Kako prepoznavati tudi nepoznane napade

Če smo se v preteklosti zanašali na proizvajalce opreme, da so vgrajevali prepoznavanje napadov na osnovi znanih vzorcev in podpisov, danes to ne zadostuje več. Sama količina in raznolikost napadov otežujeta delo osebam, ki skrbijo za varovanje informacijske tehnologije v podjetjih.

Dodatno pa po raziskavah organizacije LyghtCyber vedno več napadov zaradi preprosto dostopnih orodij za pripravo namenskega napada postaja ciljno usmerjenih, pripravljena zlonamerna koda pa je uporabljena le enkrat. Nadaljevanje napada se izvaja s standardnimi orodji, kot so Angry IP Scanner, Nmap, TeamViewer ipd.

S tem v mislih smo v 27. julija 2017 na SRC organizirali delavnico za predstavitev in prikaz delovanja inovativne rešitve Cisco Stealthwatch za spremljanje prometa v omrežju, ki so se je udeležili predstavniki večjih slovenskih organizacij, ki iščejo rešitev za izboljšano zaznavanje napadov in hitro, po možnosti avtomatizirano reakcijo na nanje.

Stealthwatch uporablja popolnoma drugačen pristop kot tradicionalne rešitve IDS/IPS, ki temeljijo na prepoznavanju znanega podpisa oz. vzorca. Namesto iskanja teh se “uči”, kakšna dejavnost je normalna v vašem omrežju, in išče neobičajne dogodke. IDS/IPS, ki temelji na prepoznavanju dogajanja, ima prednosti pred IDS, ki temelji na podpisih, saj je potrebna manjša moč procesiranja in omogoča prepoznavanje tudi predhodno nepoznanih napadov.

V SRC prepoznavamo težavnost in kompleksnost dela, povezanega z identifikacijo, preprečevanjem ter zmanjševanjem posledic napadov.

Cisco Stealthwatch spremlja tok podatkov med gostitelji in gradi bazo podatkov o statistiki dogajanja. Za razliko od orodij, ki zgolj zajemajo promet Netflow in omogočajo vpogled vanj, gre torej pri Cisco Stealthwatch velik korak naprej.

Po namestitvi morate počakati najmanj 24 ur, da se zberejo statistični podatki o vašem omrežnem prometu. Nato lahko pregledate bazo podatkov, da ročno potrdite, da je bila prikazana dejavnost normalna. To terja nekaj časa in truda, vendar je to treba storiti le na začetku.

Ko ste prepričani, da je prikazana dejavnost normalna, lahko na tem vzorcu Stealthwatch nastavite za prepoznavanje odstopanj. Po tem se opozorila ustvarjajo, ko se prikaže kakršnokoli odstopanje.

Ročno je možno dodatno potrjevanje posameznih odstopanj v smislu dodajanja znanja in optimiziranja sistema. Če se prometni vzorci pozneje pomembneje spreminjajo, je potrebna ponastavitev vzorca normalnega obnašanja, ki pa običajno traja precej manj časa kot prva.

Stealthwatch uporablja številne parametre, da ugotovi, kaj je normalno – na primer: ravni prometa na gostitelju –, in nato prikaže opozorilo, ki temelji na indeksu »Concern«, ki prikazuje, kako resno je odstopanje. Indeks »Concern« temelji na statistični primerjavi omrežnega prometa s tistim, kar je bilo ugotovljeno kot osnovna normalna aktivnost.

Namesto da bi sistem generiral alarme ob vsakem dostopu ali pingu, Stealthwatch gradi profil vsakega sumljivega gostitelja, preden oceni svojo grožnjo z izračunom indeksa »Concern«. Takoj ko indeks presega vnaprej določeno vrednost, Stealthwatch generira opozorila po e-pošti, SNMP itd.

Razvoj rešitve gre v smeri integracije z avtentikacijskim strežnikom, konkretno s Cisco Identity Services, ki v primeru zaznane anomalije mrežnega prometa uporabniško delovno postajo na zahtevo Stealthwatch avtomatsko premakne v izolirani segment oziroma “karanteno”.

Stealthwatch se dobavi kot naprava (ang. Appliance), razvita na osnovi standardne platforme Intel PC, kjer je nameščena utrjena različica operacijskega sistema Linux. To je mogoče dobiti z različnimi konfiguracijami NIC, pri čemer vrh ponudbe predstavlja naprava z dvema ločenima vmesnikoma zmogljivosti 1 GB in en upravljavski vmesnik 10/100 Mbits/sec.

Pripravljene pregledne konzole in poročila omogočajo učinkovit vpogled ter ustrezne informacije za naknadno forenzično analizo. Podatki o toku se arhivirajo in hranijo do 30 dni. S tem Stealthwatch omogoča:

• prepoznavanje groženj v realnem času,
• spremljanje omrežne obremenjenosti in načrtovanje potrebnih kapacitet ter
• hiter odziv na izredne dogodke in njihovo forenzično preiskavo,
• skladnost z regulativo.

Na ta način SRC na osnovi varnostnih rešitev Cisco omogoča izboljšave nadzora s hkratno avtomatizacijo varnostnih operacij. Jeseni 2017 pripravljamo ponovitve delavnice Stealthwatch, kjer boste imeli priložnost z našimi strokovnjaki Cisco izmenjati podrobne informacije o svojih pričakovanjih in možnih rešitvah.

Cisco Stealthwatch spremlja tok podatkov med gostitelji in gradi bazo podatkov o statistiki dogajanja. Za razliko od orodij, ki zgolj zajemajo promet Netflow in omogočajo vpogled vanj, gre torej pri Cisco Stealthwatch velik korak naprej.