网络异常分析工具的使用案例：泄漏检测

在其中一项活动中，引起了关于NTA（网络流量分析）解决方案的实用性的有趣讨论，NTA解决方案使用Netflow遥测网络基础结构（或其他流协议），可以检测多种攻击。我的反对者认为，在分析标头和相关信息时（与传统的攻击检测系统IDS不同，NTA不会分析数据包数据的主体），您看不到太多内容。在本文中，我将尝试反驳这种观点，并使对话更具实质性，当NTA确实有助于识别外围甚至外围丢失的各种异常和威胁时，我将给出一些真实的例子。我将从去年威胁等级中排在第一位的威胁开始，我认为今年将保持如此。它将涉及信息泄漏以及通过网络遥测检测到信息的能力。

我不会考虑那些离开Internet看起来不受保护的Elastic或MongoDB的管理员弯腰的情况。让我们谈谈攻击者的有针对性的行为，就像Equifax信用局广受赞誉的故事一样。让我提醒您，在这种情况下，攻击者首先将未修补的漏洞渗透到了公共Web门户，然后又渗透到了内部数据库服务器。他们几个月都没有被注意，却能够窃取1.46亿信用局客户的数据。是否可以使用DLP解决方案识别此类事件？很有可能不是，因为经典DLP并非专门用于监视使用特定协议的数据库流量的任务，即使在这种流量被加密的条件下也是如此。但是，通过超过从数据库下载的信息量的某个阈值，NTA类的解决方案可以很容易地检测到此类泄漏。接下来，我将展示如何使用Cisco Stealthwatch Enterprise解决方案来配置和发现这些内容。

因此，我们需要做的第一件事是了解数据库服务器在网络中的位置，确定其地址并将其分组。在Cisco Stealthwatch中，清单任务可以手动执行，也可以使用特殊的分类器来分析流量，并根据所使用的协议和节点的行为将其归为一个或另一个类别。



在获得了有关所有数据库服务器的信息之后，我们将开始调查以发现是否正在从所需的节点组中泄漏大量数据。我们发现在我们的案例中，数据库最积极地与DHCP服务器和域控制器通信。



攻击者通常建立对任何网络节点的控制，并将其用作发展攻击的桥头堡。从网络流量的角度看，这似乎是一种异常-从该节点进行的网络扫描变得越来越频繁，从文件共享中捕获数据或与任何服务器进行交互。因此，我们的下一个任务是了解我们的数据库最常与谁通信。



在DHCP服务器组中，事实证明这是一个地址为10.201.0.15的节点，与之交互的节点约占数据库服务器所有流量的50％。



作为调查的一部分，我们要问自己的下一个逻辑问题是：“这个节点是10.201.0.15，是什么？他与谁互动？多常？什么协议？”



事实证明，我们感兴趣的节点与网络的各个段和节点进行通信（这并不奇怪，因为它是DHCP服务器），但是这个问题导致与地址为10.201.0.23的终端服务器的交互过多。这正常吗？显然存在某种异常。 DHCP服务器无法与终端服务器如此积极地通信-5610流和23.5 GB的数据。



并且此交互是通过NFS进行的。



我们下一步，尝试了解我们的终端服务器与谁进行交互？事实证明，他与外界进行了非常积极的交流-在美国，英国，加拿大，丹麦，阿联酋，卡塔尔，瑞士等地设有分支机构。



怀疑是由于与波多黎各进行P2P互动而引起的，该互动占所有流量的90％。此外，我们的终端服务器通过与DNS协议连接的第53个端口向波多黎各传输了超过17 GB的数据。您能想象通过DNS传输如此大量的数据吗？而且我想提醒您，根据思科公司的研究，有92％的恶意软件使用DNS来隐藏其活动（下载更新，接收命令，释放数据）。



如果ITU DNS协议不仅是开放的，而且未经检查，那么我们的外围将有一个大漏洞。



一旦节点10.201.0.23引起了我们这样的怀疑，让我们看看他还在和谁说话？



我们的“怀疑”与节点10.201.3.18交换所有流量的一半，该节点位于销售和市场部门员工的一组工作站中。对于我们的组织而言，终端服务器与卖方或销售商的计算机“通信”的情况如何？



因此，我们进行了调查，发现了以下图片。来自数据库服务器的数据被“倾倒”到DHCP服务器上，随后通过NFS传输到我们网络内部的终端服务器，然后使用DNS协议传输到波多黎各的外部地址。这显然违反了安全策略。同时，终端服务器还与网络中的工作站之一进行交互。是什么原因导致此事件？帐户被盗了吗？装置受到感染？我们不知道。这将需要继续进行基于NTA类解决方案的调查，该解决方案可以分析网络流量异常。



现在，我们对所发现的违反安全策略的行为该怎么办感兴趣？您可以根据上述方案进行定期分析，也可以配置NTA策略，以便在检测到类似违规时立即发出信号。这可以通过相应的常规菜单完成，也可以针对调查过程中检测到的每个连接完成。



交互检测规则如下所示，其源是数据库服务器，目标是任何外部节点，以及内部的任何节点（不包括Web服务器）。



如果检测到此类事件，则网络流量分析系统会立即生成对应的警报信号，并根据设置将其使用与管理员的通信方式发送给SIEM，甚至可以自动阻止检测到的违规行为（Cisco Stealthwatch通过与Cisco ISE进行交互来实现） ）



回想一下，当我提到Equifax的情况时，我提到攻击者使用加密通道来转储数据。对于DLP，此流量成为一项不可解决的任务，但对于NTA级解决方案，它们不是-不管使用何种加密，它们都跟踪任何多余的流量或节点之间未经授权的交互。



上面仅显示了一种情况（在以下材料中，我们将考虑使用NTA来实现信息安全性的其他示例），但实际上，网络流量分析类的现代解决方案使您可以创建非常灵活的规则，不仅可以考虑IP数据包头的基本参数，



还可以考虑：进行更深入的分析，直到将事件与Active Directory中的用户名相关联，通过哈希搜索恶意文件（例如，从SOSOPKA，FinCERT，Cisco Threat Grid等获得的危害指标）等。



易于实现。例如，这是过去30天内使用任何协议检测数据库服务器与外部节点之间所有类型的交互的常规规则。我们看到我们的数据库使用DNS，SMB和端口8088协议与DBMS网段外部的节点“通信”，



除了用于显示调查或搜索结果的表格形式之外，我们还可以将它们可视化。对于我们的方案，网络流程图的一部分可能看起来像这样：



从同一幅图中，我们可以管理策略-阻止连接或自动为我们感兴趣的流创建监视规则的过程。



这是一个使用Netflow监视工具（和其他流协议）进行网络安全的非常有趣且生动的示例。在以下说明中，我计划显示如何使用NTA检测恶意代码（例如Shamoon），恶意服务器（例如DNSpionage广告系列），远程访问程序（RAT），绕过公司代理等。

Source: https://habr.com/ru/post/undefined/