CC BY
0
УДК 004.056
АНАЛИЗ СЕТЕВОЙ ТЕЛЕМЕТРИИ ДЛЯ ОЦЕНКИ БЕЗОПАСНОСТИ СЕТИ
1 2 Р. Ф. Файзулин , О. В. Игумнов
1Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31 2357 гвардейский ракетный полк (Войсковая часть 54097) Российская федерация, 630095, г. Новосибирск-95 1E-mail: faizulin_rinat@list.ru
Рассматривается анализ сетевой телеметрии как средство оценки безопасности определенной сети. Рассмотрены способы развертывания телеметрии, выявлены основные индикаторы, способные указать на утечку данных. Также рассмотрены средства контроля сети и программные средства для анализа телеметрии, индикаторы команд и трафика управления.
Ключевые слова: сетевая телеметрия, сетевая безопасность, информация, передача данных, анализ телеметрии, индикаторы утечки данных.
ANALYSIS OF THE NETWORK TELEMETRY DATA FOR THE ASSESSMENT
OF NETWORK SECURITY
R. F. Faizulin1, O. V. Igumnov2
1Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation 2357th Guards Missile Regiment (Military Unit 54097) Novosibirsk-95, 630095, Russian Federation 'E-mail: faizulin_rinat@list.ru
In this article we consider the analysis of the network telemetry as a means of assessment of the security of the particular network. We review the ways of installation of the telemetry, define the main indicators, which reveals data leakages. We also consider the means of network control and software for the analysis of telemetry data, command indicators and traffic control.
Keywords: network telemetry, network security, information, data transmission, analysis of telemetry data, indicators of data leakage
Введение. Вредоносное программное обеспечение сегодня способно изменить поведения различных устройств в интересах преступников. Способность функционировать, не привлекая лишнего внимания - один из признаков эффективности вредоносной программы. Причин для создания подобных программ существует множество: удаленное управление аппаратными устройствами, контроль над передаваемыми данными, возможно, даже изменение данных, которые могут показать наличие вредоносного ПО.
Администраторы сети для обнаружения подозрительной активности могут прибегнуть к использованию сетевой телеметрии. При этом понимание эталона сетевого трафика играет важную роль. Сеть способна предоставить всю информацию, необходимую для обнаружения инцидента. Стоит учитывать тот факт, что даже небольшая сеть имеет возможность создавать немалые объемы информации, что затрудняет процесс анализа без использования каких-либо программных средств.
Актуальные проблемы авиации и космонавтики - 2020. Том 2
В статье рассмотрен анализ сетевой телеметрии как средство оценки безопасности сети.
Развертывание телеметрии. Развертывания средств извлечения и сбора телеметрии зависит от инфраструктурных устройств, которые нуждаются в контроле, и сетевой архитектуры.
Подходящими местами для извлечения телеметрии являются:
- шлюзы центров обработки данных;
- маршрутизаторы демилитаризованной зоны;
- точки объединения данных облачных хранилищ [1].
Достаточно полезно использовать не одну, а две точки сбора - одну до и вторую после интересующего вас объекта. Подобное развертывание дает возможность выявить трафик, создаваемый или обрабатываемый самим устройством, что способно указывать на его компрометацию. Когда сетевой администратор прибегает к использованию асимметричной маршрутизации хорошим вариантом будет контролировать точки асимметрии при помощи одного и того же коллектора.
Сбор выборочной информации приводит к снижению вычислительной нагрузки, но и способен уменьшить информативность собранной информации. Достаточно большая доля сетевой телеметрии, которая указывает на компрометацию устройства, представляет собой довольно малую часть трафика, проходящего через сеть. Иными словами, сбор выборочной информации может затруднить обнаружение факта компрометации.
Нужно иметь в виду, что при поступлении телеметрии с потенциально скомпрометированного устройства, такая телеметрия могла бы быть изменена и ей нельзя доверять. Потенциально устройство, к которому злоумышленник получил доступ, способно передавать записи телеметрии, которые не включают информацию о командах и трафике управления со стороны постороннего лица.
Индикаторы команд и трафика управления. Для выявления подозрительной активности, которая могла бы указывать на доступ постороннего лица к информации сетевого инфраструктурного устройства, администраторам нужно выполнять эффективный анализ телеметрии.
Ниже представлено несколько индикаторов команд и трафика управления:
- после этапа профилирования отклонения в трафике можно использовать для выявления потенциально вредоносной активности или поиска индикаторов компрометации;
- преступники зачастую отказываются реализовывать сеансы управления, которые сохраняют активность в течение длительного времени. Они передают команды посредством коротких пакетов, не прибегая к двусторонней передаче. Таким образом, длинные пакеты, которые передаются по протоколам односторонней передачи трафика, вполне могут оказаться индикаторами удаленного управления или утечки данных;
- устройство, к которому получило доступ постороннее лицо, способно предпринимать попытки к распространению вредоносного кода на другие устройства. Индикатором подобной активности способен выступить трафик TCP, который исходит от такого устройства и адресованный другим инфраструктурным устройствам или во внутренние сети. В такой ситуации нужно выполнить аудит исторических данных для определения потенциальных всплесков трафика от инфраструктурных устройств, предназначенного внутренним сетям, при попытке распространения вредоносного ПО [2].
Индикаторы потенциальной утечки данных. Ниже перечислены индикаторы, способные указать на то, что могла иметь место утечка информации:
- всплески трафика для отдельных пользователей, получающих информацию, способны указать на возможную утечку какой-то информации, в особенности, если это неизвестные пользователи;
- утечка данных нередко организуется с использованием следующих протоколов туннелирования: IPsec, IPv6-in-IPv4 и Generic Routing Encapsulation (GRE). Туннельный трафик следует собирать и анализировать;
- односторонние потоки трафика по протоколам, которые не требуют установки соединения и исходят с интерфейса инфраструктурного устройства, тоже могут оказаться индикатором компрометации [3].
Средства контроля. В состав эффективных средств контроля сети входят следующие компоненты:
- политика безопасности, включающая упоминание всех ресурсов, которые нужно защищать;
- подробная информация о топологии сети. Грамотное размещение играет важную роль при сборе полной телеметрии;
- в состав IT-структуры могут входить устройства, которые собирают телеметрические данные. Их необходимо задействовать в качестве средств контроля.
Подходящие средства контроля обеспечат эффективный анализ информации о нужном пространстве IP-адресов [4].
Программные средства для анализа телеметрии. Для обнаружения подозрительной активности можно нужно прибегнуть к анализу собранной информации. Программные решение таких компаний, как Splunk, Cisco, Plixer и SolarWinds способны довольно эффективно собрать и проанализировать телеметрию сети. Стоит, однако, учесть, что при попытке обнаружения компрометации инфраструктурных устройств подобные решения применимы далеко не всегда, так как методы, используемые преступниками при компрометации, могут оказаться достаточно продуманными.
Кроме того, разработан ряд средств, которые способны обеспечить глубокий анализ сетевых пакетов и определение подозрительной активности посредством анализа сетевого трафика. Разработчиками подобных программ являются компании Gigamon и nPulse [5].
Выводы по исследованию. Исходя из полученных сведений, можно сделать вывод о том, что анализ сетевой телеметрии - это неплохой инструмент для оценки безопасности сети. В ходе исследований рассмотрено, как сделать признаки сети, к которой получил доступ посторонний пользователь, видимыми, если сетевой администратор собирает и корректно проводит анализ телеметрии, которая доступна в его сетях. Для достижения этого на устройствах сети должны присутствовать средства контроля, обеспечивающие получение телеметрических данных.
Библиографические ссылки
1. Cisco [Электронный ресурс]. URL: https://www.cisco.com/ (дата обращения: 28.03.2020).
2. Техно-н. Мониторинг целостности инфраструктурных устройств с использованием телеметрии [Электронный ресурс]. URL: https://technon.ru/upload/pdf/telemetry-based_infrastructure_device_integrity_monitoring.pdf (дата обращения: 01.04.2020).
3. Tadviser. Утечки данных [Электронный ресурс]. URL: http://www.tadviser.ru/ index.php/CTaTbH:YTe4KH_flaHHbix/ (дата обращения: 01.04.2020).
4. CIT Forum. Инструменты мониторинга и анализа сети [Электронный ресурс]. URL: http://citforum.ru/nets/optimize/locnop_07.shtml (дата обращения: 29.03.2020).
5. Хабр. Телеметрия и программное обеспечение [Электронный ресурс]. URL: https://habr. com/ru/post/340882/ (дата обращения: 03.04.2020).
© Файзулин Р. Ф., Игумнов О. В., 2020
