Анализ сетевого трафика

Анализ сетевого трафика решает следующие задачи:

• обнаружение проблем работы сети;
• обеспечение оптимального потребления сетевых ресурсов;
• выявление и предотвращение сетевых вторжений, таких как фишинг, спам и другие;
• восстановление данных трафика;
• сбор статистики.

Он необходим для того, чтобы сеть была стабильна, эффективна и безопасна.

Аномалии в трафике

Аномалиями трафика называют любые отклонения сетевых параметров от стандартных и нормальных значений. Они могут появляться из-за ошибок пользователей, сетевых администраторов, поломки сетевых устройств, активности злоумышленников.

Обычно погрешности в работе информационно-вычислительных систем всегда проявляются заметными аномалиями. Но, существуют аномалии, видимые признаки которых становятся заметны спустя длительное время. Самыми опасными аномалиями считаются те, что возникли в ответ на сетевые атаки. Вторжения злоумышленников имеют цель получения доступа к информационным ресурсам, что часто требует проведения серии поэтапных атак различных уровней сложности.

Поэтому для обеспечения ИБ необходимо своевременно обнаруживать аномалии и анализировать их последствия.

Вторжения могут быть следующими:

• Попытки атаки на уровне приложений при помощи известных ошибок и уязвимостей в программном обеспечении (далее — ПО). Так злоумышленниками может быть получен административный доступ к сети.
• Атаки DoS («отказ в обслуживании») и DDoS («распределённый отказ в обслуживании»). Проявляются чрезмерно высоким потоком трафика на порты серверов и маршрутизаторов, который поступает с множества IP-адресов. Это приводит к нарушению доступности сервисов и данных, сбоям в работе системы, дефициту ресурсов, которые нужны для эффективной работы приложений, операционной системы и сети в целом.
• Авторутеры. Их можно заметить, когда от одного IP-адреса идёт трафик со скачками по потокам. Последствия заключаются в установке руткита с последующей автоматизацией вторжений и быстрого сканирования множества систем.
• Man-in-the-middle. Так называются вторжения с перехватом протоколов маршрутизации, сетевых пакетов, а также транспортных протоколов. Помимо этого злоумышленники включают в сетевые сессии новые данные и искажают уже передаваемую информацию. Всё это приводит к краже данных, получению доступа к ресурсам и анализу трафика с целью получения информации.
• TFN (англ. Tribe Flood Network) и TFN2K (англ. Tribe Flood Network 2000). Это программные средства для запуска DDoS-атак.
• Port redirection attacks. Передаёт нелегальный трафик через межсетевой экран.
• TCP SYN Flood. Нарушает нормальную работу информационной системы, создавая множество SYN-пакетов.
• Сниффинг пакетов. Даёт злоумышленникам доступ к учётной записи пользователя, с помощью которой они могут создать новую учётную запись и иметь в любое время доступ к ресурсам системы.
• IP spoofing. Производит замену IP-адресов так, чтобы злоумышленник мог выдавать свой компьютер за доверенный.
• Ping of death. Приводит к отказу и перезагрузке системы путём приема чрезмерно больших IP-пакетов.
• Trust exploitation attacks. Атакует внутреннюю сеть за счёт доверительных отношений внутри сети.
• Stacheldraht. Вторгается в системы перед DDoS-атаками.
• Атаки на пароли. Подделка и прослушка IP-пакетов, получение доступа в сеть независимо от дальнейших изменений взломанных данных.
• Вирусы и «трояны».
• Сетевая разведка.

Обнаруженные аномалии должны быть тщательно проанализированы на предмет причин их возникновения, поскольку в большинстве случаев являются признаками злоумышленных действий внутри системы или за её пределами.

Подходы и решения

Для анализа сетевого трафика применяются подходы, которые предусматривают ручной метод и использование специальных инструментов.

В первом случае специалист вручную производит анализ пакетов, проходящих в сегменте сети. Для этого он запускает сетевое соединение у себя на компьютере.

Во втором случае используются анализаторы сетевого трафика (например Wireshark). В сегменте корпоративной сети они перехватывают все пакеты данных и анализируют используемые протоколы, поведение пользователей и передаваемые файлы. Недостаток таких инструментов состоит в том, что они работают только с теми данными, которые получают в пределах сети предприятия, а не за пределами корпоративного коммутатора.

Гораздо большую продуктивность демонстрируют такие специализированные решения информационной безопасности, как системы обнаружения и предотвращения вторжений (IPS, IDS). Среди них есть как свободно распространяемые продукты, так и коммерческие. Преимущества таких решений заключаются в глубоком анализе трафика с применением автоматического и ручного режимов. Эти средства просматривают сигнатуры данных трафика для каждого протокола, который используется для их передачи. В результате обнаруживаются действия злоумышленников на уровне кода, проходящего по сети.

Также используются системы SIEM и EDR. SIEM-системы собирают журналы событий от множества источников. А EDR защищают конечные точки ИТ-инфраструктуры. Но, эти системы несовершенны, поскольку оставляют множество «слепых зон», уязвимых для злоумышленников.

Эту проблему решают NTA — это программы для анализа трафика, но не полностью, а в рамках небольших информационных систем, в которых периодически появляется потребность мониторинга.

Преимущества программных решений NTA:

• Комплексный подход, применяемый для обнаружения кибератак и угроз ещё на ранних стадиях. Он состоит в ретроспективном анализе, машинном обучении, идентификации компрометации и оценке поведения пользователей.
• Анализ трафика всей системы, а не только в периметре сети. Это позволит обнаружить злоумышленников, которые проникли внутрь ИТ-инфраструктуры.
• Проведение расследования инцидентов, благодаря сбору и хранению данных о сетевом трафике и контактах. Таким образом становится возможным обнаружение места локализации и распространения атаки.
• Обогащение журналов SIEM событиями ИБ, что повышает узнаваемость действий злоумышленников.
• Информирование сотрудников отделов ИБ о вредоносном программном обеспечении и уязвимых протоколах в режиме реального времени.

Нет одного универсального решения для обеспечения эффективного анализа трафика и безопасности. Оптимальным считается выбор совместного применения решений NTA и IPS (IDS).