Schválně se zde nezmiňuje dříve velmi propagovaná detekce síťových anomálií, protože hledané anomálie se mohou vyskytovat nejen v síťovém provozu, ale i v chování uživatelů na koncových stanicích apod.
Tyto nástroje v posledních letech prošly výrazným rozvojem, a ne všem výrobcům se podařilo nastupující trendy zachytit.
V současnosti dostupné systémy se liší především v následujících parametrech, které je třeba před pořízením systému detekce anomálií řádně zvážit.
Zdroje dat
V České republice zcela bezkonkurenčně vládne zpracování Netflow neboli síťových toků. Netflow data jsou informace o jednosměrném toku dat obsahující záznamy o zdrojové a cílové IP adrese, transportním protokolu (TCP/UDP/ICMP), zdrojovém a cílovém portu, TCP signalizačních bitech a mnohé další.
Tato data se získávají analýzou síťové komunikace a je možné je generovat buď dedikovanou sondou, nebo v dnešní době již téměř každým aktivním síťovým prvkem, jakými jsou přepínače nebo firewally.
Detekce anomálií ze síťových toků však má několik významných nedostatků. Hlavním z nich je nedostatečný kontext. Na základě detekce komunikace, jež používá cílový port TCP 23, který se běžně užívá pro Telnet, získá správce detekčního systému informaci o tom, že někdo v síti používá protokol Telnet, který přenáší data včetně jména a hesla v textové nešifrované podobě.
To je nepochybně závažná událost, která si zaslouží hlubší analýzu. Problém však je v tom, že na základě informací o síťovém toku už detekční systém není schopen zjistit, jestli v daném paketu byl opravdu protokol Telnet, nebo zda někdo pouze používá nevhodně zvolený port.
Zároveň se nedetekuje, jestli došlo k úspěšné komunikaci tímto protokolem, nebo zda byl daný protokol zablokován firewallem. Obě tyto informace by pomohly určit relevanci události a odstranily by množství falešných pozitiv, jež jsou nejčastějším důvodem, proč firmy dané detekční metody nevyužívají v plném rozsahu.
Moderní systémy pracují nejen s Netflow, ale s celými pakety, z jejichž aplikační části získají použitou aplikaci, možné hrozby, přístupy na škodlivé URL, a všechny tyto informace následně používají v detekčních mechanismech.
K tomu je však třeba využít dedikované sondy umístěné do síťové infrastruktury nebo prvky typu NGFW (firewally nové generace), které tato data umějí získávat nativně. Oba zmíněné typy prvků však musejí pracovat s dekrypcí šifrovaného provozu. Bez ní zůstanou slepé a bez přidané hodnoty oproti Netflow.
Druhým nedostatkem je využití dat pouze ze sítě. K získání plného kontextu, a tím i vyšších detekčních schopností je třeba znát a pracovat i s informacemi z uživatelských stanic a serverů.
Detekční metody
Detekční metody se mezi výrobci radikálně liší. Stále velmi rozšířené je použití limitů, jejichž překročení vede k vytvoření bezpečnostní události. Tímto způsobem se dozvíte o „brute force“ útoku s použitím protokolu SSH, ale už se nedozvíte o jednom nenápadném SSH spojení, které se iniciovalo ze stanice, jež nikdy předtím SSH protokol nepoužívala.
V tom spočívá síla pravé detekce odchylek, kdy si systém dokáže vytvořit dokonalou virtuální kopii sítě společnosti a jakoukoliv odchylku od tohoto standardního stavu umí odhalit a na základě kontextu jí přiřadit relevanci.
Variantou, která se v praxi příliš neosvědčila, je detekce známých hrozeb pomocí signatur. Tento způsob generuje velké množství falešných pozitiv zejména proto, že je zpracováván bez kontextu, a zároveň nemá mnoho společného s detekcí opravdových anomálií.
Umístění výpočetních prostředků
Tradiční systémy zpravidla využívají pro detekci anomálií kolektory Netflow umístěné v síti příslušné organizace. Tyto kolektory získávají informace o síťových tocích a nad těmito daty činí analýzu.
Hlavním problémem je v tomto případě nedostatečná výpočetní kapacita, která nedovoluje zapojení pokročilých detekčních mechanismů typu strojového učení (machine learning) a zároveň stěžuje analýzu událostí obsahujících velké množství dat. Odezvy systémů jsou v takových případech velmi pomalé a práce s nimi vyžaduje od správců velkou trpělivost.
Druhou variantou, kterou si již řada výrobců uvědomila, je přesun do cloudového prostředí, kde se detekčním mechanismům přidělí tolik prostředků, kolik je zrovna třeba. Díky tomu je možné vykonávat detekci anomálií na základě strojového učení.
Přesun citlivých dat do prostředí mimo společnost však může vyvolat vášnivé reakce. K jejich odražení ale výrobci používající tento způsob disponují nejvyššími certifikacemi zabezpečení datových center, jakými jsou např. SOC2 Type II apod.
Podpora pro analýzu událostí
Systémy pro detekci anomálií jsou velmi výrazným pomocníkem v ochraně proti pokročilým útokům, nicméně se mohou stát noční můrou administrátorů. Systém chrlící desítky či stovky událostí každý den není pro své administrátory velkým přínosem.
Události se musejí generovat s určitým stupněm relevance, což souvisí se zmiňovaným kontextem, a zároveň musí systém poskytnout nástroje, které pomohou s analýzou nalezeného nestandardního chování.
Situace, kdy bezpečnostní analytik získá informaci o vzniklé anomálii v síťovém provozu, je teprve začátkem dlouhé cesty. Velmi jednoduché je na základě IP adresy dohledat zdrojovou stanici.
Systém by měl mít zároveň možnost získat identitu uživatele, který anomálii způsobil, a to i v případě využití terminálových serverů, kdy je přihlášeno více uživatelů a vazba uživatel – IP adresa tak není 1 : 1.
Následuje však nejtěžší úkol – nalézt zdroj síťové komunikace z pohledu procesu běžícího na koncové stanici. Logování všech událostí na koncové stanici není běžné a automatická detekce procesu detekčním systémem není obvyklá.
Některé ze současných systémů však už umožňují nejen okamžité získání informace o procesu, tedy mj. jeho jméno, umístění a hash, ale také mohou daný soubor odeslat ke kontrole do asociovaného sandboxu, který dokáže o daném souboru rozhodnout, jestli jde o škodlivý, či neškodný vzorek.
Toho se může docílit instalací agenta na koncové stanici, nebo nativními nástroji operačního systému (např. WMI v případě MS Windows), což je v řadě případů preferovaná varianta.
Podpora pro nápravné kroky
Dosud se zde probíraly systémy určené pro detekci událostí, nicméně mnoho z těchto řešení má v dnešní době možnost aktivně zasáhnout a nalezený útok okamžitě zastavit. Vykonává se to zpravidla využitím už existující bezpečnostní infrastruktury, kdy se volá API používaného firewallu, který postiženou stanici umístí do karantény.
Zde se však opět dostává ke slovu problematika falešných pozitiv. K tomu, aby bylo podobnou akci možné vykonat, je třeba znát výrazně více informací o dané stanici a celkovém kontextu události, nicméně ve vysoce zabezpečených prostředích je to rozhodně funkce, o níž je vhodné uvažovat.
Shrnutí
Systémy pro detekci anomálií prošly v posledních letech rapidním vývojem a vzájemně se od sebe výrazně odlišují. Největší rozdíl je pozorovatelný zejména mezi tradičními hráči a nově vznikajícími výrobci, kteří se nebojí ustoupit od konzervativních metod.
Pokud tedy stojíte před rozhodnutím, jestli obnovit původní řešení, nebo se porozhlédnout po moderním systému, je ten pravý okamžik oslovit větší množství výrobců a nechat si představit alternativy. Paralelní testování několika z nich nezabere výrazně více času a přinese dokonalé srovnání kvality detekce i způsobu správy.
Autor pracuje jako security architect ve společnosti H-Square ICT Solutions.
Tento příspěvek vyšel v Securityworldu 4/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU