Netscout про імунітет інформаційної системи

Боротьба з кіберзагрозами чимось схожа на протистояння організму людини вірусам, а системи безпеки – на імунітет. Кібератаки зазвичай тривають досить тривалий термін. Спочатку кіберзлочинці потай шукають слабкі місця, якісь вразливості, потім поступово заглиблюються в інфраструктуру, аж доки не зможуть завдати свого головного удару. Причому видима частина атаки нерідко служить вже для замітання слідів.

Отже, коли атаку виявлено, першою реакцією зазвичай стає «гасіння пожежі» – боротьба з її руйнівними наслідками – продовжуючи медичну аналогію – з симптомами хвороби. Але щоб насправді подолати хворобу та запобігти рецидивам, треба мати можливість виявити та усунути її причини. Для цього потрібні інструменти для проактивного захисту від потенційної небезпеки (гігієна) та проведення ретроспективного аналізу розвитку успішної атаки. Тож не дивно, що за даними постачальників рішень інформаційної безпеки наразі значний попит мають технології забезпечення видимості та контролю мережі й кінцевих точок, своєчасного запобігання поширенню просунутих загроз, а також комплексного розслідування інцидентів.

Одному з таких рішень – системі Omnis Cyber Intelligence (OCI) від Netscout – був присвячений спільний вебінар від виробника та його офіційного дистриб’ютора, компанії NWU, для українських партнерів та замовників, який провів Олександр Томик, провідний інженер з рішень Netscout у регіоні CEE.

Нагадаємо, Netscout вже багато років займається розробкою рішень для моніторингу та аналізу мережевого трафіку й захисту від DDoS та інших видів атак. Двічі на рік компанія видає звіт DDoS Threat Intelligence Report. Згідно з цим дослідженням, у першому півріччі 2022 року захисні системи Netscout зафіксували понад 6 млн DDoS-атак (в той час, як раніше цей показник становив в середньому 10 млн атак за рік). Найпотужніша становила 958 Gbps – майже терабіт – на 57% більше, ніж у другому півріччі 2021 року. Переважно це атаки на stateful обладнання – фаєрволи, VPN тощо – дуже важлива ланка, особливо за умов дистанційної роботи. На цю активність впливають в тому числі такі чинники, як політика, релігія тощо. Тож цікаво, що значне підвищення кількості та об’ємів DDoS-атак на організації та підприємства в Україні спостерігається ще з серпня 2021 року. Цьогоріч їх потужність зросла втричі – зі 180 Gbps навесні до 600 Gbps восени. Більшість атак тривають до години. Але були й такі, що тривали тиждень. Це неабиякий виклик навіть для провайдерів, не кажучи вже про окремі підприємства. Тож для таких випадків Netscout пропонує хмарне рішення очищення трафіку Arbor Cloud.

Причому підсиленого тиску зазнають не тільки безпосередні учасники конфлікту. Так, наприклад, з березня практично вдвічі збільшилися кількість атак на Фінляндію (з початком розмов щодо вступу в НАТО). А також на Ірландію, що пов’язано в тому числі з міграцією інфраструктур українських компаній до європейських ЦОДів.

Зрозуміло, що цим займаються не аматори, а професійні хакерські угрупування зі значними ресурсами, які можуть використовувати ботнети на десятки тисяч вузлів. Зі свого боку Netscout пропонує рішення Omnis Cyber Intelligence (OCI), що здатне забезпечити видимість та можливість аналізувати що відбувається у комп’ютерній мережі, оперативно виявляти загрози, та вживати контрзаходів для блокування шкідливої активності.

За мало не 40 років Netscout накопичила багато напрацювань у сфері виявлення проблем та керування продуктивністю комп’ютерних мереж. Тож с часом на базі платформи nGeniusOne було реалізоване спеціалізоване рішення для розв’язання задач кібербезпеки. Важливою рисою якого є можливість інтеграція в різні екосистеми, для забезпечення комплексного та надійнішого захисту.

Як підкреслив спікер, дуже важливо робити моніторинг не тільки зовнішнього трафіку, але й того, що виходить із корпоративної мережі. Бо в такому випадку з’являється можливість відстежувати в тому числі шкідливу активність, фактично ініційовану зсередини мережі – наприклад після необачного натискання на посилання в електронному письмі.

Тож для забезпечення надійнішого захисту OCI поєднує три принципи: широка видимість мережі через повний пакетний аналіз трафіку, розумне виявлення загроз та реагування на інцидент.

Для оперативного виявлення атак рішення Netscout використовує ряд підходів та можливостей. Завдяки тому, що компанія має можливість аналізувати третину всього світового трафіку, її спеціалісти бачать де розташовані бот-мережі, які нові вектори атак з’являються та своєчасно інформують про все це замовників. Відповідні звіти виходять щодня.

Крім того, система OCI постійно слідкує за новими підключеннями, аналізує їх легітимність з метою виявити атаку на початковій стадії тощо. Коли стає зрозуміло, що почалася атака та вже охопила декілька хостів, одразу ж починається відстеження зв’язків та динаміка поширення атаки мережею. Крім того, провадиться ретроспективне розслідування з метою виявити чи використовувалась вже десь така атака раніше та скільки часу відповідні ознаки фіксуються в конкретній мережі.

Важливою відмінністю Netscout NDR (Network Detection and Response) від класичного є те, що останні зазвичай здійснюють аналіз поведінки з використанням протоколу Netflow та починають збирати мережеві пакети тільки коли вже щось трапилось і фактично вже пізно. Просунута система Netscout збирає та аналізує трафік постійно, в тому числі шифрований. Завдяки цьому з’являється можливість виявляти загрози та блокувати шкідливий трафік практично у режимі реального часу. Причому в залежності від потреб замовника є можливість здійснювати агрегацію та фільтрацію пакетів, балансування навантаження, маскування певних даних (наприклад, для фінансових установ), перевірку шифрованого трафіку, налаштовувати власні правила яку саме активність в мережі слід вважати небезпечною (якісь певні додатки, використання застарілих протоколів тощо).

Поміж іншим, для виявлення кіберзагроз використовується технологія AIF на основі шаблонів Intelligence Feed, з підтримкою IoC (Indicators of Compromise) у форматах STIX або TAXII. Окрім власних індикаторів, підготовкою яких займається ціла команда спеціалістів Netscout, є також можливість використовувати індикатори від сторонніх постачальників, таких як IBM, Mitre тощо. Вся ця інформація надходить в Omnis та дозволяє автоматично виявляти різні загрози.

Як вже відзначалося, дуже важливою є можливість інтеграції з іншими системами безпеки. Наприклад, якщо виявлено шкідливий трафік, його можна заблокувати на рівні фаєрволу. Є можливість інтегруватись з SIEM та багато іншого. Все це дозволяє підвищити надійність захисту. А ретроспективний аналіз дає можливість відстежувати коли та як атака почалася.

Тож, резюмуючи, Netscout Omnis Cyber Intelligence пропонує видимість того, що відбувається на периметрі та всередині мережі, виявлення атак в реальному часі, проведення розслідувань, блокування загроз та відновлення системи. Це незамінний інструмент для фахівців з підтримки працездатності мережі, а також спеціалістів з інформаційної безпеки.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365