Logi to nie wszystko. Analiza pakietów to przyszłość.

Logi, korelacje, alerty. Coś co admini lubią najbardziej. Każdy z nas je zna lepiej lub gorzej. SIEM były dużym postępem w obszarze bezpieczeństwa IT. Jednak świat nie stoi w miejscu i również w tym obszarze technologie się rozwijają. Coraz większą popularność, zupełnie zasłużenie, zyskuje analiza pakietów.

Oczywiście analiza logów nadal jest i pewnie w dalszym ciągu będzie ważnym elementem cyberobrony. Jednak w dobie dzisiejszych cyberzagrożeń coraz częściej okazuje się, że to za mało. Słabym punktem klasycznych SIEM i analizy logów jest to, że dają nam one pogląd jedynie na to, co zaserwują nam same systemy. Można chcieć więcej? Trzeba chcieć więcej!

Analiza pakietów czyli ruch sieciowy na podglądzie

Podłączenie kopii całego ruchu sieciowego, jaki ma miejsce w infrastrukturze IT poszerza nam bardzo obszar, który możemy kontrolować. Pokrywamy monitoringiem większy obszar, a co za tym idzie zyskujemy większą wiedzę o tym, co dzieje się w naszej organizacji.

Gdybyśmy chcieli porównać wartość informacji płynących z analizy logów i analizy pakietów okaże się, że w 80% te bardziej wartościowe, z punktu widzenia bezpieczeństwa IT, dane znajdziemy w ruchu sieciowym.

Analiza pakietów w RSA Netwitness Platform

Analiza pakietów – możliwości inwestygacyjne

Dane zbierane, parsowane i normalizowane w postaci kopii ruchu sieciowego pozwalają nam na wykonanie analizy śledczej w przypadku incydentu lub alertu. Jesteśmy w stanie prześledzić na osi czasu pakiet po pakiecie cały ruch sieciowy jaki był związany z anomalią. Uzyskać informację, co do wartości w polach w nagłówkach. Poznać nie tylko adresy IP, porty, protokoły, wielkość payloadu, ale także w przypadku rozszyfrowywania danych jego zawartość. Wszystkie te informację są jednoznaczne i zgodne z tym co rzeczywiście miało miejsce w oryginalnym ruchu sieciowym. Z logów, tego typu informacji wyczytać się nie da, dlatego jeśli chcemy przeprowadzić pełną inwestygację zalecamy analizę pakietów.

Analiza pakietów – możliwości odtworzenia ataku lub anomalii

Jeśli uważasz, że same przepływy sieciowe (flow) wystarczą to jesteś w błędzie. Przecież to wyłącznie dane statystyczne, nie zawierające pełnych pakietów. W związku z tym, na tej podstawie nie będzie można krok po kroku odtworzyć incydentu i co szczególnie ważne zbudować mechanizmu obrony na przyszłość. Wbrew pozorom kopia ruchu to nie jest ciężki temat. Przygotowanie przestrzeni na dane w retencji 2-3 dni nie jest dużym wyzwaniem, a tego typu zbiór pozwoli nam na odtworzenie ataku lub anomalii. Chcesz wiedzieć co robi hacker? Analizuj pakiety!

Analiza pakietów – możliwości rekonstrukcji eksfiltrowanych plików

Co zrobisz jeśli dowiesz się o wycieku danych ze swojej organizacji, a jedyną informacją jaką masz to to, że taki wyciek miał miejsce? Skorzystasz z logów? Jasne, że możesz ale wyciągniesz z nich jedynie informację „kiedy” i ewentualnie „kto”. Natomiast z „co” będziesz miał problem. Jak się domyślasz rozwiązaniem problemu będzie skorzystanie z analizy pakietów. Kopia ruchu sieciowego pozwala na wyekstraktowanie pełnych plików, które wypłynęły poza organizację. Można sprawdzić nazwy plików, ich zawartość, a nawet same pliki. Można zwizualizować zawartość, jeśli był to na przykład obraz lub otworzyć w edytorze, jeśli był to tekst. Tu mała dygresja w „ulubionym” temacie z maja. RODO wymaga od nas informacji o tym co wyciekło z organizacji na skutek ataku. Chcesz mieć tę wiedzę? Przechowuj ruch sieciowy!

Analiza pakietów – możliwość rekonstrukcji stron internetowych oraz wiadomości mailowych

Możliwości, jakie daje rozszerzenie analizy logów, o analizę pakietów nie kończą się na inwestygacji i eksfiltracji. Dodatkowym atutem w ręku będzie rekonstrukcja. Przydaje się nie tylko podczas samego ataku. Przykładowo, jeśli widzisz podejrzane zdarzenie w sieci np. w obszarze ruchu webowego lub e-maili analiza pakietów pozwoli na rekonstrukcję strony internetowej, o którą odpytał użytkownik. Możesz również podejrzeć format i zawartość wiadomości e-mail w widoku identycznym, jak widział ją odbiorca w kliencie pocztowym. Chcesz wyprzedzić atak? Monitoruj i rekonstruuj podejrzanych ruch sieciowy!

Analiza pakietów – systemy

Mamy tu dobrą wiadomość. Po pierwsze większość  producentów systemów SIEM sama próbuje poszerzyć funkcjonalności swoich produktów o analizę pakietów, rozwijając własne systemy lub dodając „w paczce” rozwiązania firm trzecich. Niektórzy pozostają jedynie przy analizie logów i przepływów sieciowych (flow)  upierając się, że to wystarczające rozwiązanie. Wydaje się, że powoli na lidera rynku w zakresie analizy pakietów wyrasta RSA Netwitness Network – rozwiązanie, które integruje się w zasadzie z każdym SIEM’em oraz systemami typu SOM (np. Archer czy RSA Orchesrator).

Ciekawa jest sama historia dotycząca Netwitness i RSA. Otóż RSA wiele lat temu padło ofiarą cyberataku. Firma podeszła do incydentu bardzo poważnie, starając się dociec w jaki sposób było to możliwe. Odpowiedź znalazła się w pakietach, a dostarczył jej Netwitness. Wówczas niezależny podmiot rynku bezpieczeństwa IT. Efekty ich pracy były tak rewelacyjne i nowatorskie, jak na owe czasy, że jakiś czas później RSA kupiło Netwitness i włączyło w swoje portfolio. Jednocześnie wykonano integrację Netwtiness z SIEM i dziś użytkownicy RSA mogą korzystać z tych funkcjonalności.

RSA Netwitness Platform - Mapa przepływu danych

Więcej informacji

Jak widać poszerzenie obszaru monitorowania zagrożeń w infrastrukturze organizacji znacząco zwiększa nasze możliwości obronne. Przekłada się na wyższy poziom bezpieczeństwa naszej organizacji. Tworzymy w ten sposób coś, co można nazwać platformą threat-huntingową. Ale o tym w kolejnym artykule.

Jeśli chcesz wiedzieć więcej na ten temat chętnie zorganizujemy spotkanie. Wystarczy, że się z nami skontaktujesz.

2018-11-05T10:28:58+00:002018/10/09|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <