Трафик — идеальный объект анализа?

Для ответа на этот вопрос важно понимать, что злоумышленнику для достижения своих целей необходимо решить несколько задач:

• узнать как можно больше информации о жертве (то есть провести разведку)
• подготовить арсенал и требуемую для атаки инфраструктуру 
• получить первоначальный доступ 
• выполнить действия по постэксплуатации — закрепиться в системе, повысить привилегии, осуществить горизонтальное перемещение
• нанести ущерб 

Как известно для того, чтобы не допустить потерь для бизнеса, необходимо остановить злоумышленника до реализации недопустимых событий.

Злоумышленник при попадании в инфраструктуру и продвижении оставляет артефакты своего присутствия. Команда защитников эффективна в том случае, когда умеет выявлять эти артефакты и правильно их интерпретировать. То есть, когда качественно организован процесс мониторинга. Существуют два типа артефактов: хостовые и сетевые.

Остановимся подробнее на каждом из них.

• Хостовые артефакты — те, которые остаются на хосте при действиях злоумышленника (логи, пути вредоносного ПО, ключи реестра, история команд и т.д.). При этом большая часть качества хостовых артефактов напрямую зависит от настроек параметров аудита. На загруженных производственных системах расширение аудита может привести к деградации бизнес-приложения, а, значит, часть критически важных артефактов просто невозможно залогировать. Кроме того, для их эффективного использования нужна полная и актуальная инвентаризация всех хостов в инфраструктуре.
• Сетевые артефакты — те, которые остаются в трафике при продвижении злоумышленника и по сети, и/или связи с командным центром. При этом в отличие от хостовых артефактов сетевые не зависят ни от настроек аудита, ни от знания инфраструктуры.

Есть еще одна деталь в контексте артефактов, которую нужно учитывать при организации процесса мониторинга:

• часть хостовых артефактов можно сделать недоступной для анализа[1]. 
• сетевые артефакты принципиально нельзя удалить из трафика.

Из этого следует несколько важных фактов:

• анализ трафика в современных реалиях должен быть неотъемлемой частью процесса мониторинга.
• качество анализа трафика напрямую влияет на способность противостоять злоумышленнику.

 
[1] Возможные действия злоумышленника по сокрытия своих следов описаны в тактике Stealth матрицы MITRE (например, T1685.001 Disable or Modify Tools: Disable or Modify Windows Event Log)

Казалось бы, если в трафике все видно, то задача детектирования злоумышленника сводится лишь к тому, чтобы суметь «завернуть» трафик на анализ. Очевидно, что все не так просто, как кажется. Злоумышленник понимает, что удалить артефакты из трафика нельзя, но это не означает, что нельзя пытаться их скрыть, например, мимикрируя под обычную сетевую активность. 

Кроме того, для сокрытия следов злоумышленник, например, может использовать:

• шифрование
• vpn
• туннелирование
• прокси-сервера
• и т.д.

Для того, чтобы быть уверенным в том, что анализ трафика действительно позволит обнаружить хакера, необходимо сформулировать требования к средству анализа. Требования можно разделить на две категории:

• необходимые == технологичность;
• достаточные == экспертиза.

К необходимым требованиям относятся:

1. Качество разбора трафика — то есть то, сколько протоколов определяется и сколько полей из заголовков извлекается. Для решения задачи поиска злоумышленника необходимо четко знать, какие протоколы использовались при коммуникации, какие команды передавались, какие длины были у сессий. Ключевым требованием к движку разбора трафика является возможность безошибочного определения используемых протоколов. Для сокрытия следов злоумышленник может развернуть, например, SOCKS-прокси, анализатор трафика должен это понять, и распознать реальную точку назначения трафика. При этом важно понимать, что современные сети устроены сложно — часто используется большая вложенность протоколов. Качественный движок анализа должен уметь снимать все туннельные заголовки и анализировать непосредственно сессии, в которых идет информационный обмен. Результатом движка разбора трафика является формирование метаданных, которые в дальнейшем используются для анализа и поиска информации.
2. Быстрый движок поиска угроз — трафик недостаточно просто хорошо разбирать, важно еще и успевать детектировать в нем угрозы. Движок должен обеспечивать реализацию различных механизмов: сигнатурного, эвристического, поведенческого, статистического, ретроспективного.
3. Детектирование приложений и сервисов — в современных реалиях просто разбирать трафик недостаточно, необходимо понимать, какие сервисы функционируют в сети. Злоумышленники, например, могут использовать VPN или прокси и только информация об этом будет их демаскировать.
4. Возможность извлечения вложений — при продвижении по сети злоумышленник зачастую распространяет вредоносное ПО, его также можно детектировать, проверяя по базе индикаторов компрометации или отправляя в сторонние системы класса песочница.

Необходимые требования, по своей сути, описывают потребность в технологичности средства анализа трафика. 

Однако одной технологичности недостаточно для того, чтобы противостоять злоумышленнику, необходимо иметь детектирующую логику, сформированную опытными экспертами. Эту потребность можно сформулировать в виде достаточных требований к средствам анализа трафика:

1. Качественная экспертиза — контент должен обеспечивать возможность выявления злоумышленника с минимальным уровнем ложноположительных срабатываний. А средство анализа трафика должно предоставлять возможность вайтлистинга для исключения нерелевантной для конкретной сети экспертизы. При этом одного качества детекта недостаточно. Важно, чтобы каждое срабатывание можно было четко приоритизировать,оно содержало описание обнаруженной угрозы, а также плейбук с перечнем необходимых действий по триажу и валидации сработки.
2. Отслеживание ландшафта угроз — поставляемая экспертиза должна оперативно обновляться вслед за появляющимися угрозами. Тут речь не только про покрытие детектом очередной уязвимости, но и своевременное обновление индикаторов компрометации, детектирующей логики для отдельных инструментов и TTP (тактики, техники и процедуры).
3. Опыт расследования реальных инцидентов — если не ключевыми, то точно одними из являются знания, получаемые экспертами в ходе расследования инцидентов. Без наличия экспертизы, полученной “с полей”, средство анализа трафика не способно выявлять сложные угрозы.
4. ML — сегодня машинное обучение становится неотъемлемой частью арсенала защитников. При анализе трафика ML позволяет решать задачи по поиску аномалий и нетипичных для сети действий. Стоит отметить, что наибольшую эффективность показывают те модели, которые обучаются на профиле конкретной сети, тем самым обеспечивая детектирование релевантных угроз для конкретной инфраструктуры.
5. Использование знаний об угрозах из «облака» — злоумышленники непрерывно улучшают методы сокрытия: используют коротко живущие домены, компрометируют сторонние сервисы и туннелируют через них трафик, продвигаются, используя только встроенные в ОС инструменты. Для детектирования таких действий необходимо в режиме реального времени анализировать расширенный контекст угрозы. Эффективным механизмом для этого является «облако», которое агрегирует в себе весь необходимый контекст и при запросе конкретной инсталляции средства анализа помогает принять решение о легитимности той или иной сессии.

Поэтому Positive Technologies выпускает новую версию PT Network Attack Discovery (PT NAD) 13.0  — продукта для поведенческого анализа сетевого трафика и обнаружения скрытых кибератак. Система помогает точно выявлять действия злоумышленников, упрощает расследование инцидентов и поддерживает проактивный поиск угроз.

Запуск пройдет в режиме онлайн трансляции 04 июня в 14:00, где эксперты Positive Technologies покажут, как новая версия помогает командам безопасности:

• Сократить время обнаружения в разы
• Сдерживать злоумышленника
• Получить полную картину атаки даже в зашифрованном трафике

Регистрируйтесь на запуск PT NAD 13.0!