Rețelele au evoluat mult de la începuturile lor și au devenit sisteme destul de complicate care cuprind numeroase dispozitive de rețea, protocoale și aplicații diferite. În consecință, este practic imposibil să aveți o imagine de ansamblu completă a ceea ce se întâmplă în rețea sau dacă totul din rețea funcționează așa cum ar trebui. În cele din urmă, vor apărea și vă veți confrunta cu probleme de rețea. Indiferent de modul în care apar aceste probleme de rețea, este necesar să le eliminați cât mai repede posibil și, în mod ideal, să preveniți repetarea acestora în viitor. Există diferite tipuri de software în acest scop, inclusiv antivirus, firewall și IDS. Dar înainte ca o problemă să poată fi eliminată, aceasta trebuie detectată, indiferent de modul în care a apărut.

Ce este o anomalie de rețea?

Problemele din rețelele de calculatoare sunt detectate ca anomalii de trafic pe care le cauzează. În general, o anomalie este ceva care contravine așteptărilor. De exemplu, un switch deteriorat poate crea trafic neașteptat în altă parte a rețelei sau noi coduri de eroare încep să apară atunci când un serviciu este oprit. Depanarea rețelei are ca scop eliminarea acestor anomalii de rețea.
Prima metodă de clasificare a anomaliilor se bazează pe felul în care acestea diferă de comunicarea obișnuită. Anomaliile pot varia fie în funcție de tipul de date transferate (comportamentale), de cantitatea de date transferate (în funcție de volum), fie de ambele criterii. Un alt mod de clasificare a anomaliilor este în funcție de cauza lor:

  1. Eroare non-umană – de exemplu, defectarea echipamentului sau comunicarea radio întreruptă de vreme;
  2. Eroare umană – de exemplu, întreruperea serviciului de rețea cauzată de configurarea greșită sau de un cablu de rețea deconectat accidental;
  3. Activitate umană dăunătoare – de exemplu, un atac din interior, în cazul în care un angajat nemulțumit al companiei deteriorează imprimanta de rețea, sau un atac extern, în care un adversar încearcă să dezactiveze rețeaua provocând daune și afectând reputația organizației.

Ce este un sistem de detectare a anomaliilor?

Detectarea anomaliilor necesită monitorizare și analiză constantă a valorilor de rețea selectate. Sistemul de detectare a anomaliilor acoperă diverse scenarii, iar atunci când este detectat ceva neașteptat și analiza evaluează acest lucru ca o anomalie, acesta poate fi raportat administratorului de rețea.

Există două categorii principale de monitorizare care permit detectarea anomaliilor:

  1. Monitorizare pasivă a rețelei – Rețeaua include „senzori” care primesc date din rețea și le evaluează. Aceste date pot fi destinate fie direct senzorilor (de exemplu, evenimente trimise prin protocolul SNMP), fie pot fi o copie a traficului de producție, care are loc în rețea, indiferent dacă senzorul este conectat sau nu.
  2. Monitorizare activă a rețelei – Rețelele pot conține, de asemenea, senzori ca în monitorizarea pasivă, dar acești senzori generează trafic suplimentar, pe care îl trimit prin rețea. Cu ajutorul acestui trafic, este posibil să se determine în mod regulat disponibilitatea sau parametrii generali ai serviciilor testate, a conexiunilor de rețea și a dispozitivelor.

La ce folosește detectarea anomaliilor?

  • Detectarea de ransomware – detectarea se face prin căutarea unei semnături a fișierului executabil
  • Detectarea atacurilor DDoS – prin compararea cantității de trafic curent cu cantitatea estimată, atacul poate fi detectat în timp real
  • Urmărirea de botneți – cu o listă de servere cunoscute de comandă și control al botneților, este posibilă detectarea conexiunilor cu aceste servere
  • Detectarea atacurilor dicționar – prin numărarea numărului de încercări de conectare și compararea numărului cu valorile pragului, este posibil să se detecteze încercările de a pirata un cont
  • Detectarea eroare a conexiunii – aceasta poate fi identificată prin detectarea cantității crescute de conexiuni pe legătura de backup
  • Detectarea configurării incorecte a aplicației – aceasta poate fi detectată printr-o cantitate crescută de coduri de eroare în cadrul conexiunilor unei aplicații
  • Detectarea supraîncărcării serverului – prin detectarea unei scăderi a calității experienței, este posibil să se detecteze servicii sau servere de suprasarcină
  • Detectarea comportamentului suspect al dispozitivelor – prin crearea de profiluri de comportament și verificarea dacă unele dispozitive se comportă în afara profilurilor create, este posibilă detectarea activității suspecte

Kemp Flowmon ADS 11.3

Kemp Flowmon ADS (Anomaly Detection System) este o soluție de securitate a rețelei alimentată de un motor de detectare inteligent conceput pentru a completa instrumentele de securitate tradiționale. El acoperă decalajul dintre protecția perimetrală și cea a dispozitivelor individuale, acolo unde adesea atacatorii stau la pândă. Spre deosebire de soluțiile convenționale bazate pe detectarea statistică, acesta folosește algoritmi de analiză a comportamentului pentru a detecta anomalii ascunse în traficul de rețea. Acești algoritmi pot dezvălui comportamente rău intenționate, atacuri împotriva aplicațiilor critice pentru operațiunile companiei, breșe de date și un spectru de indicatori de compromis. Noua versiune Kemp Flowmon ADS 11.3 îmbunătățește înțelegerea contextuală prin cunoașterea încorporată a tacticii și tehnicilor adversarilor descrise în cadrul MITRE ATT&CK.

Ce este MITER ATT&CK?

MITRE ATT&CK este o bază de date de cunoștințe despre tactici și tehnici utilizate de adversari pentru a efectua atacuri cibernetice. Acesta descrie întregul ciclu de viață al breșelor de la etapele inițiale de obținere a accesului până la activități rău intenționate, care provoacă daune mediului victimei. Cadrul ATT&CK face distincție între tactici și tehnici. Tactica este un termen mai larg care se referă la etapele unui atac care descrie cât de mult a avansat adversarul în mediul țintă. Tacticile urmează într-o secvență care copiază mai mult sau mai puțin comportamentul obișnuit al atacatorilor în rețea. Fiecare tactică conține mai multe tehnici. Acestea descriu acțiunile specifice pe care adversarul le efectuează pentru a avansa atacul.

Ce însemnătate are pentru ADS?

Kemp Flowmon ADS 11.3 atribuie acum categorii ATT&CK evenimentelor detectate pentru a vă oferi o înțelegere a ceea ce ar putea însemna evenimentul. Pur și simplu, sistemul stabilește o relație între o anomalie discretă care a apărut în rețeaua dvs. și informații despre mișcările adversare observate la nivel global. Categoria ATT&CK corespunzătoare apare apoi în detaliile evenimentului, precum și în lista evenimentelor detectate. Această capacitate vă oferă posibilitatea de a cunoaște în mod comprehensiv situația și vă permite să evaluați rapid stadiul unei breșe, scopul său și să anticipați următoarea mișcare a adversarului.

Cum sunt alocate categoriile ATT&CK?

Kemp Flowmon ADS efectuează o analiză contextuală a evenimentului și determină ce categorie se potrivește cel mai mult sau dacă sunt mai multe categorii care întrunesc caracteristicile. Acest proces trebuie să țină cont de mai mulți factori diferiți pentru a atribui corect categoria, deoarece un eveniment poate indica mai multe tactici sau tehnici diferite. Tacticile sau tehnica atribuite se pot schimba, de asemenea, în timp, în funcție de evoluția evenimentului pe măsură ce intră date noi.

Unde se pot vizualiza categoriile?

Îmbunătățirile versiunii 11.3 se pot identifica pe tabloul de bord, rapoarte, evenimente și filtrare. Tabloul de bord este locul unde vă orientați spre o imagine de ansamblu la nivel înalt a stării de securitate a sistemului. Un nou widget este disponibil în această nouă versiune pentru a vă oferi un raport rapid asupra performanței infrastructurii în termeni MITRE ATT&CK, arătând tacticile individuale ale adversarului cu numărul și lista completă a evenimentelor corespunzătoare prezentate mai jos.

Figura 1 – Widget tablou de bord MITRE ATT&CK

Lista „Events” prezintă o nouă opțiune de vizualizare care permite gruparea evenimentelor după apartenența lor la o tactică ATT&CK. Această modalitate de vizualizare servește pentru a oferi o imagine mai detaliată asupra tehnicilor care au fost utilizate în acea etapă, facilitând o mai bună evaluare a ceea ce atacatorul încearcă să realizeze. Ambele – widget-ul la nivel înalt și grupurile de evenimente în funcție de tactici – sunt, de asemenea, disponibile ca noi capitole în rapoarte. În cele din urmă, filtrarea evenimentelor prin tehnica MITRE ATT&CK este acum acceptată. Prin urmare, dacă utilizați cadrul în fluxul de lucru pentru analiza incidentelor, acest lucru va simplifica și va accelera foarte mult investigația.

Figura 2 – Evenimente grupate tehnica MITRE ATT&CK

Alte elemente noi

În plus, versiunea ADS 11.3 îmbunătățește, de asemenea, definiția regulilor pentru identificările fals pozitive pentru a face sistemul mai ajustabil. Acum puteți defini timpul de detectare împreună cu un filtru sau adresă țintă, ceea ce vă permite să evitați identificările fals pozitive în situații care vă sunt cunoscute și care au loc la un anumit moment al zilei, cum ar fi copiile de rezervă.

Kemp Flowmon ADS 11.3 reprezintă un pas evolutiv major spre investigarea anomaliilor funcție de context. Și acesta este un lucru remarcabil, deoarece conștientizarea contextului este esențială pentru înțelegerea corectă a evenimentelor și o atenuare eficientă.

Soluția Kemp Flowmon ADS 11.3 este disponibilă prin ASBIS Romania, iar pentru informații suplimentare puteți accesa www.asbis.com