Современные технологии сетевой безопасности: что об этом надо знать_ЧАСТЬ 2
Содержание статьи
- Что представляет собой threat hunting и зачем он нужен
- Что можно получить путем полной записи трафика и корреляции событий?
- Нюансы проверки вредоносных файлов в сетевом трафике
- Нюансы работы с зашифрованным трафиком
- По каким признакам можно заметить компрометацию
- Как обеспечить стабильную работу систему корпоративной безопасности
- Подводим итоги
Тема обеспечения безопасности корпоративных сетей чрезвычайно актуальна на сегодня. Мы уже говорили о том, с какими проблемами пришлось столкнуться специалистам, работающим в данной сфере, рассмотрели сигнатуры атак, остановились на основных моментах, связанных с обеспечением тщательного контроля над действиями сотрудников и уровнем приложений. Обо всем этом можно почитать здесь. Сейчас же остановимся на других важных вопросах, связанных с обеспечением сетевой безопасности. В частности, остановимся на таких вопросах как threat, запись трафика и корреляция событий. Рассмотрим способы проверки вредоносных файлов в сетевом трафике. Подскажем, как действовать с зашифрованными соединениями, индикаторами компрометации и DGA, затронем также ряд и сопутствующих вопросов. Но, обо всем по порядку.
Что представляет собой threat hunting и зачем он нужен
Threat hunting — технология, направленная на проактивный поиск следов взлома или же работы вредоносного программного обеспечения, которые невозможно идентифицировать стандартными средствами защиты. В данном случае аналитику нет смысла ждать, пока сработают настроенные сенсоры. Он уже изначально ищет следы компрометации. Данная работа предполагает разработку предположений относительно того, как злоумышленник мог попасть в сеть, а также их проверку на практике. Регулярное и своевременное проведение таких проверок способно в разы увеличить уровень безопасности корпоративной сети.
Чтобы реализовать threat hunting максимально эффективно необходимо придерживаться следующих правил:
- предположить, что система уже подверглась взлому, то есть ваша задача состоит в том, чтобы найти следы данного проникновения;
- создание нескольких гипотез относительно того, каким же именно образом была взломана система;
- проверка гипотез выполняется итерациями: проверили один вариант, не выявили никаких следов, берем за основу следующую теорию и проверяем ее.
Благодаря чему threat hunting отличается эффективностью на практике? Дело в том, что классические средства корпоративной защиты не способны уловить сложные целевые атаки. Зачастую злоумышленники растягивают их во времени. Автоматизированное ПО не может связать воедино все эти фазы. При организации сложных целевых атак злоумышленники продумывают разные сценарии действий, выбирают соответствующие направления. В итоге им удается выдать свою активность за вполне легитимную. То есть система безопасности их просто не замечает.
Особенно актуальным на практике будет использование данной технологии в организациях, которые уже ранее поддавались взлому. Так, результаты исследований показали, что свыше 60% организаций, скомпрометированных ранее, повторно подвергались хакерским атакам. То есть задачей специалистов по информационной безопасности таких компаний будет ранее выявление фактов взлома, что и позволяет реализовать технология threat hunting. Более того, регулярно используя ее на практике, вы сможете консолидировать знания о той инфраструктуре, которую предстоит защищать.
Что можно получить путем полной записи трафика и корреляции событий?
Современные инструменты сетевой безопасности предлагают специалистам возможность сохранять весь трафик, а также просматривать полную запись в последующем. Сюда также можно отнести метаданные приложения и протоколов. Так, PT NAD, о которой мы уже говорили ранее, предлагает предоставление сотрудникам служб информационной безопасности подробные параметры сетевых приложений и протоколов, способных значительно упростить разбор инцидентов. Так, необработанные данные рекомендуется хранить 7 дней, а метаданные— 14 дней. Но вы можете задать другие параметры, исходя из эффективность работы в вашей службы безопасности при разборе инцидентов, а также объемов входящего трафика. Благодаря этому можно проверять новые индикаторы по старым показателям трафика, выявляя ощутимые расхождения, что уже само по себе может свидетельствовать об атаке.
Еще один инструмент, реализованный в PT NAD (PT Network Attack Discovery) — это достаточно удобная корреляция нескольких сессий и событий. Дело в том, что стандартное средство сетевой защиты может идентифицировать атаку только в рамках одной сессии. Здесь же вы можете анализировать не только текущее состояние, но и проверять все более ранние сессии и их параметры. Как вариант, это может быть информация о прошлых запросах, а также DNS ответах. Один из отличительных моментов здесь то, что данные работы выполняются в пассивном режиме, то есть не оказывают непосредственного влияния на текущую производительность сети.
Нюансы проверки вредоносных файлов в сетевом трафике
PT NAD — один из немногих сетевых продуктов, работающих сегодня на российском рынке и способных выделять файлы из потока трафика, отправлять их на последующую проверку в песочницу и антивирус. Кто не знает, под песочницей подразумевают сервер, внутри которого сконцентрировано огромное количество виртуальных машин, позволяющих выявлять уязвимости нулевого дня и вредоносное программное обеспечение, неизвестное ранее. Специалисты могут запустить внутри песочницы любой программный код или же непосредственно открыть файл для того, чтобы оценить его содержимое. Даже в том случае, если данная документация будет хранить вредоносное ПО, то данный код останется на виртуальной машине, то есть на рабочие компьютеры не перейдет.
Чтобы отправить файл из трафика в песочницу необходимо:
- отчетливо понимать, каким образом приложения передают файлы в определенном случае;
- разработать протокол и выудить из потока необходимый файл по любому из TCP-портов;
- передать выявленные файлы в песочницу через API производителя или с использованием ICAP-протокола.
Все это делается для того, чтобы виртуальные машины песочницы провели поведенческий анализ и предоставили вам заключение о том, есть ли во входящем трафике вредоносный программный код или же нет. Наиболее часто данный способ применяется для проверки файлов в тех приложениях, которые браузер использует в своей работе. Речь идет о трафике, который:
- идет по протоколам соединения HTTP, FTP, SMB;
- используется для передачи файлов в сетях Майкрософт;
- применяет файловые шары на основе NFS;
- задействует для передачи файлов протоколы SMTP, POP3, IMAP.
В дополнение к проверке песочницей весь трафик также подвергается еще и проверке антивирусом.
Нюансы работы с зашифрованным трафиком
На сегодня огромное количество файлов передается в сети через зашифрованные каналы. Взять хотя бы те же мессенджеры Telegram и WhatsAp, где используются IPsec- и SSL-туннели. По такому принципу работают и многие другие приложения. На первый взгляд может показаться, что сетевая безопасность окажется здесь бессильной. Особенно если знать тот факт, что практически все вредоносные коды, существующие на сегодня распространяются через зашифрованные каналы.
Но все же, есть способы решения данной проблемы. Как вариант, можно определить наличие вредоносного кода года даже без расшифровки. Здесь также используется технология анализа зашифрованного трафика по поведению. Дело в том, что центры управления ботнетами не в состоянии менять рабочие протоколы для новых ботов. В противном случае они просто потеряют управление над старыми. Именно этим уязвимым местом и пользуются исследователи. Предполагается мониторинг частоты подключения, а также размеров передаваемых пакетов и прочих параметров. Постоянно контролируя их, вы сможете заметить, что даже по зашифрованному трафику вредоносного подключения будет заметно отличаться от обычного, что и сможет идентифицировать поведенческий движок.
И еще один вариант — использования специальных индикаторов центра управления ботнетами. Дело в том, что большая часть из них находится на хорошо уже известных всем адресах. То есть подключение к центру управления будет идентифицироваться по известным IP, url-адресам, доменным именам даже в том случае, если трафик зашифрован. А это уже в свою очередь позволяет заметить стороннее подключение.
По каким признакам можно заметить компрометацию
Как показала практика, достаточно внушительная часть угроз идет с фиксированных IP-адресов и доменных имен, а также использует известные url. Эти параметры можно отнести к индикаторам компрометации (IoC, indicator of compromise). Получается, что если кто-либо из вашей корпоративной сети подключиться к центру управления ботнетами, то это укажет на компрометацию внутренних ресурсов. Такое подключение необходимо как можно быстрее заблокировать и провести расследование инцидента. Существуют специальные базы подобных адресов. Они распространяются совершенно бесплатно и представлены во всеобщем доступе. В них собраны все те адреса, с которых уже были идентифицированы хакерские атаки. И если подобный трафик заметите вы в своей сети, то это будет сигналом к блокировке канала. Но проблема в том, что подобные публичные базы достаточно медленно обновляются, а процент ложных срабатываний у них достаточно высокий.
Наряду с бесплатными, современный рынок предлагает также коммерческие базы индикаторов. Это уже более надежный и проверенный вариант, так как имеющаяся в них информация постоянно подвергается очистке, обновлению, что минимизирует ложное срабатывание и повышает процент выявления атак. Большая часть современных коммерческих баз — это уже не привычный для нас перечень адресов. Это огромные порталы, в которых не только приводится соответствующий IP-адрес, но и описание того, почему он отнесен к ненадежным.
Но проблема здесь в том, что ни один злоумышленник не будет сидеть и ждать, пока его адрес окажется в базе специалистов по информационной безопасности. Они неустанно ведут работу над созданием новых методик быстрого перемещения по сети с одновременным сокрытием своего присутствия. Нередко на практике используется такая техника, как генерация новых доменных имен domain generation algorithm (DGA), а также перемещение центра управления на новый адрес осуществляется буквально каждые 3-5 минут. Злоумышленники встраивают данный алгоритм прямо во вредоносный код. Благодаря этому программа знает, по какому адресу находится ее центр управления. Единственное, чем могут противостоять этому современные системы корпоративной безопасности, так это выявлять DGA-имена с указанием того, какое именно семейство вредоносного кода используется под ним.
Как обеспечить стабильную работу систему корпоративной безопасности
Многие специалисты в сфере информационной безопасности допускают ряд ошибок и пропускают атаки, не уделяя внимания элементарным нормам и требованиям. Вот основные моменты:
- Отсутствие контроля над геолокацией. Обращайте внимание на то, через какие регионы осуществляется подключение к сети ваших сотрудников. Если окажется, что подключение ведется через какую-либо другую страну, то этот факт уже можно рассматривать в качестве инцидента. Особенно это актуально для организаций, относящихся к государственным. Да, не каждое выявленное подключение через другую страну окажется хакерской атакой. Так, ваши сотрудники могут подключаться через VPN, могут заходить на свой компьютер из другого государство, находясь там на отдыхе или же в командировке. Но все же такие случаи будут единичными. Лучше перебдеть и обязательно мониторить геолокацию.
- Нахождение паролей в открытом доступе. Практика показывает, что в большей части корпоративный сетей вместо LDAPS используется LDAP, а вместо HTTPS — HTTP. Это значит, что все пароли и логины гуляют по вашей системе в совершенно открытом виде. Достаточно будет любому сотруднику или тому же злоумышленнику запустить сниффер, собрать все необходимые логины и пароли для получения доступа к сети. Далее останется только воспользоваться чужим аккаунтом и взять из вашей системы всю необходимую информацию или же заразить ее вредоносным ПО. Именно поэтому очень важно проверить, какие протоколы соединения используются у вас и выполнить несложную перенастройку.
- Определение роли хоста в сети. Дело в том, что многие средства информационной безопасности могут использовать собственные алгоритмы только в том случае, если им достоверно известна роль хоста в сети, а именно его рабочая станция, почтовый сервер, контроллер домена, DNS. Еще недавно все эти параметры определялись вручную, что значительно усложняет работу в крупных сетях. Решить данную проблему удалось путем внедрение специальных поведенческих методик. Просто определяются действия, типичные для того или иного устройства: спутать работу видеокамеры и принтера вы явно не сможете. Соответствующая информация о новых хостах постоянно накапливается. То есть теперь не надо ждать данные об имеющихся хостах, и тех ролях, которые не играют от ИТ-службы — система сама оповестит о новых компонентах, что снизит частоту ложных срабатываний и обеспечит защиту от shadow IT. В результате у вас в базе будет присутствовать информация обо всех хостах с подробным описанием всех устройств, которые подключались к нему, открытых портов. Также будет присутствовать и график взаимодействия. Ввиду того, что за такой базой редко следят специалисты по безопасности, появившейся возможность нередко используют хакеры, взламывая сети через shadow IT.
Подводим итоги
Как видите, чтобы обеспечить в своей корпоративной сети максимально высокий уровень безопасности необходимо постоянно мониторить трафик. Это актуально как для периметра самой сети, так и для ее внутренних сегментов. Особое внимание специалисты рекомендуют обращать внимание на те узлы, на которые в своем большинстве и нацелены злоумышленники. Речь идет об узлах, где:
- выполняется обработка всевозможных платежей;
- осуществляется аутентификация сотрудников;
- работает персонал с привилегированным доступом.
Также слабым местом могут стать демилитаризованные зоны. Да, работа предстоит не из простых, но, увы это единственная возможность выявить хакерские атаки и не дать им достичь цели.
К слову, для обеспечения личной безопасности и стабильности работы в сети стоит использовать мобильные прокси от сервиса MobileProxy.Space. В этом случае вы получаете также высокий уровень конфиденциальности действий в интернете, эффективное обхождение региональных блокировок, возможность работы в многопоточном режиме, в том числе с использованием программного обеспечения для автоматизации действий. С особенностями и функциональными возможностями мобильных прокси можно познакомиться по ссылке https://mobileproxy.space/user.html?buyproxy. В любом случае вы получаете надежный продукт, который сделает вашу работу в сети безопасной и позволит избежать всевозможных ограничений. Возникшие сложности и проблемы в работе быстро решает служба технической поддержки, специалисты которой на связи круглосуточно.