ZTNA – co to jest i dlaczego warto go wdrożyć?
Oznakowanie BHP w magazynie w świetle przepisów
ZTNA – co to jest i dlaczego warto go wdrożyć?
Oznakowanie BHP w magazynie w świetle przepisów
Pokaż wszystko

Network Traffic Analysis – czy jest odpowiedzią na Zero Day?


Ochrona firmowych sieci przed atakami ze strony hakerów staje się coraz bardziej skomplikowana i wymaga działań na wielu płaszczyznach. Jedną z technologii bezpieczeństwa, która pomaga w zapewnieniu dodatkowego bezpieczeństwa, jest zaawansowana analityka pakietów sieciowych w sieci z uczynieniem zachowania- NTA (Network Traffic Analysis).

NTA – jak to się zaczęło?

Gromadzenie danych sieciowych i ich analiza jako jeden z elementów podejmowania decyzji w zakresie bezpieczeństwa nie jest czymś nowym. Praktykowane jest już od końca lat 80. XX wieku, a na pewno od momentu pojawienia się na rynku Tcpdump (1988), czyli pierwszego systemu pozwalającego na śledzenie komunikacji w sieciach komputerowych. Tcpdump jako pierwszy umożliwił użytkownikom przechwytywanie, wyświetlanie i zapisywanie do pliku protokołu TCP/IP i innych pakietów przesyłanych lub odbieranych przez sieć, do którego podłączone było urządzenie końcowe. Dało to jednocześnie możliwość ich analizy w kontekście bezpieczeństwa.

Początki rozwoju systemów bezpieczeństwa sieciowego sięgają czasów Snorta – systemu IDS (Intrusion Detection System), który opierał analizę bazując na sygnaturach. Niezwykle przydatny program, który już w 1998 roku umożliwiał analizę ruchu przychodzącego i wychodzącego w czasie rzeczywistym. A to z kolei pozwalało na wczesne wykrycie potencjalnego zagrożenia, które skierowane było do sieci.

Jednak to rozwiązanie jak i podobne miały wady, potrafiły wykrywać zagrożenia, które już wcześniej zostały wykryte i opisane za pomocą sygnatur. Nie radziły sobie z zagrożeniami, które nie zostały wykryte ani zbadane wcześniej.
Współczesne rozwiązania związane z bezpieczeństwem sieciowym ewoluowały, łącząc w sobie znane metody wykrywa z rozszerzonymi zaawansowanymi funkcjonalnościami. Obecnie wykorzystuje się zarówno sygnatury, jak i analizę behawioralną (opartą na uczeniu zachowania), co umożliwia szybsze, a także skuteczniejsze wykrywanie różnego typu zagrożeń. Jednym z tego typu rozwiązań jest NTA, czyli Network Traffic Analysis.

Czym jest współczesne NTA?

Gartner definiuje Network Traffic Analysis (NTA) jako kategorię produktów zabezpieczających, które korzystają z komunikacji sieciowej jako podstawowego źródła danych do wykrywania i analizowania zagrożeń bezpieczeństwa oraz nietypowych lub złośliwych zachowań w swojej sieci.
To definicja bardzo ogólna, która nie pokazuje nam pełnego obrazu możliwości, jakie daje wykorzystywanie NTA. Współczesne NTA to nie to samo NTA, które opisywał Gartner w 2019 roku. Jak wspomniałem już wcześniej, w analityce sieciowej nastąpił ogromny progres. Współczesne NTA obejmuje różnorodne i złożone rozwiązania, a sama definicja jest znacznie szersza i wykracza poza podstawową funkcję monitorowania i zbierania danych w czasie rzeczywistym.

Dlaczego trzeba wdrożyć NTA w firmie?

Być może część z was zadaje sobie pytanie:
Po co potrzebne jest NTA skoro mam już zainstalowanego Next Generation Firewall (NGFW) lub rozwiązanie Intrusion Prevention System (IPS).
Warto uświadomić sobie, że wyżej wymienione rozwiązania zazwyczaj skupiają się na monitoringu zagrożeń, które mogą wystąpić na granicach sieci. W sytuacji, gdy złośliwe oprogramowanie przeniknie do sieci, NGFW i IPS nie są w stanie już nam pomóc. Ponadto, istniejące zagrożenia potrafią ominąć kontrolę brzegową lub dostają się do sieci inną droga niże połączenie internetowe.
Wówczas potrzebne jest narzędzie, które będzie mogło wykryć zagrożenie już wewnątrz naszego systemu. W ten sposób za pomocą złożonej kombinacji narzędzi i silników z jakiej korzystają rozwiązania NTA (uczenie maszynowe, analizy zachowania czy analiza retrospektywna) są w stanie wykryć, a nawet izolować zagrożenia, które znalazły się już we wnętrzu infrastruktury sieciowej i zapobiec atakom lub je ograniczać.

Czytaj również: Audyt bezpieczeństwa infrastruktury sprzętowej IT

Z jakich narzędzi korzysta NTA?

Co tak naprawdę składa się na NTA? Prześledźmy to na przykładzie rozwiązania Breach Detection System (BDS) Hillstone Networks.

Analiza behawioralna

W modelu behawioralnym do analizy zachowania użytkowników i działania aplikacji i usług wykorzystywane są sztuczna inteligencja i modele uczenia maszynowego.
Silnik analizy ruchu sieciowego marki Hillstone śledzi i gromadzi dane na temat ruchu przepływającego wewnątrz sieci oraz między serwerami zewnętrznymi, a hostem wewnętrznym lub hostem i Internetem. Zachowana jest pełna analiza sieci pod kątem wykrywania ruchu w intranecie i powiązania go z ruchem we wszystkich kierunkach.
Jak to wygląda w praktyce? Otóż narzędzie NTA przez określony czas, najczęściej 7 dni, monitoruje ruch sieciowy, w tym normalne zachowania użytkowników uzyskujących dostęp do różnych aplikacji i usług. Po tym czasie ustala linię bazową dla ruchu hostów i serwerów. Metoda ta pozwala na podział naszej sieci na ryzykowane zasoby z określeniem ich krytyczności. Następnie opracowuje ruch wzorcowy dla wszystkich aplikacji i usług w sieci korporacyjnej z pozwala na podejmowanie decyzji o wykrywaniu podejrzanego zachowania.

Wszelkie odstępstwa i nietypowe wzory ruchu, które odbiegają od nauczonego modelu ruchu będą postrzegane jako potencjalnie niebezpieczne. W takim przypadku system uruchamia głębokie analizy, bada wzorce zachowania i generuje odpowiednie raporty z alertami dla osób odpowiedzialnych, które podejmą odpowiednie działania mające na celu wyeliminowanie lub zminimalizowanie ewentualnych szkód wyrządzonych przez złośliwe oprogramowanie. Silnik wyposażony w najnowsze dane zaproponuje również schemat działania, który pozwoli zatrzymać kolejne fazy ataki jak również dołączy element mitygacji zagrożenia, które zablokuje zagrożenie w ruchu sieciowym na NGFW, IPS lub XDR firmy Hillstone.

Analiza statystyczna

System NTA to przede wszystkim analityka, która jest badana na wielu poziomach — od prostych po zaawansowane algorytmy oparte na uczeniu maszynowym. Głównym celem jest identyfikacja aplikacji i usług, których wzorce ruchu przekraczają ustalone linie bazowe, co umożliwia wykrycie nieprawidłowego zachowania w sieci.

Opatentowane metody analizy Hillstone

Rozwiązanie Hillstone podnosi poprzeczkę w wykrywaniu zagrożeń poprzez zastosowanie własnych opatentowanych silników.
Tym, co odróżnia analitykę Hillstone od innych rozwiązań na rynku, jest sposób analizy pakietów. Hillstone bazuje na analizie pakiet per cały pakiet, w konkurencyjnych rozwiązaniach często jest to tzw. analiza flow, tylko początek pakietu lub pakiety próbkowane. Ta metoda pozwala na działanie z unikalnymi silnikami:

  • Silnik ATD (Advanced Threat Detection) – pozwala na wykrywanie podobieństw atrybutów ataków sieciowych w czasie rzeczywistym i wykrywanie nieznanych, wariantowych zagrożeń typu 0-day w sieciach oraz przechwytywanie potencjalnych ataków sieciowych i APT (Advanced Persistent Threat). Dzięki tej metodzie wykrywanie zagrożeń jest szybsze i skuteczniejsze.
  • Silnik ABD (Abnormal Behavior Detection) – wykrywa zagrożenia w czasie rzeczywistym, wykrywa nieprawidłowe zachowanie sieci dla hostów, serwerów i użytkowników, które są niewidoczne dla NGFW.
  • WAF (Web Application Firewall) – łączy możliwości Web Application Firewall (WAF) z funkcjami analizy behawioralnej Hillstone BDS w jednym rozwiązaniu. WAF to rozwiązanie zabezpieczające, które chroni aplikacje internetowe przed różnymi zagrożeniami internetowymi, takimi jak iniekcja SQL, ataki typu cross-site scripting (XSS) i inne ataki w warstwie aplikacji.

Przykłady wybranych ataków, wykrytych po testach u klientów poprzez wyżej wymienione siniki, którzy mieli już zaimplementowane rozwiązania bezpieczeństwa na brzegu sieci:

AtakSilnik wykrywania
The Domain Name of DNS Response Is Malicious Domain Generated by DGAAbnormal Behavior Detection
SMB Brute Force AttackAbnormal Behavior Detection
Suspicious PE (executable) File DownloadAbnormal Behavior Detection
illegal terminalAbnormal Behavior Detection
Lots of Suspicious HTTP Response Error CodesAbnormal Behavior Detection
Port Scan AttackAbnormal Behavior Detection
RDP Brute Force AttackAbnormal Behavior Detection
SMB Port ScanAbnormal Behavior Detection
SSH Brute Force AttackAbnormal Behavior Detection
Suspicious SPAM AttackAbnormal Behavior Detection
SYN Port Scan AttackAbnormal Behavior Detection
URL ObfuscationAbnormal Behavior Detection
MalwareAbnormal Behavior Detection
Suspicious LDAP ActivitiesAbnormal Behavior Detection
External Remote AccessAbnormal Behavior Detection
Suspicious HTTP Request via TorAbnormal Behavior Detection
Firewall Policy ViolationAbnormal Behavior Detection
FTP ObfuscationAbnormal Behavior Detection
GrayWare[Bundler]/Win32.OgimantAdvanced Threat Detection
Double User-Agent (User-Agent User-Agent)Advanced Threat Detection
GrayWare[Bundler]/Win32.OgimantAdvanced Threat Detection
Trojan[Ransom]/Win32.PornoAssetAdvanced Threat Detection
Worm/Win32.OtwycalAdvanced Threat Detection
DNS Tunneling CommunicationBotnet Prevention
Botnet C&C IPBotnet Prevention
Botnet C&C DomainBotnet Prevention

MITRE ATT&CK

MITRE ATT&CK to baza wiedzy, stale aktualizowana od 2013 roku, pokazująca taktyczne, techniczne, subtechniczne, proceduralne i inne elementy związane z przeprowadzeniem ataku z perspektywy atakującego.
Ramy ATT&CK obejmują różne etapy cyklu życia cyberataków i katalogują taktyki i techniki stosowane przez różne ugrupowania cyberprzestępcze. Po kilku znaczących ulepszeniach i aktualizacjach najnowsza baza wiedzy ATT&CK obejmuje macierze systemów sterowania dla przedsiębiorstw, urządzeń przenośnych i przemysłowych.
Hillstone z MITRE ATT&CK zapewnia kompleksowe i szczegółowe mapowanie rzeczywistych zachowań cyberprzestępców i może zademonstrować, w jaki sposób ich rozwiązania skuteczniej wykrywają rzeczywiste cyberzagrożenia i bronią się przed nimi.

Kill Chain Hillstone

Cyber Kill Chain to autorskie podejście Hillstone, w którym modelowanie oraz analizowanie etapów ataku na sieć. Dzięki niemu sztuczna inteligencja jest w stanie przewidywać potencjalne działania przeciwnika, a także usystematyzować poszczególne fazy ataku.

Klasyczny model ataku składa się z kilku etapów:

  • Initial Exploit: to znalezienie przez włamywacza podatności w systemie lub aplikacjach i wykorzystanie ich do wstrzyknięcia złośliwego kodu, który pozwoli na przejęcie kontroli nad procesem.
  • Delivery: oznacza dostarczenie złośliwego kodu do komputera, co może skutkować zainfekowaniem stacji roboczej i przejęciem kontroli przez włamywacza.
  • C&C, czyli Command and Control: to etap, na którym zainfekowany komputer zostaje przejęty przez hakera i jest pod jego kontrolą.
  • Monetyzacja: to wykorzystanie zainfekowanego komputera do własnych celów przez włamywacza. Może on m.in. stać się bezpośrednim komputerem we włamaniu, spamować, przenosić ryzyko odpowiedzialności karnej, być zombie dla sieci typu Bot Net, wykonywać ataki lub kopanie kryptowalut.
  • Internal Recon (rekonesans) polega na próbie rozszerzenia obszaru włamania na kolejne stacje lub serwery po zdobyciu kontroli nad jednym z hostów.
  • Lateral Movement (ataki boczne) oznaczają, że włamywacz zdążył już eskalować swoje uprawnienia wewnątrz sieci. Cel ataków na tym etapie to hosty z danymi i usługami wrażliwymi oraz aktywa krytyczne.
  • Exfiltration to nieuprawnione pozyskiwanie informacji z systemu komputerowego lub sieci i przechwytywanie ich przez intruza. Wyciek informacji jest trudnym do odwrócenia zdarzeniem, a skradzione dane mogą zostać wykorzystane na różne sposoby.

Przeczytaj również: NDR czyli sztuczna inteligencja w walce z hakerami

Jak sprawdza się NTA w obliczu takich zagrożeń jak ransomware i Zero Day?

NTA to rozwiązanie, które pozwala zminimalizować lub ograniczyć ryzyko cybernetycznego ataku, w tym tych najgroźniejszych Zero Day. Przypomnijmy, że jest to typ ataków, w których hakujący wykorzystuje lukę w systemie firmy lub organizacji, aby wyprowadzić złośliwe oprogramowanie i przejąć administrację nad tym systemem. NTA w odróżnieniu od NGFW pozwala na dogłębną analizę całego ruchu sieciowego, nie tylko tego znajdującego na brzegu sieci, ale również w centrum i data center. Po analizie ruchu i detekcji można podjąć ewentualne decyzje, które dotyczą zakresu blokowania ruchu, który może być złośliwy.

Ten system dokładnie wykrywa, gdzie i jakie urządzenia są zagrożone, analizuje ryzyko, dokładnie bada ścieżkę ataku, koreluje zagrożenia a co najważniejsze na bieżąco monitoruje cały ruch.
Bez zastosowania odpowiednich rozwiązań bezpieczeństwa, szacunkowy czas wykrycia nowych ataków to ponad 180 dni. Dzięki NTA zagrożenia są wykrywane na bieżąco, jeszcze przed ich eskalacją co przyczynia się do minimalizowania skutków ataków oraz podjęcia remediacji (oczyszczenia) w odpowiednim czasie.
Niejednokrotnie, podczas testów u klientów, zdarzało nam się wykryć stacje z back door i nieaktywnym ransomware, dzięki temu powstrzymaliśmy eskalacje ataku – już podczas testów.

Dowiedz się również: Projektowanie sieci bezprzewodowej WLAN i propagacja fal radiowych

Obejrzyj nasze wideo z wywiadem z ekspertem ds. bezpieczeństwa sieci na temat rozwiązania Network Traffic Analyzer. Zobacz demo rozwiązania NTA – sBDS firmy Hillstone Networks.  

Podsumowanie

Współczesne rozwiązania związane z bezpieczeństwem sieciowym, takie jak NTA, zdecydowanie wykraczają poza podstawową funkcję monitorowania i zbierania danych w czasie rzeczywistym. Pozwalają one na szybsze i skuteczniejsze wykrywanie różnego typu zagrożeń, co jest szczególnie ważne w sytuacji, gdy nowe, nieznane oprogramowanie przenika do sieci, a tradycyjne NGFW przestają być skuteczne.
Coraz więcej firm decyduje się na stosowanie NTA jako dodatkowego elementu ochrony w swojej sieci. Dzięki temu te firmy mogą być pewne, że ich poziom bezpieczeństwa jest na wyższym poziomie, a wszelkie nietypowe zachowania zostaną wykryte i odpowiednio przeanalizowane.
NTA obecnie to już standard, a jego wdrożenie to już nie kwestia do rozważenia, ale konieczność.

Potrzebujesz wsparcia w zakresie wdrożenia NTA?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl. Wybierzemy najlepsze rozwiązanie pod względem jakości, ceny i wymagań funkcjonalnych.

Ostatnia aktualizacja 2024-02-21

Piotr Tamulewicz - avatar.
Doradca ds. rozwiązań IT w SEBITU.