Анализ сетевого трафика

Анализ сетевого трафика представляет собой сбор и обработку пакетов данных, передаваемых по сети. Он предназначен для выявления аномалий трафика и обеспечения информационной безопасности (далее — ИБ).

Анализ сетевого трафика решает следующие задачи:

  • обнаружение проблем работы сети;
  • обеспечение оптимального потребления сетевых ресурсов;
  • выявление и предотвращение сетевых вторжений, таких как фишинг, спам и другие;
  • восстановление данных трафика;
  • сбор статистики.

Он необходим для того, чтобы сеть была стабильна, эффективна и безопасна.

Аномалии в трафике

Аномалиями трафика называют любые отклонения сетевых параметров от стандартных и нормальных значений. Они могут появляться из-за ошибок пользователей, сетевых администраторов, поломки сетевых устройств, активности злоумышленников.

Обычно погрешности в работе информационно-вычислительных систем всегда проявляются заметными аномалиями. Но, существуют аномалии, видимые признаки которых становятся заметны спустя длительное время. Самыми опасными аномалиями считаются те, что возникли в ответ на сетевые атаки. Вторжения злоумышленников имеют цель получения доступа к информационным ресурсам, что часто требует проведения серии поэтапных атак различных уровней сложности.

Поэтому для обеспечения ИБ необходимо своевременно обнаруживать аномалии и анализировать их последствия.

Вторжения могут быть следующими:

  • Попытки атаки на уровне приложений при помощи известных ошибок и уязвимостей в программном обеспечении (далее — ПО). Так злоумышленниками может быть получен административный доступ к сети.
  • Атаки DoS («отказ в обслуживании») и DDoS («распределённый отказ в обслуживании»). Проявляются чрезмерно высоким потоком трафика на порты серверов и маршрутизаторов, который поступает с множества IP-адресов. Это приводит к нарушению доступности сервисов и данных, сбоям в работе системы, дефициту ресурсов, которые нужны для эффективной работы приложений, операционной системы и сети в целом.
  • Авторутеры. Их можно заметить, когда от одного IP-адреса идёт трафик со скачками по потокам. Последствия заключаются в установке руткита с последующей автоматизацией вторжений и быстрого сканирования множества систем.
  • Man-in-the-middle. Так называются вторжения с перехватом протоколов маршрутизации, сетевых пакетов, а также транспортных протоколов. Помимо этого злоумышленники включают в сетевые сессии новые данные и искажают уже передаваемую информацию. Всё это приводит к краже данных, получению доступа к ресурсам и анализу трафика с целью получения информации.
  • TFN (англ. Tribe Flood Network) и TFN2K (англ. Tribe Flood Network 2000). Это программные средства для запуска DDoS-атак.
  • Port redirection attacks. Передаёт нелегальный трафик через межсетевой экран.
  • TCP SYN Flood. Нарушает нормальную работу информационной системы, создавая множество SYN-пакетов.
  • Сниффинг пакетов. Даёт злоумышленникам доступ к учётной записи пользователя, с помощью которой они могут создать новую учётную запись и иметь в любое время доступ к ресурсам системы.
  • IP spoofing. Производит замену IP-адресов так, чтобы злоумышленник мог выдавать свой компьютер за доверенный.
  • Ping of death. Приводит к отказу и перезагрузке системы путём приема чрезмерно больших IP-пакетов.
  • Trust exploitation attacks. Атакует внутреннюю сеть за счёт доверительных отношений внутри сети.
  • Stacheldraht. Вторгается в системы перед DDoS-атаками.
  • Атаки на пароли. Подделка и прослушка IP-пакетов, получение доступа в сеть независимо от дальнейших изменений взломанных данных.
  • Вирусы и «трояны».
  • Сетевая разведка.

Обнаруженные аномалии должны быть тщательно проанализированы на предмет причин их возникновения, поскольку в большинстве случаев являются признаками злоумышленных действий внутри системы или за её пределами.

Подходы и решения

Для анализа сетевого трафика применяются подходы, которые предусматривают ручной метод и использование специальных инструментов.

В первом случае специалист вручную производит анализ пакетов, проходящих в сегменте сети. Для этого он запускает сетевое соединение у себя на компьютере.

Во втором случае используются анализаторы сетевого трафика (например Wireshark). В сегменте корпоративной сети они перехватывают все пакеты данных и анализируют используемые протоколы, поведение пользователей и передаваемые файлы. Недостаток таких инструментов состоит в том, что они работают только с теми данными, которые получают в пределах сети предприятия, а не за пределами корпоративного коммутатора.

Гораздо большую продуктивность демонстрируют такие специализированные решения информационной безопасности, как системы обнаружения и предотвращения вторжений (IPS, IDS). Среди них есть как свободно распространяемые продукты, так и коммерческие. Преимущества таких решений заключаются в глубоком анализе трафика с применением автоматического и ручного режимов. Эти средства просматривают сигнатуры данных трафика для каждого протокола, который используется для их передачи. В результате обнаруживаются действия злоумышленников на уровне кода, проходящего по сети.

Также используются системы SIEM и EDR. SIEM-системы собирают журналы событий от множества источников. А EDR защищают конечные точки ИТ-инфраструктуры. Но, эти системы несовершенны, поскольку оставляют множество «слепых зон», уязвимых для злоумышленников.

Эту проблему решают NTA — программы для анализа трафика, но не полностью, а в рамках небольших информационных систем, в которых периодически появляется потребность мониторинга.

Преимущества программных решений NTA:

  • Комплексный подход, применяемый для обнаружения кибератак и угроз ещё на ранних стадиях. Он состоит в ретроспективном анализе, машинном обучении, идентификации компрометации и оценке поведения пользователей.
  • Анализ трафика всей системы, а не только в периметре сети. Это позволит обнаружить злоумышленников, которые проникли внутрь ИТ-инфраструктуры.
  • Проведение расследования инцидентов, благодаря сбору и хранению данных о сетевом трафике и контактах. Таким образом становится возможным обнаружение места локализации и распространения атаки.
  • Обогащение журналов SIEM событиями ИБ, что повышает узнаваемость действий злоумышленников.
  • Информирование сотрудников отделов ИБ о вредоносном программном обеспечении и уязвимых протоколах в режиме реального времени.

Нет одного универсального решения для обеспечения эффективного анализа трафика и безопасности. Оптимальным считается выбор совместного применения решений NTA и IPS (IDS).

Tags: 
Статьи