus, EDR etc., a fim de responder com mais eficiência ao incidente.

Outro exemplo. Detecção de ataques desconhecidos para os quais os sistemas de detecção de intrusão não possuem assinaturas - devido à correlação de anomalias e eventos de rede dos hosts, bem como ao acionamento de gatilhos. Por exemplo, a verificação de 100 nós em 3 minutos pode caracterizar a operação de código malicioso que expande sua ponte. Um aumento no tempo de resposta do servidor pode caracterizar um ataque DDoS contra ele e, por exemplo, uma incompatibilidade na quantidade de informações recebidas e enviadas pelo protocolo DNS pode indicar um vazamento de dados. Este é um caso que já vimos antes, quando falei em encontrar uma campanha de DNSpionage. Ao mesmo tempo, você pode observar que, em um caso , analisamos apenas o Netflow e, no outro , também coletamos dados de dispositivos terminais, caixas de areia, um gateway DNS etc.

Outra área em que a integração do Netflow no SIEM pode ajudar é a conscientização situacional. Correlação de fluxos com logs, contexto, informações de geolocalização, atividade do usuário, dados de reputação. Por exemplo, em uma nota anterior, citei um caso com a detecção de tráfego interno com nós do Irã ou da Coréia do Norte. Se você não tiver contatos com esses países, talvez seja um sinal de código malicioso que rouba informações ou hackers pró-governo direcionados à sua empresa. Um sistema de análise de anomalias de rede pode executar parte desse trabalho identificando a anomalia correspondente. Mas se você também quiser entender qual usuário esteve envolvido neste incidente, precisará de um contexto adicional na forma de nomes de usuário do Active Directory.O próprio Netflow não opera com essas informações - portanto, precisamos enriquecê-las com informações do AD. Se você usarCisco Stealthwatch , para isso, você só precisa integrá-lo ao Cisco ISE , que vinculará endereços IP e MAC a usuários e perfis de dispositivos específicos. E se o Cisco ISE não estiver implantado na rede? A tarefa de enriquecer o Netflow com informações do usuário é de responsabilidade do SIEM.

Outro exemplo. Eu tenho um site em execução no meu computador usado para várias tarefas. Mas quantos usuários comuns podem se gabar do mesmo? De repente, você captura o tráfego inerente à operação de um servidor Web a partir de um computador de usuário? Ou no segmento em que os usuários que trabalham em um PC com Windows estão localizados, você vê repentinamente o tráfego inerente ao sistema operacional Linux. Talvez esse usuário "útil" tenha decidido criar uma máquina virtual com o Linux, violando a política de segurança? E você também pode identificar utilitários para acesso remoto dessa maneira (por exemplo, RAT), cryptominers, aplicativos na nuvem ou ponto a ponto, etc.

Se você é um defensor de uma abordagem de fornecedor único, a criação de um sistema de segurança baseado nas soluções da Cisco reduzirá sua dependência do SIEM - todas as soluções da Cisco, incluindo firewalls, proteção de email, sandbox, uma solução de proteção para PC ( Cisco AMP for Endpoints ) e etc. podem trocar dados, contexto, eventos de segurança, comandos entre si diretamente. Mas se sua infraestrutura herdou muitas soluções diferentes de fabricantes diferentes, o SIEM será o link que ajudará a criar uma solução completa do zoológico de produtos diferentes. De qualquer forma, a análise do tráfego de rede coletado da infraestrutura de rede existente, combinada com os dados que o SIEM normalmente coleta, expande os horizontes.a capacidade do serviço de IS de ver mais e responder mais rapidamente.

Benefícios do uso do Netflow no SIEM:

  • correlação da atividade da rede com outras informações sobre segurança da informação coletadas no nível de aplicativos e PC / servidores
  • a capacidade de monitorar onde há altos riscos de violação das leis de privacidade (por exemplo, GDPR) e você pode analisar apenas os cabeçalhos ou metadados do tráfego de rede, e não seu conteúdo
  • detecção de anomalias que caracterizam os primeiros estágios do desenvolvimento de um incidente ou ataques direcionados
  • coleta e armazenamento de vários dados que caracterizam o incidente e fornecê-los como parte de investigações de SI ou interação com órgãos policiais.

Bala de prata?


Mas não pense que o Netflow é a bala de prata que todo mundo procura há tanto tempo. Também tem desvantagens. Por exemplo, seu processamento pode carregar o processador e a memória de equipamentos de rede desatualizados ou selecionados incorretamente e isso pode afetar adversamente o desempenho e a largura de banda da rede. Para trabalhar efetivamente com o Netflow, você pode precisar do suporte de hardware ou do uso dos chamados exportadores, que, transmitindo tráfego por si mesmos, o transmitirão ao Netflow (aqueles que encontraram a introdução do IDS / COB em redes comutadas, usaram as chamadas fitas ou divisores para uma tarefa semelhante). ) Eu já dei dois exemplos dessas soluções externas - Cisco Stealthwatch Flow Sensore o Cisco Netflow Generation Appliance. Embora, dada a recente modernização da rede, pode-se presumir que seus comutadores e roteadores já suportam uma ou outra versão do Netflow e você não precisará de exportadores adicionais.

Outros recursos do Netflow que vale a pena conhecer incluem:

  • falsos positivos que podem ser associados ao treinamento incorreto ou insuficiente do sistema de análise, bem como a uma alteração nas operações de TI, sobre as quais o sistema de análise ainda não foi "informado"
  • desempenho e impacto diminuídos no armazenamento SIEM (falaremos sobre isso ainda mais)
  • os metadados coletados pelo Netflow nem sempre permitem uma investigação completa, o que pode exigir tráfego bruto no formato PCAP.

Opções de integração SIEM com Netflow


Qual dos SIEMs no mercado hoje trabalha com tráfego de rede? Devo dizer que quase tudo, mas de maneiras diferentes e muitas vezes isso requer uma licença paga separada, que, por sua vez, também é dividida em opções. Eu destacaria três opções para analisar o Netflow no SIEM:

  • suporte interno para Netflow no SIEM
  • exportadores / sensores próprios para gerar o Netflow e transmitir para o SIEM
  • Integração SIEM com soluções externas da classe Network Traffic Analysis (NTA).

SIEM com suporte integrado ao Netflow


Por exemplo, o Microfocus ArcSight, que é bastante popular no espaço SIEM pós-soviético, possui suporte interno para o Netflow. Esse recurso permite que o SIEM correlacione os fluxos de rede com outros eventos de segurança em tempo real ou os enriqueça com dados de fontes de Inteligência contra Ameaças. No entanto, esta opção tem suas desvantagens, a saber:

  • -, , . ( , « », )?
  • -, Netflow SIEM, Netflow . ? SIEM , , , ? - «» Netflow ?

imagem

  • -, . ? VPN- ( ).
  • -, Netflow SIEM FPS ?
  • , , flow- (. ). Netflow, SIEM. Netflow — v5, , v9, IPv6, MPLS . Flexible Netflow ( Netflow v9), IPFIX, Netflow v10, sFlow, , , , NetStream, Jflow .. SIEM?

Se você estiver enfrentando apenas a escolha do SIEM, inclua na lista de parâmetros em consideração também o tipo de Netflow, gerado pelo seu equipamento. Se você já comprou o SIEM, não tem muita escolha. Nesse caso, você deve considerar as seguintes opções:

  • um analisador de anomalia de rede IS separado (por exemplo, Cisco Stealthwatch), que conduzirá toda a análise por conta própria e fornecerá seus resultados ao SIEM
  • O coletor de Netflow separado, que poderá enviar à análise de resumo do SIEM sobre os fluxos de rede, e o SIEM já analisará esses dados.

Quanto pendurar em gramas, isto é, armazenado em bytes?


A propósito, antes de avançarmos para a próxima opção de integração do Netflow com o SIEM, é hora de abordar a questão: quantos dados do Netflow receberemos em nosso sistema de análise de eventos de segurança? Para remédios ou logs regulares, há um número considerável de exemplos e estatísticas sobre EPS (eventos por segundo). Não há muitos dados no FPS (fluxo por segundo). O volume médio do Netflow é diretamente proporcional ao número de soquetes TCP / UDP exclusivos criados por dispositivos e servidores clientes na sua rede, que podem variar bastante de caso para caso. E a inclusão de amostragem (ou seja, transferência seletiva de dados do Netflow) também afeta a quantidade total de dados.

Então, quantos FPS podemos gerar? Obviamente, isso depende muito da situação, mas eu diria que, para uma estação de trabalho regular, esse número é, em média, 1,5 FPS e 6 FPS com carga de pico. Em outras palavras, se sua rede possui 10 mil nós e o FPS médio para cada um deles é 4, a rede gera cerca de 40 mil fluxos por segundo. Porquê tanto? Como escrevi acima, depende de quantas conexões únicas seus aplicativos ou sua rede geram. Hoje, existem muitos programas "faladores" em execução nos computadores dos usuários, que carregam ativamente o conteúdo da Internet, como navegadores, ou procuram constantemente atualizações, como antivírus. Aqui está uma lista de amostra de software e serviços que aumentam ativamente o número de FPS na rede:

  • Adobe, antivírus, Java
  • Skype
  • clientes de email
  • Netbios
  • navegadores
  • aplicativos orientados a feeds (Twitter, notícias, telegrama etc.).

Uma resposta mais precisa informará a análise do Netflow nos segmentos de rede que você precisa, realizada com apenas um comando em um dispositivo de rede (dependendo do fabricante).

O comprimento de um registro do Netflow v5 é de 48 bytes. Para a 9ª versão do Netflow, esse número exato não existe, pois essa versão permite que você descreva o que incluirá no registro e, portanto, seu comprimento pode variar bastante. Mas se, aproximadamente, tomarmos 100 bytes para o comprimento médio de um registro de fluxo (e cada pacote de rede pode gerar de 20 a 30 fluxos), poderemos estimar quantos dados serão gerados e transferidos para o SIEM. Ao mesmo tempo, o volume de armazenamento SIEM para esses dados pode ser maior (isso dependerá do formato, indexação, compactação, backup, etc.). A propósito, ao calcular o número de FPS, lembre-se de que, na estrutura de um ataque DDoS, o conceito de “FPS médio” não funciona, já que a cada conexão, cada pacote TCP SYN será um fluxo separado e, com um poderoso ataque DDoS, o número de FPS em seu pico será muito grande.

Mencionei acima que, no caso de transferência do Netflow para o SIEM central, você terá que "conduzi-lo" pela Internet. Não pense que a geração do Netflow criará uma carga enorme na rede e reduzirá sua largura de banda. De acordo com nossa pesquisa, como apenas informações de cabeçalho e telemetria adicional são transmitidas no Netflow, e não todo o corpo de dados, a carga aumentará em cerca de 1-2% na interface da qual a telemetria de rede é exportada (de fato, usando amostras e versões modernas de protocolos Netflow esse valor pode ser ainda menor por uma ordem de magnitude e variar no nível de 0,1%).

A coleta não pode ser analisada


Mas digamos que você ainda tenha decidido obter um Netflow bruto no seu SIEM. Esse cenário tem outra nuance. É muito importante entender que a disponibilidade do suporte ao Netflow no SIEM não é suficiente; É extremamente importante poder lidar com esse Netflow do ponto de vista da segurança, ou seja, ter regras para analisar e correlacionar os fluxos do Netflow integrados e atualizados constantemente para novos tipos de ataques. Digamos que o Netflow nos dê esta imagem:

imagem

Vemos um aumento no protocolo SSH. De fato, agora estamos vendo a mesma imagem com ataques ao protocolo RDP. Isso é uma suposição de senha. Mas isso pode ser revelado apenas com a condição de termos uma regra correspondente, que de vários fluxos do Netflow coletará um evento "Correspondência de senha". Podemos dizer que o SIEM possui suporte interno ao Netflow e pode analisá-lo do ponto de vista da segurança. Portanto, escolhendo esse caminho, você deve perguntar ao vendedor o que pode analisar o SIEM no Netflow "pronto para uso" e, se nada, quão trabalhoso é o processo de descrever seus próprios processadores Netflow e você tem algum especialista que faça isso? Estamos cientes de que escrever um conector no Netflow não é tão difícil, ao contrário das regras para processá-lo e identificar anomalias nele que exigem trabalho constante.Trata-se de copiar o mecanismo de outra pessoa para o seu IDS (Snort, Zeek ou Suricata), mas não conseguir escrever assinaturas para explorações e ataques recém-descobertos continuamente. No exemplo acima, o próprio sistema deve reconhecer um aumento no tráfego no SSH e dizer a si próprio que estes são ataques de “adivinhação de senha” no SSH (Telnet, RDP ou FTP). Pode ser assim (por exemploCisco Stealthwatch Enterprise ):

imagem

E então você pode investigar esse incidente em um nível mais profundo, usando os recursos fornecidos pelo SIEM ou por uma ferramenta de análise separada do Netflow. Sem a capacidade de "entender" o Netflow em termos de segurança da informação, a presença de suporte interno ao Netflow é uma vantagem duvidosa para o SIEM.

imagem

SIEM com seu próprio exportador Netflow


Outro participante do mercado SIEM, o LogRhythm, por sua vez, oferece um exportador adicional de fluxos NetMon, que pode ser útil em uma infraestrutura distribuída, bem como em uma rede cujo equipamento não suporta o Netflow e requer um gerador de Netflow separado para o tráfego de rede passado por ele. De fato, nesta modalidade, o fabricante SIEM assume as funções de fornecedores de rede, desenvolvendo uma solução para gerar o Netflow e reduzir a carga no SIEM, o que elimina a necessidade de processar e armazenar o Netflow bruto. A situação é semelhante ao suporte do SSL Offload em muitos firewalls de nova geração. Sim, existe lá, mas com uma troca intensiva de tráfego HTTPS, a carga adicional no NGFW leva a uma diminuição significativa em sua taxa de transferência.Portanto, em arquiteturas pesadamente carregadas, um dispositivo separado geralmente é alocado para esta tarefa, que assume a tarefa de descriptografar o tráfego SSL e depois devolvê-lo ao NGFW. O mesmo acontece com o processamento do SIEM Netflow nesse cenário.

imagem

É claro que esse cenário também tem uma desvantagem - um aumento no preço final da solução, pois além de pagar licenças pelo número de FPS analisados, você também precisará pagar por sensores adicionais que passarão o tráfego por si e geram o Netflow. Além disso, você precisará fazer alterações na arquitetura da rede, mas isso terá que ser feito de qualquer maneira, então eu chamaria isso de não uma desvantagem, mas um recurso desse cenário. Se o seu equipamento de rede não sabe como gerar o Netflow e você deseja analisar anomalias de rede, a única opção para fazer isso é usar sensores separados. A única questão é o que será mais barato: compre sensores do fabricante SIEM ou use sensores de fabricantes de rede (por exemplo, Cisco Netflow Generation Appliance) ou desenvolvedores de ferramentas de análise de anomalias de rede (por exemplo,Sensor de fluxo corporativo Cisco Stealthwatch). Nesta opção, também vale a pena descobrir se o SIEM é capaz de analisar o Netflow do ponto de vista da segurança da informação ou apenas possui conectores na forma de exportadores / sensores removidos (geralmente é possível)?

SIEM, NTA


A terceira opção, integração com soluções da classe NTA, é bastante óbvia, pois, de fato, o NTA é o mesmo gerador de eventos de segurança que o NGFW, antivírus, scanner de segurança, IPS etc. Esse cenário, no entanto, é interessante, pois você combina as duas ferramentas de análise de segurança que possui, mas pode trabalhar com elas separadamente. O NTA permite realizar uma análise aprofundada do tráfego de rede, detectar códigos maliciosos, ataques DDoS, vazamentos de informações, monitorar usuários remotos ... Ao mesmo tempo, uma boa ferramenta de análise de tráfego de rede também permite o uso de sensores separados nos segmentos em que o equipamento de rede não suporta o Netflow ou seus a inclusão leva a um aumento na carga nos equipamentos de rede. O NTA neste cenário permite agregar, processar, analisar o Netflow (em suas diferentes versões),e no SIEM, apenas alarmes ao detectar uma ou outra atividade maliciosa. Obviamente, essa opção também faz sentido quando você ou sua equipe de TI já possui uma solução da classe NTA para solução de problemas de rede e também pode ser usada para tarefas de segurança de rede. Ou quando, pelo contrário, você deseja compartilhar as despesas da solução NTA com seus membros da rede, que a usarão para as tarefas deles e você para as suas.quem o usará para as tarefas deles e você para as suas.quem o usará para as tarefas deles e você para as suas.

A desvantagem dessa opção é o custo adicional de uma solução da classe NTA, bem como a necessidade de treinamento duplo de especialistas nos conceitos básicos de trabalhar com duas soluções diferentes. Mas, por outro lado, uma solução separada para analisar o tráfego de rede permitirá investigações mais profundas de incidentes do que com um único SIEM com suporte integrado ao Netflow e aplicativos mais flexíveis do que com o fabricante SIEM que possui sensores Netflow separados. Mas vale lembrar que, quando falamos de uma solução separada da classe NTA, quero dizer a solução de segurança, e não apenas uma ferramenta para analisar o tráfego de rede ou monitorar o desempenho da rede. Por exemplo, o SolarWinds NTA já mencionado anteriormente analisa bem o tráfego da rede para dar suporte às tarefas de TI, mas é muito ruim para fins de segurança da informação.O mesmo vale para o 5View do InfoVista ou o Visual TruView da Fluke. E o mesmo, por exemplo,O Cisco Stealthwatch Enterprise pode ser usado por ambos na empresa.

imagem

O que procurar ao escolher?


Ao escolher uma solução NTA para fins de segurança, bem como analisar exportadores / sensores fornecidos pelos fornecedores SIEM ou SIEM com suporte ao Netflow, eu recomendaria prestar atenção aos seguintes critérios:

  • Tipos de atividade maliciosa detectável. Você usa uma ferramenta para monitorar a segurança da informação; é lógico supor que ele deve ser capaz de identificar várias anomalias e ameaças relacionadas à segurança da informação "prontas para uso". Além disso, esse parâmetro é dividido em três partes - algoritmos internos para detectar vários tipos de ameaças à segurança da informação, escrever manipuladores / regras personalizadas e dar suporte a fontes externas de Threat Intelligence para enriquecer os fluxos analisados ​​com dados sobre as ameaças.
  • Netflow. , , .
  • . , 1 ( FPS)? 60 FPS, NTA 40 , , , , , 80 FPS.
  • . , flat, … , . , . . , (, , Argus, Fluke, Plixer, Riverbed SolarWinds), , . , . , ; , . , , Cisco Stealthwatch.
  • . , , , , . — NTA. , Cisco nfdump OSU FlowTools Lancope, .
  • . , - . :

    • /
    • flow cache ( cash flow :-)
    • . MAC-, VLAN, MPLS, TCP, , , , , ( IPFIX ).
  • . Netflow SIEM, SIEM NTA . , , (, ) REST API, syslog ..

Se fosse uma pergunta sobre o que escolher, independentemente do SIEM, também aconselho a olhar para as oportunidades de busca de ameaças que a solução escolhida oferece. Mas como o tópico da nota foi escolhido um pouco diferente, não prestaremos atenção a esse aspecto agora.

Questão de preço


Se você observar essas três opções do ponto de vista de seus custos, a terceira opção será a mais cara do ponto de vista das despesas de capital (sujeita aos mesmos recursos para a análise do Netflow nos três cenários). É compreensível. Além do custo do SIEM, você precisará de uma solução separada para analisar o tráfego da rede, que consistirá em pelo menos um sistema de controle e o número necessário de coletores que coletam o Netflow de vários exportadores / sensores. Por outro lado, não importa o quanto você expanda a cobertura da sua rede com novos exportadores / sensores, isso não afetará o custo do SIEM e da infraestrutura para ele, pois funcionará com alarmes já processados ​​e não com os fluxos brutos do Netflow, quais (sinais) terão várias ordens de magnitude a menos.

A primeira opção parece a mais atraente do ponto de vista de seu preço, pois não precisamos pagar mais pelo treinamento de analistas e administradores da NTA ou por exportadores / sensores adicionais; saber, transferir fluxos do Netflow para o SIEM e tudo. No entanto, o custo da infraestrutura do SIEM aumentará significativamente, pois você precisará armazenar os fluxos Netflow brutos, o que exigirá a expansão do armazenamento existente. A segunda opção é intermediária entre os dois extremos, tanto em termos de recursos de análise do Netflow quanto em termos de custo. De qualquer forma, nas duas primeiras opções, vale a pena verificar com o fabricante SIEM o custo total de propriedade da solução com base nos desafios, bem como o FPS atual e esperado e, como resultado, alterações no custo de licenças para SIEM e armazenamento para ela. Considere por exemploLogRhythm e seu subsistema para análise do Netflow. Existem pelo menos três opções para sua implementação e, como conseqüência, preços. A opção mais jovem, o Freemium, pode enviar apenas alarmes ao SIEM, a largura de banda não pode exceder 1 GB / s, a capacidade de armazenamento é de apenas 1 GB (trata-se de um dia de armazenamento do Netflow sem amostragem), o período de armazenamento do índice não é superior a 3 dias, e não há correlação com fontes de dados adicionais, e o suporte funciona apenas online e através da comunidade. Na próxima versão, NetMon, os indicadores são melhores (largura de banda de até 10 GB / s para todos os exportadores, armazenamento ilimitado, índice armazenado por até um mês, mas também não há correlação com outras fontes). E apenas na versão premium do NetworkXDR você não tem restrições, mas permanece como "um quilômetro de estradas de Moscou", ou seja, não é barato.

Em um dos projetos, fomos confrontados com o fato de que, com um volume diário de telemetria de rede de 1 TB e enviá-lo ao SIEM com suporte integrado ao Netflow, o custo total da solução foi de cerca de 600 mil dólares (mesmo antes do próximo salto no curso). Ao mesmo tempo, parte desses dados permaneceu não processada devido à falta de regras apropriadas no SIEM e duplicada. O uso de uma solução NTA separada (no caso, era o Cisco Stealthwatch Enterprise ) levou a uma redução de 80% no volume de dados transferidos para o SIEM, e o custo da solução caiu para 99 mil dólares. A matemática pode diferir de projeto para projeto, mas percebemos que quanto mais o Netflow precisarmos processar, mais cara será a infraestrutura do SIEM para processá-lo. Por que é que?

Vejamos um exemplo. Quando um usuário se conecta a um servidor, do ponto de vista da análise clássica de eventos de segurança da informação, lidamos condicionalmente com apenas um evento que “removemos” do servidor, enviando-o, por exemplo, via syslog para o SIEM (na verdade, haverá dois eventos - uma tentativa conexão e seu resultado). Se esse evento for decomposto em componentes de rede, veremos que haverá uma ordem de magnitude em mais threads gerados. Por exemplo, o número médio de "salto" (salto) do cliente para o servidor é de 5 a 6 na rede média. Cada switch ou roteador através do qual a solicitação passa do cliente para o lado do servidor gera suas entradas do Netflow que descrevem o tráfego que passa. Além disso, isso é feito para cada direção da sessão (solicitação e resposta) separadamente. Acontece que lá,onde apenas 1-2 eventos foram gerados no nível do aplicativo, os fluxos do Netflow exigiam pelo menos 10 vezes mais (na verdade ainda mais, pois um pacote de rede gera cerca de 20 a 30 fluxos do Netflow). E não apenas teremos que pagar por todas essas dezenas de threads (embora o evento ainda seja um) e alocar espaço para seu armazenamento. Portanto, o SIEM também precisará processá-los, remover duplicatas, combinar fluxos multidirecionais em uma sessão e somente então correlacionar esses dados com outros eventos. Portanto, o custo total de uma solução aparentemente óbvia pode ser maior do que no caso de um exportador separado do Netflow ou de uma solução de análise de anomalias de rede autônoma integrada ao SIEM.portanto, um pacote de rede gera cerca de 20 a 30 fluxos de Netflow). E não apenas teremos que pagar por todas essas dezenas de threads (embora o evento ainda seja um) e alocar espaço para seu armazenamento. Portanto, o SIEM também precisará processá-los, remover duplicatas, combinar fluxos multidirecionais em uma sessão e somente então correlacionar esses dados com outros eventos. Portanto, o custo total de uma solução aparentemente óbvia pode ser maior do que no caso de um exportador separado do Netflow ou de uma solução de análise de anomalia de rede autônoma integrada ao SIEM.portanto, um pacote de rede gera cerca de 20 a 30 fluxos de Netflow). E não apenas teremos que pagar por todas essas dezenas de threads (embora o evento ainda seja um) e alocar espaço para seu armazenamento. Portanto, o SIEM também precisará processá-los, remover duplicatas, combinar fluxos multidirecionais em uma sessão e somente então correlacionar esses dados com outros eventos. Portanto, o custo total de uma solução aparentemente óbvia pode ser maior do que no caso de um exportador separado do Netflow ou de uma solução de análise de anomalias de rede autônoma integrada ao SIEM.combinar fluxos multidirecionais em uma sessão e somente então correlacionar esses dados com outros eventos. Portanto, o custo total de uma solução aparentemente óbvia pode ser maior do que no caso de um exportador separado do Netflow ou de uma solução de análise de anomalias de rede autônoma integrada ao SIEM.combinar fluxos multidirecionais em uma sessão e somente então correlacionar esses dados com outros eventos. Portanto, o custo total de uma solução aparentemente óbvia pode ser maior do que no caso de um exportador separado do Netflow ou de uma solução de análise de anomalias de rede autônoma integrada ao SIEM.

E esses analisadores Netflow externos podem ser usados ​​em um de dois cenários. A primeira é a transferência para o SIEM da telemetria otimizada, livre de repetições (deduplicada), combinando fluxos multidirecionais. Com base em nossa experiência (e o Stealthwatch Enterprise pode funcionar nesse modo), posso dizer que isso reduz em seis vezes o volume de telemetria transmitida ao SIEM, o que, nesse cenário, ainda deve ser capaz de analisar o Netflow do ponto de vista da segurança.

imagem

O segundo cenário pressupõe que todo o processamento é realizado em uma solução da classe NTA e apenas os alarmes recebidos como resultado do processamento do Netflow são recebidos no SIEM. Essa opção reduz ainda mais dados enviados ao SIEM, reduzindo o custo de suas licenças e infraestrutura. Sim, e o SIEM não é mais necessário para poder analisar o Netflow bruto, o que amplia as possibilidades de escolha de ferramentas para analisar eventos de segurança da informação.

imagem

Existem alternativas?


Depois de examinar as opções para usar o Netflow no SIEM para detectar mais eventos de segurança do que sem o Netflow, vamos examinar as possíveis alternativas.

Ferramentas de diagnóstico de rede


Você pode tentar usar as ferramentas de diagnóstico de rede usadas para avaliar a largura de banda da rede, a disponibilidade de nós e segmentos internos, cargas de pico etc. Por exemplo, SolarWinds NetFlow Traffic Analyzer. Essas soluções não foram projetadas para detectar ameaças e anomalias de IS, mas podem ser usadas para transferir informações de fluxo para o SIEM, que pode analisar o Netflow. Isso carregará o SIEM, como descrevi acima, e você deve decidir se está pronto para isso? É verdade que vale a pena esclarecer primeiro se o analisador de rede pode enviar dados do Netflow para sistemas externos. Às vezes, eles podem fornecer apenas estatísticas resumidas ou gerar alarmes, o que claramente não é suficiente para tarefas de IS.

imagem

Sistemas de detecção de intrusão e NGFW


O IPS de rede e o NGFW são outra alternativa. Eles podem espiar dentro do tráfego da rede e podem detectar muitas ameaças através de um mecanismo profundo de inspeção de rede ... mas no perímetro. Ainda assim, geralmente o NGFW e o IPS são colocados na fronteira da rede corporativa e da Internet e vê apenas o que passa por eles. A instalação desses dispositivos, “ferro” ou virtual, em todos os lugares em que você estiver interessado, será muito cara e, em alguns casos, tecnicamente impossível. Falando sobre a fronteira ou perímetro, vale lembrar que a interface entre o data center corporativo e os segmentos de usuários também é a fronteira. E a junção entre a rede corporativa e industrial também. Mas, em qualquer caso, a instalação de sensores IPS ou NGFW adicionais pode atingir sua carteira dolorosamente, enquanto o Netflow será coletado de equipamentos de rede já adquiridos e implementados.

Ferramentas de investigação de incidentes de rede


As soluções da classe Network Forensics Tool (NFT) permitem armazenar, processar e analisar o tráfego de rede para investigar incidentes. Mas há uma diferença significativa entre esse tipo de solução e o NTA - NFT funciona com uma cópia completa do tráfego, ou seja, geralmente com arquivos PCAP, e o NTA com registros sobre ele. E se as soluções de análise Netflow funcionarem quase em tempo real, então a NFT - com um atraso significativo. Além disso, qualquer solução que funcione com o PCAP (ou de outra maneira para capturar e salvar uma cópia de todo o tráfego de rede) terá o problema de um local para armazenar todos os dados coletados.

Imagine que você tem uma porta em um dispositivo de rede de 1 Gb / s. Com um comprimento de pacote de 64 bytes, essa porta poderá passar por 1953125 pacotes por segundo e com um comprimento de 1500 bytes - 83.333 pacotes. Ou seja, dependendo do tamanho do pacote (e isso depende dos aplicativos da rede), teremos de 80 mil a 2 milhões de pacotes por segundo, que precisaremos salvar. Em um dia, essa porta permitirá 86400 Gbit / s ou quase 11 TB. Quase 4 PB serão executados ao longo do ano, e isso é apenas para uma porta, da qual podemos ter milhares e dezenas de milhares em nossa rede. Mesmo o armazenamento seletivo do tráfego não facilitará muito nossas vidas. Portanto, são necessárias soluções da classe NFT, mas elas não podem substituir os analisadores Netflow. Essas são ferramentas que resolvem diferentes tarefas - monitoramento e investigação de incidentes.Normalmente, essas soluções funcionam em pares - o Netflow nos permite identificar incidentes, e a NFT já coleta dados detalhados sobre eles na forma de capturar todo o tráfego da rede.

" Mas há SIEM com NFT, por exemplo, IBM QRadar Incident Forensics ou RSA Security Analytics, que permite trabalhar com uma cópia completa do tráfego de rede e todos os metadados do Netflow estarão automaticamente disponíveis no SIEM"Sim, existe! Além disso, a vantagem desta solução é a possibilidade de reconstruir todas as sessões de rede de interesse e visualizá-las, o que pode facilitar a investigação de incidentes. Esse SIEM permite que você substitua um invasor e veja tudo o que ele vê. Mas essa dignidade está oculta. e uma séria desvantagem que mencionei acima é que o armazenamento de uma cópia completa do tráfego de rede requer um armazenamento grande, não, não tão grande que possa custar como um SIEM separado ou até mais (mais do que armazenar apenas o Netflow bruto) ). Pode ser necessário escolher quais sessões específicas salvar para economizar espaço, o que pode levar à perda de tráfego. Além disso, em caso de conformidade com os requisitos legais para armazenar dados relacionados a incidentes,Você terá que quebrá-las ou pagar dinheiro extra pelo armazenamento. Outro recurso desta solução é a necessidade de salvar o tráfego que já foi descriptografado no SIEM, o que significa que você precisará revisar a arquitetura do seu sistema de monitoramento para poder descriptografar o tráfego e enviá-lo ao SIEM. E não esqueça que essas soluções ainda estão focadas na realização de investigações, o que requer pessoal qualificado, e não na detecção de anomalias e ameaças usando algoritmos prontos.no entanto, essas decisões estão focadas na realização de investigações, o que requer pessoal qualificado, e não na detecção de anomalias e ameaças usando algoritmos prontos.no entanto, essas decisões estão focadas na realização de investigações, o que requer pessoal qualificado, e não na detecção de anomalias e ameaças usando algoritmos prontos.

Nesse cenário, eu ainda examinaria a análise inicial do tráfego de rede usando o Netflow e, somente então, para os eventos e incidentes de interesse para mim, eu ativaria a gravação do tráfego de rede. Isso economizará e não gastará recursos no armazenamento de "tudo".

Conclusão


Então, para resumir brevemente. O Netflow é uma fonte valiosa de dados para monitorar a segurança de redes corporativas e departamentais, geralmente a única que pode ser coletada e com base na qual você pode tomar decisões sobre a presença ou ausência de ameaças em seu ambiente. Em princípio, o Netflow também pode ser analisado independentemente usando soluções da classe NTA, que, com um grande banco de dados de regras e algoritmos para detectar atividades maliciosas e anormais, são capazes de detectar rapidamente incidentes e responder a eles. A integração do Netflow com os dados coletados pelo SIEM nos dá muito mais. O SIEM começa a ver o que não havia visto antes e a vê-lo muito mais cedo do que podemos ser prejudicados. Ao mesmo tempo, não precisamos fazer grandes alterações na infraestrutura de monitoramento existente, pois já temos equipamentos de rede,- você só precisa redirecionar o Netflow para o SIEM, diretamente ou através de soluções intermediárias. A ativação do Netflow também me permite obter uma vitória pequena mas rápida - quase todos os nossos pilotos de soluçãoO Cisco Stealthwatch Enterprise termina com o fato de detectarmos certas violações das políticas de IS que não eram vistas anteriormente pelo serviço de IS. O Netflow permitiu que eles fossem vistos e sua integração com o SIEM, obtendo um efeito sinérgico das ferramentas de monitoramento de rede aplicadas e do sistema de atividades.

More articles:


All Articles