Z razvojem interneta stvari in računalništva v oblaku je v poslovna omrežja poleg ljudi povezanih čedalje več različnih naprav. To prinaša nove varnostne izzive, ki jih rešujemo z orodji za zaznavanje in odziv na omrežju (NDR – Network Detection and Response). O tem, kako delujejo te rešitve, smo se pogovarjali s Simonom Žuničem iz podjetja Sfera IT.
Rešitve NDR nenehno spremljajo delovanje omrežja, odkrivajo kibernetske grožnje in nenavadno obnašanje na ravni omrežja. To počnejo z uporabo orodij in tehnik, ki ne temeljijo na podpisih. Na grožnje se odzivajo z integracijo drugih orodij za kibernetsko varnost, kot so sistemi za nadzor dostopa do omrežja (NAC), požarni zidovi ali sistemi za zaščito končnih točk (EDR).
Orodja NDR v omrežju iščejo sumljive in/ali škodljive podatke. Če sistem zazna, da je nekaj narobe, diagnosticira težavo in poskuša ugotoviti, kaj natančno je varnostna grožnja. Na podlagi te diagnoze se uvedejo avtomatizirana opravila, ki pomagajo ublažiti težavo, hkrati pa se o tem opozori IT-ekipa.
Razlika s SIEM in EDR
V čem se orodja NDR razlikujejo od orodij za upravljanje varnostnih dogodkov in tveganj (SIEM) ter rešitev za odkrivanje in odzivanje končnih točk (EDR)? Kot pojasnjuje Simon Žunič, so rešitve SIEM učinkovite pri ustvarjanju poročil o skladnosti in pri zgodnjem odkrivanju, če grožnje kršijo niz vnaprej določenih pravil, definiranih znotraj sistema. V določenih primerih z uporabo strojnega učenja samodejno ustvarjajo pravila in odkrivajo nenavadno vedenje ter ponujajo napredno statistično analizo.
Imajo pa izdelki SIEM tudi pomanjkljivosti. Uporabljajo zgolj podatke iz dnevnikov predhodno definiranih naprav, kar omejuje njihovo vidljivost, prav tako pa nas lahko pustijo ranljive za tako imenovane napade vzhod-zahod (na primer ob prenosu paketov med strežniki znotraj podatkovnega centra). Prav tako jih je težje namestiti, konfigurirati, upravljati in prilagajati, zaradi česar so težko proaktivna rešitev za tekoče varnostne izzive. »Tudi če je SIEM v uporabi, je rešitev NDR glavni del nabora varnostnih orodij,« pojasnjuje sogovornik.
Rešitve EDR pa delujejo kot agenti na končnih točkah in ne vidijo, kaj se dogaja na žici. Naprave IoT, BYOD in v oblaku ponavadi nimajo agenta EDR, zato so potrebne rešitve NDR.
Napredne rešitve omogočajo polno analizo omrežnega prometa
Napredne rešitve NDR temeljijo na analizi omrežnega prometa (NTA) ali pregledu omrežnih komunikacij v realnem času. Določena orodja, kot je Extrahop Reveal, omogočajo tudi polno analizo omrežnega prometa od druge pa vse do sedme (aplikativne) plasti modela povezovanja odprtih sistemov (OSI).
Ti izdelki ponujajo natančnejši vpogled v varnostne dogodke in forenzične dokaze, ki so pregledni, lahko razumljivi in dajejo natančen vpogled v obseg incidentov. To počnejo tako, da analizirajo vsako transakcijo in rekonstruirajo celoten tok vsake komunikacije v omrežju.
Orodja NDR zagotavljajo podatke, ki so potrebni za preiskave in forenzične analize. Informacijski sistemi s podatkovnimi centri namreč potrebujejo informacije, kaj se dogaja v njihovi IT-infrastrukturi.
Prikaz delovanja NDR v praksi
Poglejmo si praktičen primer, ki ponazarja, kako delujejo orodja NDR. VMware je, na primer, razkril varnostne napake, ki imajo resne posledice za okolja, ki uporabljajo strežnik vCenter. Napadalcem je omogočeno izvajanje škodljive kode na neposodobljenih strežnikih vCenter. Take ranljivosti lahko podjetju v kratkem času povzročijo veliko škodo.
Ranljivost strežnika vCenter temelji na napadalcu, ki ima dostop do omrežja prek vrat 443, ki so privzeta vrata in jih vCenter uporablja za poslušanje podatkov svojih odjemalcev. Dokumentacija VMware predpisuje skrbnikom strežnika vCenter, da na požarnih pregradah dovolijo promet na vratih 443, s čimer se zagotovi funkcionalnost vCentra. Napadalci lahko s skeniranjem vrat in omrežja odkrijejo prisotnost strežnikov vCenter, ki so izpostavljeni. Poročali so o primerih takšnega skeniranja iz določenih omrežnih naslovov.
Orodja NDR lahko odkrijejo, ali so strežniki vCenter imeli kakršnokoli komunikacijo s spornimi IP-naslovi, za katere je znano, da iščejo ranljive primerke strežnika vCenter. Če je zaznana kakršnakoli tovrstna komunikacija, je treba blokirati dostop strežnika do interneta.
Z naprednejšimi orodji NDR pa je mogoče natančno opazovati tudi nadaljnje dejavnosti omrežja od in do strežnika vCenter, ki omogoča prestrezanje lateralnih omrežnih aktivnosti, ki bi lahko sledile uspešnemu izkoriščanju ranljivosti strežnika vCenter.