Сетевая безопасность: что такое NTA? И почему IDS + DPI + запись трафика ≠ NTA

Статья будет полезна специалистам по информационной безопасности, инженерам сетевой безопасности, аналитикам и IT-руководителям, которые хотят глубже разобраться в различных технологиях обнаружения и предотвращения угроз. Кроме того, статья будет интересна тем, кто изучает современные подходы к киберзащите и планирует внедрять NDR.

Поговорим о предпосылках появления класса решений, о том, что было предпринято для решения проблем систем IPS/IDS, как NTA стали новой ступенью эволюции в анализе трафика, разберем основные заблуждения и попробуем заглянуть в будущее.

Когда я разбирался с классом продуктов NTA (Network Traffic Analysis), я не нашел ни одной статьи, которая бы конкретно описывала, каким требованиям обязательно должен соответствовать продукт и какие задачи решать, чтобы относится к NTA, а также чем суть отличий этого класса решений от IDS/NGIDS.

Начнем с базовых определений: IPS (Intrusion Prevention System) – система предотвращения вторжений. IDS (Intrusion Detection System) – система обнаружения вторжений, приставкой NG обозначается следующее поколение, Next Generation системы.

Ранее IPS/IDS представляли собой отдельный класс систем, в составе которых есть несколько сенсоров, расположенных в различных сетевых сегментах. Такой подход обнаружения и предотвращения атак изжил себя. Сейчас эти две функции – неотъемлемый базовый компонент любого NGFW (межсетевой экран следующего поколения, Next Generation Firewall). Отличие заключается только в выборе типа работы: prevent или detect.

Выделим основные недостатки IPS, которые привели к вырождению этих решений как отдельного класса:

• большое количество ложных срабатываний и неспособность противостоять zero-day угрозам;

• высокая стоимость из-за необходимости размещения большого количества сенсоров;

• дополнительные затраты на сопровождение всей инфраструктуры IPS;

• значительные вложения в настройку, связанные со спецификой сигнатур и эвристики.

Стоит отдельно остановиться на негативных особенностях сигнатур, которые привели к прекращению развития IPS/IDS как отдельного класса решений:

• неэффективность против zero-day атак и APT;

• ложноположительные срабатывания. Они неизбежны для сигнатурного метода, так как постоянно появляются новые паттерны трафика, разрабатываются новые сетевые приложения, меняется инфраструктура и программное обеспечение. Если на момент написания правила детектировались исключительно попытки реальных атак, через некоторое время появляются новые легитимные приложения и системы, которые использовать трафик, способный приводить к детектированию сигнатуры;

• для детектирования новой атаки требуется время, чтобы эмулировать ее в лаборатории и написать сигнатуры IDS, а также впоследствии оперативно обновить на локальной инсталляции сенсора. В течении этого времени IDS не может детектировать новые атаки, а инфраструктура находится под угрозой.

В качестве попытки решения проблем классических IPS/IDS-систем, их функциональность была улучшена в новом классе – Next Generation IPS/IDS.

Next Generation IPS/IDS в зависимости от вендора мог иметь следующий набор возможностей:

• DPI – глубокий разбор пакетов, детектирование протоколов различных приложений;

• SSL Decryption – проверка сигнатурами зашифрованного трафика;

• TI feeds – потоки данных с индикаторами компрометации (IP адреса, имена хостов, URL и хэш-суммы вредоносных файлов, и так далее);

• перехват файлов и передача их на анализ в песочницу;

• автоматическое применение сигнатур на основании инвентаризации инфраструктуры;

• интеграция с агентами Endpoint Protection;

• статистические модели с поддержкой машинного обучения.

Next Generation IPS/IDS представляли Сisco (SourceFire), McAfee, Trend Micro, Fire Eye и другие вендоры.

Например, вендор Tipping Point, впоследствии поглощенный Trend Micro, был одним из лидеров квадранта Gartner Intrusion detection and prevention systems в 2018 году. Для продукта TippingPoint Threat Protection System он зявлял следующую функциональность: «TPS применяет статистические модели, разработанные с использованием методов машинного обучения». Описание показывает, что машинное обучение – здесь не столько инструмент, сколько маркетинговый ход, а детектирование производится через статистические модели.

В квадранте Gartner Intrusion detection and prevention systems 2018 в качестве визионера присутствовал вендор Vectra AI (ранее Vectra Networks) с продуктом Cognito, который позднее стал активным представителем класса продуктов NTA и NDR.

Комментируя выход отчета Gartner, Vectra AI заявили следующее:

Cognito использует искусственный интеллект (ИИ) для непрерывного автоматизированного поиска угроз с помощью постоянно обучающихся поведенческих моделей, чтобы быстро и эффективно находить скрытых и неизвестных злоумышленников, прежде чем они нанесут ущерб.

То есть уже в 2018 году определенные продукты предлагали подход, основанный на использовании машинного обучения и детектирования аномалий поведения, но на тот момент не существовало общепринятой классификации такого подхода.

Резюмируя, можно сказать, что NGIPS поддерживал различные дополнительные технологии безопасности, но основополагающими все равно оставались сигнатуры уже известных угроз, и использование большого количества сенсоров в разных сегментах сети.

Такой подход не решал главную проблему – детектирование неизвестных атак и уязвимостей.

Недостатки NGIPS/IDS и изменившийся ландшафт угроз привели к тому, что вендоры, занимавшиеся сетевой безопасностью и мониторингом сетевой производительности (NPMD – network performance monitoring and diagnostics), стали дорабатывать свои продукты, не основвываясь на сигнатурах известных атак и уязвимостей.

В 2017 году Gartner выпустил отчет Gartner Top Technologies for Security in 2017, в котором фигурировал новый класс продуктов Network Traffic Analysis, NTA. В отчете было дано следующее определение:

NTA – это подход, основанный на мониторинге сетевого трафика, потоков, соединений и объектов в поисках вредоносных (malicious) намерений.

NTA выявляет, отслеживает и сортирует соответствующие события.

В качестве обоснования появления NTA, Deception и других классов продуктов указывалось:

Руководители служб безопасности и управления рисками должны оценивать и использовать новейшие технологии для защиты от продвинутых атак, более эффективного осуществления цифровой трансформации бизнеса и внедрения новых стилей вычислений, таких как облака, мобильность и DevOps.

В 2019 Gartner опубликовал Market Guide for Network Traffic Analysis, в котором более точно дал определение этому классу продуктов и указал требования для соответствия ему.

C точки зрения Gartner, NTA имеет следующее определение:

NTA использует комбинацию машинного обучения, расширенной аналитики и обнаружения на основе правил для детектирования подозрительной активности в корпоративных сетях. NTA непрерывно анализируют сырой трафик и/или данные сетевой телеметрии (например, NetFlow) для построения моделей, отражающих нормальное поведение сети (baseline). Когда системы NTA детектируют аномальный трафик, они направляют оповещения. Также требуется определять направление сетевого трафика или сетевой телеметрии из интернета в сеть организации (north/south) и сетевое взаимодействие через внутренние подсети (east/west).

Критерии Gartner для включения в класс NTA, согласно Market Guide for Network Traffic Analysis 2019:

• анализ сетевого трафика или телеметрии в реальном или близком к реальному времени;

• отслеживание и анализ трафика направлений – north/south traffic (при пересечении периметра) и east/west traffic (горизонтальное перемещение внутри сети);

• акцент на фазе обнаружения угроз больше, чем только на данных сетевого трафика для расследования атаки (например, PCAP – анализа захвата пакетов);

• построение профилей нормального трафика и детектирование аномалий;

• использование технологий поведенческого анализа (несигнатурных технологий, не использующих для детекта базу известных атак), таких как машинное обучение или продвинутая аналитика для детектирования аномалий.

Какие системы не могут считаться NTA, согласно Market Guide for Network Traffic Analysis 2019 Gartner:

• системы, которые требует обязательного использования дополнительных СЗИ – например, для детектирования аномалий дополнительно требуются SIEM, NGFW, веб-прокси, агенты на конечных хостах и другое;

• системы, которые работают на основе анализа логов;

• системы, которые в первую очередь используют правила, сигнатуры или репутационные списки для обнаружения аномалий;

• системы, которые основаны на аналитике активности сеансов пользователя – например, технологии UEBA;

• системы, которые сосредоточены на анализе трафика в среде интернета вещей (IoT) или промышленных технологий (OT).

Описанные требования позволяют сделать вывод, что системы класса NTA, благодаря поддержке технологий детектирования сетевых отклонений от нормального поведения, позволяют закрыть уязвимые места NGIPS.

Здесь также можно увидеть аналогичный тренд с точки зрения защиты хостов. Возможностей Endpoint Protection не хватало для защиты от zero-day атак, поэтому появились как решения класса EDR (Endpoint Detection and Response), опирающиеся на несигнатурные методы выявления атак на хостах, так и песочницы (Sandbox) для безопасной проверки сценариев поведения подозрительных файлов. Именно детектирование аномалий на базе сетевого трафика позволяет NTA выявлять zero-day угрозы без использования известного payload. Использование технологий детектирования сетевых отклонений от нормального поведения в NTA не исключает возможность использования сигнатур IDS и TI feeds.

Несколько примеров детектирования аномалий в системах класса NTA:

• туннели DNS, SSH и другие;

• связь с командными центрами (C&C) злоумышленников;

• передача учетных данных в открытом виде или их кража;

• эксфильтрация чувствительных данных в зашифрованном канале;

• взлом учетных данных;

• медленные сканирования;

• признаки горизонтального перемещения вредоносного ПО (malware) в сети.

NTA может работать только в пассивном режиме, на копии трафика или сетевой телеметрии, исключая точку отказа. Работа в пассивном режиме позволяет снизить стоимость внедрения через централизованный анализ копии всего трафика или телеметрии и использование значительно меньшего количества сенсоров.

За NTA ошибочно принимается использование ограниченного функционала NGFW на основе модулей IDS и DPI совместно с системой записи трафика. Такая схема не решает главную задачу – детектирование тех угроз, которых нет в базе сетевых атак или в репутационных списках.

Таким образом, именно технологии создания профилей (baseline – нормального поведения и детектирование отклонений от них) в отличие от детектирования по базе известных сетевых атак IDS и репутации IP/хостов на основе сетевого трафика обуславливают более высокую стоимость лицензии за 1Гбит/c для NTA.

При этом, с точки зрения внедрения, NTA дешевле, потому что можно поставить один сенсор, например, сразу на всю сеть или на весь филиал, если позволяет канал передачи данных.

NTA был лишь промежуточным шагом и на сегодняшний день уже перешел в устаревший класс продуктов для анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой обычно подразумевается другая функциональность – модулей IDS и DPI совместно с системой записи трафика. Направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR.

В отличие от системы NTA, которая ориентирована на обнаружение угроз на основе поведенческого анализа сетевого трафика, NDR добавляет возможности автоматизированного реагирования и управления инцидентами. Переход на NDR позволяет организациям быстрее реагировать на угрозы, улучшать координацию между безопасностью сети и конечных точек, а также предоставляет инструменты для углубленного расследования и сокращения времени устранения последствий инцидента. В следующей статье я расскажу об особенностях NDR и о том, как именно эта технология помогает эффективнее защищать корпоративную сеть.