V minulej časti tohto seriálu sme sa začali zaoberať potrebou viditeľnosti, čiže druhou najdôležitejšou potrebou v hierarchii kyberbezpečnostných potrieb. Pre rýchle zhrnutie pripomeniem, že najdôležitejšou potrebou je vedieť, ktoré aktíva máme ochraňovať – ide viacmenej o potrebu čo najpokročilejšieho asset managementu. Za tým ide potreba viditeľnosti, ktorá hovorí o tom, že je potrebné vedieť, aké deje prebiehajú na monitorovaných aktívach alebo sa ich monitorované aktíva zúčastňujú.
Avšak aj pri získavaní viditeľnosti nad aktívami nemôžeme pristupovať ku všetkým aktívam rovnako. V tomto článku preto skúsim trochu priblížiť problematiku sieťovej viditeľnosti.
Sieťová viditeľnosť
Pri sieťovej viditeľnosti hovoríme hlavne o viditeľnosti „metadát“ o provoze, niečo čo v našich končinách poznáme ako netflow, alebo o plnej viditeľnosti do provozu, čiže DPI (deep packet inspection) alebo tiež full packet capture/analysis.
V prípade netflow tak vidíme komunikujúce IP adresy, na ktorých portoch komunikujú, časové známky komunikácie, TCP príznaky a ďalšie informácie aj z vyšších sieťových vrstiev, ako môžu byť dáta o HTTP provoze, obsah DNS dotazov, použité šifrovacie algoritmy pri šifrovanom spojení apod. Veľkou výhodou tohto typu technológii je, že zvyčajne sú rádovo menej náročné na uloženie dát a nepožadujú až tak veľký výkon oproti DPI. Cenou za to je, že nevidíme samotný obsah spojenia. V prípade http to napríklad znamená, že síce vidíme user-agenta alebo URL ale nevidíme samotné telo dotazu.
Opačným prípadom je DPI, kedy vidíme úplne celý provoz a môžeme tak vyhodnocovať nielen „metadáta“ ale pozerať sa aj do prenášaných dát. V prípade detekcie malwarovej komunikácie to znamená, že sa už nemusíme spoliehať na to, že detekujeme pripojenie k malwarovej doméne, ale
môžeme detekciu postaviť na tom, aké špecifické binárne dáta obsahuje malwarová komunikácia. Takáto „dokonalá“ sieťová viditeľnosť však prichádza minimálne s veľkými nárokmi na uloženie dát (čo nie je problém pri okamžitom vyhodnocovaní ale pre potrebu spätnej analýzy je potrebné uchovávať prakticky kópiu celého provozu). Navyše pri stále väčšom objeme šifrovaného provozu je prínos DPI oveľa menší ako tomu bolo v minulosti, keĎže síce vidíme do paketu, ale čo z toho, keď jeho obsah je aj tak zašifrovaný . Zvyšujúce sa objemy prenášaných dát v monitorovaných sieťach pozícii DPI tiež nepomáhajú.
Je preto otázka, na ktorý druh sieťovej viditeľnosti sa sústrediť? Osobne sa momentálne prikláňam ku kombinácii oboch prístupov a to takým spôsobom, že netflow sa použije pre dlhodobejšie uloženie dát o provoze, zatiaľčo pri real-time bezpečnostnej analýze preferujem použitie DPI, ktoré stále prináša väčšiu viditeľnosť a tým aj väčšie možnosti detekcie. Ak však takýto ideálny scenár nemôže nastať, so súboja by podľa môjho názoru vyšli víťazne technológie založené na netflow, ktoré ponúkajú lepší pomer cena/výkon (výkon = získaná viditeľnosť).
Špecifickým zdrojom sieťovej viditeľnosti môžu byť aj logy z firewallu, ktoré ponúkajú oveľa nižšiu viditeľnosť oproti netflow. Ich výhodou však je, že firewall má dnes už asi každý a aj to málo môže byť použité pri detekcii rôznych bezpečnostných problémov.
Povedali sme si niečo o sieťovej viditeľnosti. Tá však v súčasnosti už na niektoré problémy nemusí stačiť. Ak by som bol skeptický, povedal by som, že nebude stačiť na väčšinu dnešných útokov, ktoré sa už sieťovo prejavujú minimálne (až na výnimky, ktoré sa šíria pomocou červov ako napr. WannaCry alebo NotPetya). Na výrazné zvýšenie úspešnosti našich kyberbezpečnostných snáh preto potrebujeme viditeľnosť minimálne na ďalší dôležitý typ aktív, ktorým sú koncové zariadenia, čiže endpointy. O viditeľnosti na koncových zariadeniach si preto povieme viac v ďalšom článku.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Obrázek: Hierarchia potrieb v kyberbezpečnosti, Matt Swann
