Узнайте лицо врага

Майк Фратто

Выявление аномалий в поведении сети, возможно, станет для вас лучшей защитой от атак.

Если вы чего-то не знаете о действиях вашего противника, то впоследствии это может обернуться против вас. Предупредить вторжения вам помогут продукты обнаружения сетевых аномалий.

Технология обнаружения аномалий в поведении сети (Network Behavior Anomaly Detection — NBAD) основана на сборе информации о том, как выглядит нормальный трафик, и последующем выявлении отклонений от нормы. В поле зрения этого процесса также попадают и те изменения уровня трафика, которые не связаны с возможными атаками, но тем не менее могут привести к нежелательным последствиям. Таким образом, данная технология позволяет решить сразу две задачи: прояснить картину происходящего в сети и выявить подозрительные процессы.

Мы протестировали продукты Peakflow X 2.2 компании Arbor Networks, StealthWatch 3.0 компании Lancope и QVision 2.1 компании Q1 Labs. В течение двух месяцев их сенсоры “вели наблюдение” за внутренним трафиком нашей кампусной сети, и полученные результаты поистине поразили нас.

Глядя на цены — 141 тыс. долл. за Peakflow X, 95 тыс. долл. за StealthWatch и 94 тыс. долл. за QVision (консоль и три сенсора), — можно сказать, что такие продукты не всем по карману. Но если уж вы решите приобрести один из них, то сначала обеспечьте защиту периметра вашей сети и выработайте политику безопасности.

Peakflow Х 2.2 компании Arbor Networks

Чтобы изучить поведение сети, устройства NBAD отслеживают потоки трафика (обычно проходящего между двумя и более узлами). В продукте Peakflow X предусмотрена возможность автоматического разделения потоков, за которыми следят разные сенсоры, что исключает дублирование при сведении полученной информации воедино.

Работа Peakflow X основывается на “модели отношений”, характеризующей взаимодействие сетевых узлов друг с другом. При выявлении попыток новых подключений, не предусмотренных, так сказать, нормой поведения хоста, продукт выдает предупреждение. Он может использовать данные о потоках трафика через маршрутизаторы и коммутаторы, полученные с помощью таких инструментов, как NetFlow, Sflow and Cflow, и при этом не нужно его физического подключения к сети. Но поскольку Peakflow X оперирует потоками, то возможностей для анализа протоколов уровня 7, которые имеются у продуктов StealthWatch и QVision, в нем нет.

QVision 2.1 компании Q1 Labs

Инструментарий QVision обеспечивает визуальное отображение сетевого трафика; с его помощью мы могли гибко настраивать аналитические отчеты. Все предоставляемые им графические данные и объекты (сетевые узлы, подсети, приложения и порты) обозначены соответствующими цветами. Для получения более подробных сведений нужно “углубиться” в интересующий вас пункт отчета, а с помощью сводных таблиц можно всесторонне изучить полученную информацию.

Средства визуализации QVision окажутся незаменимыми в интенсивно работающих сетях с большим количеством приложений. Этот продукт всегда правильно определит трафик приложения безотносительно к порту. Приложения в первую очередь распознаются по их сигнатурам, а лишь затем по общим портам, полезной нагрузке и другим параметрам. QVision также способен осуществлять автоматический захват некоторого заданного количества пакетов в каждом потоке либо в потоках только неизвестных ему приложений.

StealthWatch компании Lancope

Компания Lancope разработала несколько алгоритмов для обнаружения узлов, демонстрирующих наиболее аномальное поведение. По сравнению с конкурентами ее продукт StealthWatch в большей мере преуспел в работе с потоками благодаря наличию механизма анализа пакетов, позволяющего выявлять спам-серверы, “червей” и аномалии на порте 80. Как и Peakflow X, продукт StealWatch фиксирует нормальное поведение, но не использует модель отношений узлов, поэтому мы не смогли назначать разным хостам разную политику безопасности. Зато StealthWatch контролирует файловый обмен, что должно обеспокоить пользователей P2P.

Поскольку StealthWatch не поддерживает порты с “длинными” номерами, часто используемые СУБД, P2P- и заказными приложениями, их закрытие избавит вас от необходимости реагировать на ложную тревогу..