Анализ сетевого трафика: методы и инструменты

Иван Горячев
Инженер по продуктам ИБ в компании «Сиссофт»

Количество успешных атак киберпреступников на объекты ИТ-инфраструктуры российских компаний и организаций в 2022 году увеличилось более, чем на 20%. Многослойный ИБ-рубеж не всегда гарантирует надежную защиту от атак – разбираемся, какую роль в «оборонительных редутах» играет анализ трафика.

Анализом – по сонму ИБ-угроз

Исследователи фиксируют рост числа атак на веб-ресурсы организаций, особенно на сайты госучреждений России (их выявлено на 56% больше, чем в 2021 году), также наблюдается рост количества случаев применения шпионского ПО и активно эволюционирующих вирусов-шифровальщиков. Под угрозой находится не только госсектор. Хакеры проявляют интерес к транспортной сфере, финансовому рынку, ритейлу и другим отраслям.

В информационной безопасности используется множество инструментов, защищающих инфраструктуру предприятий и данные: антивирусные решения, межсетевые экраны, различные сканеры безопасности, SIEM-системы и т.д. Они помогают предотвратить атаку и выработать комплекс мер для того, чтобы справиться с ее последствиями и предотвратить развитие атаки и другие нападения. К примеру, SIEM-система позволяет детектировать инциденты, которые происходят на серверах и в конечных точках корпоративной сети, а также работу других ИБ-средств, которые их защищают.

Но для того, чтобы определить пути попадания зловредного ПО в периметр организации, необходимо их проанализировать. Вирус может проникнуть через файловое хранилище, почту, из глобального сегмента Сети или с помощью флешки.

Определение таких путей проникновения производится при помощи анализа сетевого трафика, который может выявить первоначальную точку проникновения и все следы, оставленные зловредом в инфраструктуре. Эта информация становится ценнейшим источником для анализа инцидентов и угроз, которым подвергается организация, а также и их устранения.

Роль специнструментов

Дело в том, что изначально сетевой трафик – это «слепое пятно». Неспециализированные средства не в состоянии проанализировать его. Серверы, сетевое оборудование и пользовательские устройства определяют такой трафик как легитимный.

ИБ-средства нацелены на определение анализа происходящих событий, пользовательского поведения, защиты периметра и от вредоносного ПО. А вот выявить в общем потоке данных, передающихся по сети, аномалии, активность вредоносного ПО или, следы компрометации инфраструктуры способны именно анализаторы трафика. Они позволяют определить, к примеру, такие признаки хакерской активности, как попытки перебора паролей, сетевую разведку, попытки эксплуатации уязвимостей и выполнение скриптов.

Также анализатор может использоваться не как ИБ решение, а как инструмент для стабилизации работы сети, поскольку видит ошибки трафика, резкое возрастание объема передаваемых данных или увеличенное время ожидания отклика и другие признаки сбоев в работе сетевой инфраструктуры организации.

Какие аномалии существуют в трафике

Аномалии трафика – это его отклонение от нормальных параметров. Они могут вызываться отказом оборудования (например, при поломке коммутатора), ошибками администраторов сети и даже пользователей и, наконец, действиями злоумышленников.

При помощи анализа трафика можно выявить целый комплекс категорий аномалий, свидетельствующий о признаках действий злоумышленников. Наличие вирусов выдает присутствие в трафике сигнатуры исполняемого файла, повышенный объем говорит о вероятности DDoS-атаки, активные ботнеты выдают себя соединениями с управляющими серверами, перебор паролей будет заметен благодаря числу попыток входа в пользовательский или административный аккаунт.

Также есть и аномалии, свидетельствующие о технических проблемах в сети: отказ канала (в этом случае значительное число соединений переправляются в резервный канал), перегрузка сервера или его неправильная конфигурация, аномальное поведение устройства.

Анализ трафика: подходы, методы и средства

При анализе сетевого трафика используется несколько технических подходов. Первый – простейший, ручной анализ, при котором специалист запускает сетевое соединение на компьютере и анализирует прохождение пакетов в сегменте сети.

Второй подход предполагает использование специальных инструментов, таких как Wireshark, которые позволяют перехватить все пакеты, проходящие по сети, и составить представление об используемых протоколах, передаваемых файлах и даже сетевом поведении отдельных пользователей.

Недостаток такого класса решений – в их ограниченных возможностях, поскольку они способны рассматривать только тот сегмент сети, который управляется предприятием. Все, что расположено за корпоративным коммутатором, остается для таких решений тайной.

Для анализа трафика возможно использование сложных специализированных ИБ-решений, таких, как системы класса IPS/IDS (Intrusion Prevention System – система предотвращения вторжений и Intrusion Detection System – система обнаружения вторжений). Их выбор достаточно велик, существуют как разработки open-source, так и коммерческие продукты. Они позволяют просматривать содержание трафика и в ручном, и в автоматическом режиме. Достоинство таких решений – в возможности глубокого анализа, при котором рассматриваются даже не пакеты, а отдельные сигнатуры вплоть до каждого байта переданной информации для каждого используемого протокола. Таким образом удается определить зловред на уровне вредоносного кода, который передается по сети, – в этом случае подается команда операторам сети и решениям, ответственным за предотвращение вторжений.

В ходе анализа трафика используемое решение определяет параметры отслеживаемых данных и на их основе формирует «идеальную» модель сети (в дальнейшем она может видоизменяться в зависимости от изменения выбранных параметров). Затем наступает этап самого анализа, когда модель сравнивается с реальной картиной происходящего, а выявленные отклонения отмечаются как аномалии. Важнейшим этапом анализа становится захват трафика, который проводит система, – критическим условием здесь является захват всего трафика, без пропуска отдельных фрагментов.

IPS/IDS – комплексное решение, использование которого отражает два принципа контроля сетевых аномалий. Они могут работать как внутри инфраструктуры, например, на пользовательских устройствах, так и на периметре, зачастую в составе NGFW. Выявление аномалий происходит за счет разбора сетевых пакетов и поиска вредоносных сигнатур, а также благодаря правилам контроля трафика. Оператор ИБ может настраивать IPS/IDS в режиме блокировки или только обнаружения аномалий и угроз.

Существует еще один класс решений, используемых для анализа трафика – NTA-системы (Network Traffic Analysis). Они работают как на периметре организации, так и в ее инфраструктуре, а значит способны анализировать тот трафик, который сумел проникнуть через межсетевые экраны или системы класса IPS/IDS.

Кроме того, NTA применяют комбинированный способ анализа, при котором используются и правила анализа, и индикаторы компрометации, и ретроспективный анализ. Данные системы не блокируют угрозы, в отличие от IPS, но позволяют в реальном времени отслеживать всё происходящее в инфраструктуре – как действия злоумышленника, так и нарушение регламентов ИБ. Благодаря возможности хранить копию трафика длительное время, они незаменимы в расследовании инцидентов.

Как выбрать анализатор

Характер и интенсивность современных угроз, техническая оснащенность киберпреступного сообщества делают вопрос о том, какой именно способ анализа сетевого трафика эффективнее, бессмысленным. Причина проста, ответ будет только один – все способы необходимы.

Сегодня организация должна иметь инструменты, которые позволяют анализировать трафик перед входом в инфраструктуру, после него, а также внутри периметра. Дело в том, что хакеры умеют эффективно маскировать зловредный трафик, делая его незаметным для многих анализаторов и использовать для проведения атак легитимное программное обеспечение, генерирующее трафик, который системы по умолчанию не считают аномальным.

К сожалению, универсального решения не существует: новые уязвимости возникают ежедневно, да и совершенствование инструментов нападения не прекращается. Поэтому единственно возможным выходом для организаций становится совместное использование IPS/IDS и NTA решений.

Это позволит не только предотвратить входящий зловредный трафик, но и неконтролируемые утечки данных «наружу». А также выявить трафик, генерируемый легитимными, но скомпрометированными приложениями.