Компанія NWU, дистриб'ютор рішень безпеки Netscout, організувала для партнерів та замовників вебінар, присвячений сучасним підходам до виявлення загроз за допомогою NDR-платформи Omnis Cyber Intelligence.
Відкрив семінар Олександр Томик, провідний інженер з рішень Netscout у регіоні Центральної та Східної Європи, і розпочав він презентацію з традиційного короткого знайомства з розробником. Американська Netscout зі штаб-квартирою в місті Вестфорд, неподалік Бостона, була заснована 40 років тому і спеціалізується на рішеннях для аналізу та управління продуктивністю мереж та додатків, а також для захисту від DDoS-атак і кіберзагроз. На сьогодні в компанії зайнято близько 2500 осіб, а її річний дохід перевищує 820 млн дол.
Портфель Netscout орієнтований насамперед на корпоративних замовників й сервіс-провайдерів та заснований на технологіях глибокого аналізу мережевого трафіку та моніторингу роботи додатків. Її клієнтами є близько 90% компаній зі списку Fortune 100. Крім того, у 2015 році Netscout поглинув Arbor Networks, одного з провідних постачальників рішень для захисту від DDoS-атак, розробками якого користуються близько 90% глобальних Tier 1 сервіс-провайдерів.
Власне на стику цих двох великих напрямків, завдяки об'єднанню патентованих технологій аналізу трафіку та розробок у галузі кібербезпеки, і створено рішення, про яке йшлося під час семінару – платформа Omnis Cyber Intelligence для виявлення та реагування на мережеві загрози (Network Detection and Response, NDR). Вона допомагає командам безпеки досліджувати потенційні загрози та у разі потреби забезпечувати адекватне реагування. Крім того, вона інтегрується з популярними системами управління інформацією та подіями в галузі безпеки (SIEM).
Системи кіберрозвідки (Cyber Intelligence) зазвичай включають низку основних компонентів. Це рішення, зазвичай, агентські, для моніторингу кінцевих пристроїв (комп'ютери, сервери тощо) – Endpoint Detection and Response, EDR. Потім інструментарій для детального аналізу трафіку, яким обмінюються хости. Для збору та обробки всього цього потоку інформації – логів, оповіщень – служить центральна парасолькова SIEM. Після чого ці дані обробляє система розширеного виявлення та реагування – eXtended Detection and Response, XDR. Безпеку на периметрі мережі забезпечують брандмауери та різноманітні рішення для виявлення та запобігання вторгненням (IPS\IDS).
Своєю чергою, Netscout Omni Cyber Intelligence (OCI) аналізує на предмет потенційних загроз весь трафік у мережі та кожну індивідуальну комунікацію. Вона забезпечує вдосконалене індексування та пошук, а також допомагає забезпечити виявлення потенційних загроз та реагування на них. Патентована технологія Adaptive Service Intelligence (ASI) та ATLAS Threat Intelligence додає контекст та аналітику, щоб перетворити пакетні дані на корисну інформацію. Масштабовані інструменти Omnis CyberStream забезпечують повну видимість усієї мережі, включаючи гібридні хмарні середовища. А інтелектуальна система пошуку метаданих та пакетів дозволяє проводити контекстні чи спеціальні дослідження для визначення ступеня порушення та адекватного рівня реагування.
Чому це важливо? Останнім часом триває багато дискусій щодо директиви NIST-2, якій мають відповідати всі компанії, що мають IT-системи у Європі. Це універсальний фреймворк управління ризиками кібербезпеки. Відповідно до актуальних вимог, у разі виникнення інциденту кожна організація повинна мати можливість протягом перших 24 годин виявити його та повідомити про атаку усі зацікавлені сторони, а протягом 72 годин – представити детальний звіт з оцінкою її наслідків. Очевидно, що для цього потрібно мати відповідний інструментарій. В іншому випадку підприємству загрожує штраф від 10 млн дол. до 2% від річного обороту по всьому світу.
Що може спричинити витік важливої інформації? Зазвичай все починається зі створення якоїсь лазівки – можливості проникнути у внутрішню мережу ззовні й чинити там приховані дії. Це може бути атака на будь-який елемент інтернету речей, наприклад – зловмисник інфікує шкідливим програмним забезпеченням якусь камеру відеоспостереження або роутер – якийсь недорогий або не налаштований належним чином другорядний пристрій, що має доступ у внутрішню мережу. І ось він вже перетворюється на той самий чорний ход (backdoor) у мережу.
Тому дуже важливо, щоб усі користувачі організації дотримувалися кібергігієни та встановлених внутрішніх правил. Адміністратори, своєю чергою, повинні мати можливість контролювати їх виконання – використання застарілих небезпечних протоколів на зразок Telnet, потенційно небезпечних додатків тощо. При цьому важлива не лише наявність інструментарію для своєчасного виявлення порушень правил кібербезпеки, а й можливість проводити ретроспективний аналіз – з якого моменту чи події та на яких хостах мережі з'явився цей небезпечний трафік.
Саме для цього NETSCOUT пропонує своє комплексне рішення OCI, яке з одного боку увібрало 40-річний досвід компанії в області пакетного аналізу трафіку, управління продуктивністю додатків та виявлення поведінкових аномалій. А з іншого – передові технології контролю за безпекою. Причому платформа агрегує мережевий трафік, завдяки чому є можливість не тільки виявляти проблеми з продуктивністю чи безпекою, а й за необхідності проводити ретроспективний аналіз, у тому числі для збирання доказів у разі інциденту.
Ключові компоненти Netscout NDR. Перший – це видимість мережі (network visibility) – система для аналізу мережного трафіку та моніторингу, хто з ким комунікує – на рівні обладнання, протоколів, додатків. До цього додається виявлення уразливостей (vulnerability detection) – виявлення аномалій, нового чи потенційно небезпечного трафіку. У тому числі, наприклад, на основі геолокації. Потім у справу вступає система виявлення вторгнень, завдяки аналізу з урахуванням категоризації MITRE. Можлива інтеграція із системою Suricata. Можна використовувати як власні індикатори компрометації (Indicators of Compromise, IOC), так і завантажувати їх із безкоштовних або платних джерел у форматі STIX/TAXII.
Які механізми виявлення загроз використовуються? Threat Intelligence (аналітика загроз). Це інформація про актуальні загрози Netscout Atlas Intelligence Feed (AIF), яка оновлюється щодня і надається всім замовникам, що використовують рішення Arbor для захисту від DDoS, а також власне Cyber Intelligence.
Behavioral Analytics – поведінковий аналіз трафіку, порівняно з попереднім періодом часу. Attack Surface (поверхня атаки) – аналізує появу в корпоративній мережі нових хостів, додатків, портів, підозрілих геолокацій. Усе це звичайно можна потім заблокувати.
Compliance (відповідність вимогам) – певні протоколи в корпоративній мережі, які можуть становити небезпеку, і тому не відповідають внутрішнім правилам безпеки. У разі виявлення невідповідностей одразу виводиться оповіщення. IDS – система виявлення потенційно небезпечного трафіку з урахуванням сигнатури, заснованих на синтаксі Suricata.
Що дуже важливо, вся екосистема безпеки – це не якась окрема автономна система Omny Cyber Intelligence, що працює сама по собі. Все будується на інтеграції та взаємодії з іншими системами – джерелами інформації про атаки, EDR, NDR, SIEM\SORA, комерційним фаєрволом для блокування небезпечного трафіку тощо.
Таким чином, система Omnis Cyber Intelligence виступає як центр подій безпеки Security Event Center (SEC). Вона поєднує різноманітні механізми виявлення атак та потенційно небезпечних подій, шкідливих файлів, розслідування інцидентів та усунення наслідків, аналізу подій та підготовки звітів. Вона втілює 40 років досвіду та найкращі технології в області видимості мережі, аналізу трафіку та продуктивності від Netscout з розробками Arbor у галузі безпеки та захисту від кібератак.
Про DCIM у забезпеченні успішної роботи ІТ-директора