V minulé části tohoto seriálu jsme se začali zabývat potřebou viditelnosti, čili druhou nejdůležitější potřebou v hierarchii kyberbezpečnostních potřeb. Pro rychlé shrnutí připomenu, že nejdůležitější potřebou je vědět, která aktiva máme ochraňovat – jde víceméně o potřebu co nejvyspělejšího asset managementu. Za tím jde potřeba viditelnosti, která hovoří o tom, že je třeba vědět, jaké děje probíhají na monitorovaných aktivech nebo se jich monitorovaná aktiva účastní.
Avšak i při získávání viditelnosti nad aktivy nemůžeme přistupovat ke všem aktivům stejně. V tomto článku proto zkusím trochu přiblížit problematiku síťové viditelnosti.
Síťová viditelnost
Při síťové viditelnosti mluvíme hlavně o viditelnosti „metadat“ o provozu, něco co v našich končinách známe jako NetFlow nebo o plné viditelnosti do provozu, čili DPI (deep packet inspection) nebo také full packet capture / analysis.
V případě NetFlow tak vidíme komunikující IP adresy, na kterých portech komunikují, časové známky komunikace, TCP příznaky a další informace i z vyšších síťových vrstev, jako mohou být data o HTTP provozu, obsah DNS dotazů, použité šifrovací algoritmy při šifrovaném spojení apod. Velkou výhodou tohoto typu technologií je, že obvykle jsou řádově méně náročné na uložení dat a nepožadují až tak velký výkon oproti DPI. Cenou za to je, že nevidíme samotný obsah spojení. V případě http to například znamená, že sice vidíme user-agenta nebo URL ale nevidíme samotné tělo dotazu.
Opačným případem je DPI, kdy vidíme úplně celý provoz a můžeme tak vyhodnocovat nejen „metadata“ ale dívat se i do přenášených dat. V případě detekce malwarové komunikace to znamená, že se již nemusíme spoléhat na to, že detekujeme připojení k malwarové doméně, ale můžeme detekci postavit na tom, jaká specifická binární data obsahuje malwarová komunikace. Takováto „dokonalá“ síťová viditelnost však přichází minimálně s velkými nároky na uložení dat (což není problém při okamžitém vyhodnocování, ale pro potřebu zpětné analýzy je třeba uchovávat prakticky kopii celého provozu). Navíc při stále větším objemu šifrovaného provozu je přínos DPI mnohem menší než tomu bylo v minulosti, neboť sice vidíme do paketu, ale co z toho, když jeho obsah je i tak zašifrovaný. Zvyšující se objemy přenášených dat v monitorovaných sítích pozici DPI také nepomáhají.
Je proto otázka, na který druh síťové viditelnosti se soustředit? Osobně se momentálně přikláním ke kombinaci obou přístupů a to takovým způsobem, že NetFlow se použije pro dlouhodobější uložení dat o provozu, zatímco při real-time bezpečnostní analýze preferuji použití DPI, které stále přináší větší viditelnost a tím i větší možnosti detekce. Pokud však takový ideální scénář nemůže nastat, ze souboje by podle mého názoru vyšly vítězně technologie založené na NetFlow, které nabízejí lepší poměr cena / výkon (výkon = získaná viditelnost).
Specifickým zdrojem síťové viditelnosti mohou být i logy z firewallu, které nabízejí mnohem nižší viditelnost oproti NetFlow. Jejich výhodou však je, že firewall má dnes už asi každý a i to málo může být použito při detekci různých bezpečnostních problémů.
Řekli jsme si něco o síťové viditelnosti. Ta však v současnosti již na některé problémy nemusí stačit. Pokud bych byl skeptický, řekl bych, že nebude stačit na většinu dnešních útoků, které se již síťově projevují minimálně (až na výjimky, které se šíří pomocí červů jako např. WannaCry nebo NotPetya). Na výrazné zvýšení úspěšnosti našich kyberbezpečnostních snah proto potřebujeme viditelnost minimálně na další důležitý typ aktiv, kterým jsou koncová zařízení, čili endpoint. O viditelnosti na koncových zařízeních si proto řekneme více v dalším článku.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Další články společnosti Axenta:
Hierarchie potřeb v kyberbezpečnosti – 4.část
Jak se nenechat vydírat ransomwarem
Hierarchie potřeb v kyberbezpečnosti – 5. část
Hierarchie potřeb v kyberbezpečnosti – 6. část
Hierarchie potřeb v kyberbezpečnosti – 7. část
Obrázek: Matt Swann