CC BY
2
УДК 004.056.53
О ЗАДАЧЕ ВЫЯВЛЕНИЯ АТАК НА ОСНОВЕ МОНИТОРИНГА
СЕТЕВОГО ТРАФИКА
*
А. И. Дудникова Научный руководитель - Н. Ю. Паротькин
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: roksil98@mail.ru
Разработана система мониторинга для проактиеного поиска угроз безопасности. Решение может быть использовано для обеспечения безопасности сетей космической отрасли. В статье описываются принципы, на основании которых формировалась система, а также общее описание её работы.
Ключевые слова: система мониторинга, NetFlow, sFlow, проактивный поиск угроз безопасности.
ON THE PROBLEM OF IDENTIFYING ATTACKS BASED ON NETWORK TRAFFIC MONITORING
A. I. Dudnikova* Scientific supervisor - N.Y. Parotkin
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
E-mail: roksil98@mail.ru
A monitoring system has been developed for proactive search of security threats. The solution can be used to ensure the security of space industry networks. The article describes the principles on which the system was formed, as well as a general description of its operation.
Keywords: monitoring system, NetFlow, sFlow, proactive search for security threats.
Подходы к построению системы безопасности постоянно совершенствуются, так как фиксируются новые попытки нарушения, обходы установленных средств защиты, модернизация уже существующих атак. В космической отрасли важна стабильная и безопасная работа компьютерных сетей, в связи с этим, необходимо учитывать требования и рекомендации, предъявляемые для системы, а также мировой опыт в области информационной безопасности.
Согласно федеральному закону N187 «О безопасности критической информационной инфраструктуры Российской Федерации», субъекты КИИ должны своевременно обнаруживать, предупреждать и реагировать на сетевые атаки и инциденты информационной безопасности [1].
Все вышеперечисленное позволяет говорить об актуальности проведения исследований в вопросах защиты от сетевых вторжений. Для обеспечения безопасности информации в сфере локальных вычислительных сетей используются средства защиты: межсетевые экраны, системы обнаружения и/или предотвращения вторжений, однако они бессильны над модифицированными/новыми угрозами, сигнатуры на которые еще не разработаны. Организации при достижении HMM2 [2] уровня зрелости, не ограничиваются внедрением ретроактивных средств защиты информации и используют средства для проактивного поиска
Актуальные проблемы авиации и космонавтики - 2020. Том 2
угроз. Таким образом, целью работы является разработка открытого решения для ироактивиого поиска угроз, включающего в себя помимо возможности обнаружения угроз поведенческими методами интеграцию с платформой Threat Intelligence, для поиска опубликованных фидов в собранном трафике.
В качестве данных для проактивного поиска угроз используется сетевой трафик, который нормализуются после сбора для формирования признаковых атрибутов с целью построения текущего профиля активности. Полученный набор признаков сравнивается с набором, характерным для нормального поведения системы, при расхождении сравниваемых параметров фиксируется сетевая аномалия (рис.1).
Рис. 1. Схема обнаружения угроз на основе аномалий
В основе метода лежит формирование гипотез, от качества которых будет зависеть эффективность обнаружения угроз безопасности.
Для формирования гипотез Threat Hunting используются следующие источники [3]:
- Mitre Att&ck - матрица, в которой представлено реальное поведение злоумышленника, описанное с помощью тактик и техник;
- аналитика по пентестам - процедура анализа защищенности информационных систем путем поиска в них уязвимостей и ошибок конфигурации;
- Threat Intelligence - сводки об угрозах представляющие собой потоки данных, содержащие индикаторы компрометации;
- информация об инфраструктуре системы.
Сформированные гипотезы либо подтверждаются с последующим формированием правил, нейтрализующих угрозу, либо опровергаются.
В качестве источников данных для мониторинга можно использовать: «сырой» трафик с дальнейшей его передачей системам обнаружения вторжений, анализ событий с сетевых устройств или анализ потоков трафика [4].
В первом случае для предотвращения обхода средств защиты необходимо ставить сенсоры в разрыв сетевого соединения, таким образом, их число в сети, построенной на базе коммутаторов, становится слишком большим. Такое решение является весьма дорогостоящим и ненадежным. Использование событий с сетевых устройств позволяет проводить анализ уже после зафиксированного инцидента. Этот факт является основным недостатком источника, так как, возможно только предотвращение последствий уже реализованной атаки.
Решить проблему эффективности источника данных можно, используя анализ потоков трафика. В отличие от сигнатурного анализа, в основе которого лежит рассмотрение заголовка и тела пакетов, анализ потоков заключается в работе с метаданными. Существует несколько видов flow-протоколов: Netflow и sFlow встречаются в сетевом оборудовании чаще всего. Ключевым их отличием является сбор сэмплированной телеметрии (выборочное изучение трафика) в случае с sFlow протоколом и несэмплицированной (анализ метаданных по каждому пакету) в случае с Netflow [4]. Сэмплированная телеметрия может эффективно использоваться для обнаружения DDoS-атак, где захвата сэмпла достаточно, однако в отличие от несэмплированной может пропустить атомарные атаки не попавшие в сэмпл.
В качестве источника данных на вход принимается трафик от сетевого устройства, поддерживающего flow-протокол. Система мониторинга состоит из следующих составляющих (рис.2):
1) elasticsearch - система, выполняет функции хранения данных, а также предоставляет возможность поиска и анализа в масштабируемом виде;
2) logstash - утилита, позволяющая собрать данные из обширного количества источников ввода, отфильтровать их и передать в систему для визуализации данных;
3) kibana - инструмент, предоставляющий возможность использовать различные типы визуализации и интегрировать их в панели с дашбордами;
4) misp - платформа Threat Intelligence для обмена индикаторами угроз.
MISP
Threat Sharing
. Г*
python
I Memcache
^ -•<?■ * elastic-- kibana
logstash
Рис. 2. Схематическое отображение решения
Программное обеспечение memcached выступает посредником между системой хранения данных и платформой Threat Intelligence, позволяя кэшировать индикаторы из misp и сопоставлять их с собранными данными elasticsearch. В случае совпадения индикатора с полем данным, в logstash формируется новое событие и отправляется в elasticsearch, для дальнейшей передачи в систему визуализации данных. В результате интеграции платформ формируется инструмент с возможностью сбора и анализа трафика NetFlow с применением решения Threat Intelligence для автоматизации проактивного поиска угроз.
В ходе работы разработана система мониторинга для проактивного поиска угроз, где в качестве источника данных используются трафик от сетевого устройства, поддерживающего flow-протокол. Данная система решает проблему проактивного поиска угроз безопасности. Преимуществами данного устройства являются: открыты программный код, широкий спектр применения, интеграция с платформой Threat Intelligence для автоматизации поиска угроз безопасности в собранном трафике, а также возможность использования поведенческого метода выявления атак на базе доступных инструментов визуализации.
Библиографические ссылки
1. Федеральный закон от 26.07.2017 N 187 [Электронный ресурс] URL: http://www.consultant.ru/document/cons_doc_LAW_220885/ (Дата доступа 04.04.2020).
2. The Hunting Maturity Model (HMM) [Электронный ресурс] URL: https://resources.infosecinstitute.com/category/enterprise/threat-hunting/threat-hunting-process/threat-hunting-methodologies/threat-hunting-methodologies-threat-hunting-maturity-models/ (Дата доступа 04.04.2020).
3. How to generate a hypothesis for a threat hunt [Электронный ресурс] URL: https://www.cybereason.com/blog/how-to-generate-a-hypothesis-for-a-threat-hunt-techniques (Дата доступа 05.04.2020).
4. Статья «Flow-протоколы как инструмент мониторинга безопасности внутренней сети» [Электронный ресурс] URL: https://habr.com/ru/company/cisco/blog/464601/ (Дата доступа 05.04.2020).
© Дудникова А. П., 2020
