Monitoring Serwerów - Forum o monitoringu infrastruktury IT
Detekcja intruzów a korelacja zdarzeń - Printable Version

+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Scrutinizer (https://monitoringserwerow.pl/forumdisplay.php?fid=14)
+--- Thread: Detekcja intruzów a korelacja zdarzeń (/showthread.php?tid=32)



Detekcja intruzów a korelacja zdarzeń - ArturB - 07-30-2019

Wykrywanie włamań do sieci, Cyber Threats, Advanced Persistent Threat (APTs), malware polimorficzny, korelacja zdarzeń – te wszystkie hasła są dobrze znane profesjonalistom z branży IT. Jednak czy istnieje jakiś dodatkowy obszar zabezpieczeń, który dałby nam jeszcze większy spokój ducha?

W NetFlow znamy się doskonale na generowaniu raportów dotyczących wydajności oraz zagrożeń w sieci. Jednakże wylistowanie top N conversations, to w dzisiejszych czasach jedynie próbka funkcjonalności, które zespół NetFlow postawił sobie za zadanie zaimplementować.

Zdarza się, że najbardziej przykry malware przemyka się tuż przed naszymi oczami. W takich sytuacjach NetFlow ułatwia wypatrzenie zainfekowanego hosta. W jaki sposób? Załóżmy, że atak phishingowy zdołał spenetrować IDS, przełamał filtr antyspamowy, jak również obszedł oprogramowanie antywirusowe. Do tego użytkownik niebacznie kliknął na okno wygenerowane przez wirusa. Teraz malware może śmiało rozchodzić się „na boki”, zarażając innych użytkowników i wykradając coraz więcej danych. I nie liczcie na to, że te zaawansowane zagrożenia zostaną w końcu wyłapane przez wewnętrzne zabezpieczenia, które szukają nieudanych prób logowania. Bo przecież ten „trefny” host jest zakwalifikowany jako zaufany!

Ograniczenia w detekcji intruzów opartej na podpisie

IPFIX oraz NetFlow to genialne narzędzia do detekcji zagrożeń. Dzięki nim możliwe jest monitowanie połączeń wychodzących, które generalnie omijają nawet urządzenia typu deep packet inspection takich jak IPS czy firewall. Nawet zaktualizowany antywirus naiwnie przepuści połączenie z zainfekowanego, a jednocześnie zaufanego hosta. A nawet jeśli któreś Security Appliances ma funkcję monitorowania połączeń wychodzących, to i tak nie przechytrzy to zaawansowanych wirusów, które wykorzystują protokół SSL. Jaka jest odpowiedź softu zabezpieczającego opartego o kontrolę podpisów na tak postawione pytanie ? Mniej więcej tyle, co „nie znam się, nie rozumiem, żadnej roboty nie wezmę, zarobiony jestem!”

[Image: 2013-03-21_120500.png]

„Jeśli to jest SSL, to się nie podejmuję”

Korelacje logów w NetFlow

Korelacje logów to funkcja, która umożliwia NetFlow odkrycie istotnych powiązań miedzy zainfekowanym hostem a innymi jednostkami. Czy inne jednostki zarejestrował próbę połączenia? . Czy czas logowania się na te komputery przypada mniej więcej w tym samym czasie (np. w syslog). To są przykłady danych, które można uzyskać w NetFlow. A możemy to jeszcze porównać z wynikami kontroli host reputation, przez co uzyskamy kolejny poziom wglądu w problem.

Z mojego wywodu mogłoby wynikać, że ochrona oparta o podpisy odchodzi do lamusa. Nie do końca. Staram się raczej pokazać zalety rozwiązań opartych o analizę przepływu, które tworzą dodatkową, skuteczną warstwę zabezpieczeń. Jak inaczej udałoby się naszym klientom osiągać średnio 2500% zwrotu inwestycji w system zabezpieczeń?


Autor: James@Plixer
Materiał w oryginale