Cisco CyberOps Associate - Monitorowanie sieci komputerowej

1. Wszystkie sieci są potencjalnym celem dla zagrożeń, dlatego muszą być odpowiednio zabezpieczone. Ochrona sieci wymaga zastosowania wielowarstwowej strategii obrony, która obejmuje zapory ogniowe, systemy wykrywania i zapobiegania intruzjom (IDS/IPS) oraz oprogramowanie zabezpieczające punkty końcowe. W dużych sieciach konieczne jest dodanie dodatkowej warstwy ochrony, aby zarządzać fałszywymi pozytywami i innymi skomplikowanymi zagadnieniami. Kluczową rolę w tym procesie odgrywają analitycy ds. bezpieczeństwa cybernetycznego, którzy muszą regularnie przeglądać i oceniać alarmy generowane przez urządzenia sieciowe.

2. Codzienne działanie sieci składa się z typowych wzorców przepływu ruchu, wykorzystania przepustowości i dostępu do zasobów. Wszystkie te wzorce identyfikują normalne zachowanie sieci. Analitycy bezpieczeństwa muszą bardzo dobrze znać normalne zachowanie sieci, ponieważ nietypowe zachowanie sieci zwykle wskazuje na problem.

Aby określić normalne zachowanie sieci, musi być zaimplementowane monitorowanie sieci. Do odkrywania normalnego zachowania sieci używa się różnych narzędzi, w tym IDS, analizatorów pakietów, SNMP, NetFlow i innych.

Niektóre z tych narzędzi wymagają przechwyconych danych sieciowych. Istnieją dwie powszechne metody używane do przechwytywania ruchu i wysyłania go do urządzeń monitorujących sieć:
  • Złącza sieciowe, czasami znane jako punkty dostępu do testów (TAPs) 
  • Lustrowanie ruchu za pomocą analizatora portu przełącznika (SPAN) lub innego lustrowania portów.
Złącze sieciowe to zazwyczaj pasywne urządzenie rozdzielające, zaimplementowane w linii między urządzeniem zainteresowania a siecią. Złącze przekazuje cały ruch, w tym błędy warstwy fizycznej, do urządzenia analizującego, jednocześnie umożliwiając ruchowi dotarcie do zamierzonego miejsca docelowego.




Złącze jednocześnie wysyła zarówno strumień danych transmit (TX) z wewnętrznego routera, jak i strumień danych receive (RX) do wewnętrznego routera na oddzielnych, dedykowanych kanałach. Zapewnia to, że wszystkie dane docierają do urządzenia monitorującego w czasie rzeczywistym. Dlatego wydajność sieci nie jest wpływana ani degradowana przez monitorowanie połączenia.

Złącza są również zazwyczaj odporne na awarie, co oznacza, że jeśli złącze ulegnie awarii lub straci zasilanie, ruch między zaporą ogniową a wewnętrznym routerem nie jest zakłócony.

3. Przełączniki sieciowe segmentują sieć według projektu. Ogranicza to ilość ruchu, który jest widoczny dla urządzeń monitorujących sieć. Ponieważ przechwytywanie danych do monitorowania sieci wymaga przechwycenia całego ruchu, muszą być zastosowane specjalne techniki, aby ominąć segmentację sieci narzuconą przez przełączniki sieciowe. Mirroring portów to jedna z tych technik. Wspierany przez wiele przełączników korporacyjnych, mirroring portów umożliwia przełącznikowi kopiowanie ramek, które są odbierane na jednym lub więcej portach, do portu analizatora przełącznika (SPAN), który jest podłączony do urządzenia analizującego.

Termin SPANOpis
Ruch przychodzący (Ingress traffic)Ruch, który wchodzi do przełącznika.
Ruch wychodzący (Egress traffic)Ruch, który opuszcza przełącznik.
Port źródłowy (SPAN) (Source (SPAN) port)Porty źródłowe są monitorowane, ponieważ ruch wpływający do nich jest replikowany (zwierciadlany) do portów docelowych.
Port docelowy (SPAN) (Destination (SPAN) port)Port, który zwierciadla porty źródłowe. Docelowe porty SPAN często łączą się z urządzeniami analizującymi, takimi jak analizator pakietów lub IDS.

Relacja pomiędzy portami źródłowymi a portem docelowym nazywa się sesją SPAN. W pojedynczej sesji można monitorować jeden lub wiele portów. Na niektórych przełącznikach Cisco ruch sesji może być kopiowany do więcej niż jednego portu docelowego. Alternatywnie można określić źródłowy VLAN, w którym wszystkie porty w źródłowym VLAN stają się źródłami ruchu SPAN. Każda sesja SPAN może mieć porty lub VLANy jako źródła, ale nie oba jednocześnie.

4. Powszechnie używane narzędzia do monitorowania bezpieczeństwa sieci to:

  • Analizatory protokołów sieciowych, takie jak Wireshark i Tcpdump 
  • NetFlow 
  • Systemy zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem (SIEM) 

Analizy bezpieczeństwa często polegają również na plikach dziennika i protokole Simple Network Management Protocol (SNMP) do odkrywania zachowań sieci.

Prawie wszystkie systemy generują pliki dziennika, aby rejestrować i komunikować swoje operacje. Poprzez dokładne monitorowanie plików dziennika, analityk bezpieczeństwa może zgromadzić niezwykle cenne informacje.

SNMP pozwala analitykom na żądanie i otrzymywanie informacji o działaniu urządzeń sieciowych. Jest to kolejne dobre narzędzie do monitorowania zachowania sieci.

5. Analizatory protokołów sieciowych (lub aplikacje “packet sniffer”) są programami używanymi do przechwytywania ruchu. Analizatory protokołów pokazują, co dzieje się w sieci, często za pośrednictwem graficznego interfejsu użytkownika. Analitycy mogą korzystać z tych aplikacji, aby zobaczyć wymianę sieciową aż do poziomu pakietu. Jeśli komputer został zainfekowany złośliwym oprogramowaniem i aktualnie atakuje inne komputery w sieci, analityk może to jasno zobaczyć, przechwytując ruch sieciowy w czasie rzeczywistym i analizując pakiety.

Analizatory protokołów sieciowych są używane nie tylko do analizy bezpieczeństwa. Są również bardzo przydatne do rozwiązywania problemów z siecią, tworzenia oprogramowania i protokołów oraz edukacji. Na przykład, w badaniach nad bezpieczeństwem, analityk bezpieczeństwa może próbować zrekonstruować incydent z odpowiednich przechwytywanych pakietów.

Wireshark to bardzo popularne narzędzie do analizy protokołów sieciowych, które jest używane w środowiskach Windows, Linux i Mac OS. Wireshark to darmowe oprogramowanie, które można pobrać i używać przez każdego. Jest to bardzo przydatne narzędzie do nauki o komunikacji protokołów sieciowych. Umiejętności analizy protokołów sieciowych są niezbędne dla analityków cyberbezpieczeństwa.

Wireshark może również otwierać pliki zawierające przechwycony ruch z innego oprogramowania, takiego jak narzędzie tcpdump. Popularne wśród systemów typu UNIX, takich jak Linux, tcpdump to potężne narzędzie z licznymi opcjami wiersza poleceń. Przykład w wyjściu poleceń pokazuje próbkę przechwytywania tcpdump pakietów ping.

6. NetFlow to technologia Cisco IOS, która dostarcza statystyk 24x7 na temat pakietów, które przepływają przez router Cisco lub wielowarstwowy przełącznik. NetFlow jest standardem do zbierania danych operacyjnych IP w sieciach IP. NetFlow jest teraz obsługiwany na platformach innych niż Cisco. IP Flow Information Export (IPFIX) to wersja NetFlow, która jest standardowym protokołem IETF.

NetFlow może być używany do monitorowania sieci i bezpieczeństwa, planowania sieci i analizy ruchu. Zapewnia on pełny rejestr informacji podstawowych o każdym przekierowanym przepływie IP na urządzeniu. Informacje te obejmują informacje IP o urządzeniu źródłowym i docelowym, czas komunikacji i ilość przesyłanych danych. NetFlow nie przechwytuje rzeczywistej zawartości przepływu. Funkcjonalność NetFlow jest często porównywana do rachunku telefonicznego. Rachunek identyfikuje numer docelowy, czas i czas trwania połączenia. Jednak nie wyświetla on zawartości rozmowy telefonicznej.

7. Zarządzanie zdarzeniami informacji o bezpieczeństwie (SIEM) to technologia stosowana w organizacjach korporacyjnych w celu zapewnienia raportowania w czasie rzeczywistym i długoterminową analizą zdarzeń związanych z bezpieczeństwem.

Urządzenia sieciowe, w tym zapory ogniowe, IPSy, ESA, WSA, routery, przełączniki, serwery i hosty, są skonfigurowane do wysyłania zdarzeń dziennika do oprogramowania SIEM. Oprogramowanie SIEM koreluje miliony zdarzeń za pomocą uczenia maszynowego i specjalnego oprogramowania analitycznego, aby zidentyfikować ruch, który powinien być zbadany.

Systemy SIEM obejmują następujące podstawowe funkcje:

  • Analiza śledcza - Możliwość przeszukiwania dzienników i zapisów zdarzeń ze źródeł na całym przedsiębiorstwie. Zapewnia to bardziej kompleksowe informacje do analizy śledczej. 
  • Korelacja - Badanie dzienników i zdarzeń z różnych systemów lub aplikacji, przyspieszając wykrywanie i reagowanie na zagrożenia bezpieczeństwa. 
  • Agregacja - Agregacja redukuje objętość danych o zdarzeniach poprzez konsolidację zduplikowanych rekordów zdarzeń. 
  • Raportowanie - Raportowanie prezentuje skorelowane i zagregowane dane o zdarzeniach w monitoringu w czasie rzeczywistym i długoterminowych podsumowaniach. 
SIEM dostarcza szczegółów na temat źródła podejrzanej aktywności:
  • Informacje o użytkowniku, takie jak nazwa użytkownika, status uwierzytelnienia, lokalizacja.
  • Informacje o urządzeniu, takie jak producent, model, wersja systemu operacyjnego, adres MAC, metoda połączenia sieciowego i lokalizacja. 
  • Informacje o postawie, takie jak to, czy urządzenie jest zgodne z polityką bezpieczeństwa, ma aktualne pliki antywirusowe i jest zaktualizowane najnowszymi łatkami systemu operacyjnego.
8. Orkiestracja bezpieczeństwa, automatyzacja i reakcja (SOAR) zwiększa SIEM. Pomaga zespołom bezpieczeństwa w badaniu incydentów związanych z bezpieczeństwem i dodaje ulepszony zbór danych oraz szereg funkcji, które pomagają w reakcji na incydenty związane z bezpieczeństwem.

Rozwiązania SOAR:
  • Dostarczają narzędzia do zarządzania przypadkami, które pozwalają personelowi ds. cyberbezpieczeństwa na badanie i śledzenie incydentów, często poprzez integrację z wywiadem dotyczącym zagrożeń z platformą bezpieczeństwa sieciowego. 
  • Wykorzystują sztuczną inteligencję do wykrywania incydentów i pomocy w analizie incydentów i reakcji na nie. 
  • Automatyzują skomplikowane procedury reagowania na incydenty i śledztwa, które są potencjalnie pracochłonnymi zadaniami wykonywanymi przez personel centrum operacji bezpieczeństwa (SOC) poprzez wykonanie książek do wykonania. 
  • Są to podręczniki, które wykonują takie czynności jak dostęp do i analiza odpowiednich danych, podjęcie kroków w celu izolacji skompromitowanych systemów i badanie zagrożeń w celu potwierdzenia alertów i wykonania reakcji na incydent. 
  • Oferują deski rozdzielcze i raporty do dokumentowania reakcji na incydenty w celu poprawy wskaźników efektywności kluczowej dla SOC i mogą znacznie poprawić bezpieczeństwo sieci dla organizacji. S
  • IEM pomaga w alarmowaniu o złośliwej aktywności. 
  • Analitycy będą musieli zareagować na zagrożenie. 
  • SOAR pomaga analitykom reagować na zagrożenie.
Przykładowe systemy SIEM: 
  • SolarWinds 
  • Security Event Manager 
  • Splunk Enterprise Security