3 примера использования NTA систем

• Что такое NTA-системы
• Кому нужны NTA решения
• Сетевой комплаенс
• Пример NTA №1
• Пример NTA №2
• Анализ трафика и выявление атак на периметре и внутри сети.
• Пример NTA №1
• Пример NTA №2
• Расследование атак злоумышленников
• Пример обнаружения и анализа инцидента в системе
• Заключение

Системы анализа трафика NTA

Системы мониторинга и анализа сетевого трафика (Network Traffic Analysis, NTA) выявляют угрозы информационной безопасности, исследуя события на уровне сети. Они позволяют обнаружить присутствие злоумышленников на ранней стадии атаки, оперативно локализовать угрозы и контролировать соблюдение регламентов ИБ. В этой статье мы расскажем про три самых популярных случая, когда без NTA-системы не обойтись.

Кому нужны NTA-системы

В инфраструктуру каждой второй компании можно проникнуть всего за один шаг. При этом, когда злоумышленники попадают во внутреннюю сеть, все их действия становятся незаметными для периметровых средств защиты. Получив такой доступ к системе, можно очень долго избегать обнаружения и оставаться невидимкой. Рекорд, зафиксированный специалистами PT Expert Security Center, составил более 8 лет.

Чтобы не дать развить атаку внутри инфраструктуры, важно отслеживать безопасность сети. В этом помогает сигнатурный анализ трафика с помощью NTA-систем.

Три ключевых отличия NTA от других решений, работающих с трафиком:

1. Анализ трафика и на периметре, и в инфраструктуре. Другие системы, работающие с трафиком (IDS/IPS, межсетевые экраны), в отличии от NTA, стоят только на периметре, не внутри. Поэтому, когда злоумышленники проникают в сеть, их действия становятся незаметными.
2. Выявление атак с помощью комбинации способов. Машинное обучение, поведенческие факторы, правила детектирования, индикаторы компрометации, ретроспективный анализ позволяют обнаруживать атаки и на ранних стадиях, и когда злоумышленник уже проник в инфраструктуру.
3. Применение NTA помогает в обнаружении и расследовании инцидентов и в threat hunting, проактивном поиске сетевых угроз, которые не обнаруживаются традиционными средствами анализа безопасности siem-систем. NTA-системы хранят информацию о сетевых взаимодействиях, а некоторые из них - еще и запись сырого трафика. Такие данные становятся полезными источниками знаний при анализе и раскрутке цепочки сетевой атаки и ее локализации, а также при проверке гипотез в рамках threat hunting.

Первый сценарий NTA: сетевой комплаенс

В 9 из 10 организаций, независимо от их размера и сферы деятельности, пароли передаются по сети в открытом виде, встречаются ошибки конфигурирования сети, используются утилиты для удаленного доступа к файлам и инструменты сокрытия активности. Все это серьезно увеличивает шансы на взлом и развитие сетевой атаки. PT NAD позволяет провести анализ и выявлять нарушения регламентов системы безопасности сети.

По результатам пилотных внедрений NTA в системы за 2020-й год, одно из часто выявляемых нарушений регламентов ИБ ― использование ПО для удаленного доступа к системе. В большинстве компаний (59%) применяется TeamViewer, в 21% компаний ― Ammyy Admin. Также были замечены LightManager, Remote Manipulator System (RMS), Dameware Remote Control (DWRC), AnyDesk и другие.

Почти в половине компаний, которые используют ПО для удаленного доступа, установлено одновременно несколько разных локальных программ. Так, например, в одной известной государственной организации было выявлено сразу пять решений: Ammy Admin, RMS, AeroAdmin, LiteManager, TeamViewer.

69% компаний используют устаревшие протоколы LLMNR и NetBios и не используют последние версии. Пояление этого недостатка технической конфигурации позволяет использовать для перехвата значений NetNTLMv2 challenge-response, передаваемых по сети, и дальнейшего подбора учетных данных.

Переход компаний на удаленную работу в первую очередь повлиял на активность сетевого трафика ― выросла доля подключений во внешнюю сеть по протоколу удаленного доступа RDP: в 2019 году она составляла 3%, в 2020 году - достигла 18%. Очевидно, что такие подозрительные подключения нужно тщательно контролировать иначе количество инцидентов в системе возрастает.

Пример №1

Подключение к файловым серверам с раскрытием учетных данных:

С помощью фильтра в PT NAD можно настроить виджет, где будут отображаться все открытые пароли:

Пример №2

PT NAD позволяет своевременно реагировать и выявлять такие инциденты, как нарушение комплаенса со стороны пользователей. Рассмотрим на примере.

В ленте активностей появилось уведомление об использовании словарных паролей. С помощью информации об узле оператор PT NAD находит пользователя и обращается к нему с требованием сменить пароль на более надежный.

После этого оператор указывает в карточке активности, что проблема была решена.

Второй сценарий: выявление атак на периметре и внутри сети.

Встроенные глубокая аналитика, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ позволяют PT NAD определять атаки как на самых ранних стадиях, так и когда злоумышленник уже проник в инфраструктуру.

Пример №1

В одной промышленной организации PT NAD обнаружил подключение по RDP к внешнему ресурсу, содержащему облачное хранилище. В его адрес по протоколам RDP и HTTPS в общей сложности было передано 23ГБ данных. Злоумышленники применили технику T1071 ― использование протоколов прикладного уровня по классификации MITRE ATT&CK. Ее суть заключается в том, что нарушители или вредоносное ПО осуществляют скрытную передачу украденных данных на подконтрольные серверы, используя основные распространенные протоколы прикладного уровня.

Пример №3

Сбор информации о доменных учетных записях - на рисунке изображено получение информации об административных учетных записях по протоколу LDAP.

Третий сценарий: расследование атак с NTA

PT NAD - это обязательный инструмент для ИБ-специалиста, который занимается расследованием инцидентов, выявляет и анализирует подозрительные действия. Решение сохраняет копии всего сетевого трафика, в том числе данные, от которых злоумышленники впоследствии избавляются, пытаясь скрыть следы своего пребывания, для дальнейшего анализа. Также правила обнаружения угроз безопасности и индикаторов уязвимостей компрометации совершенствуются, но изменения вступают в силу лишь на текущий момент, а что делать с сетевыми атаками, которые произошли намного раньше? Обнаружить такую ативность сложнее и из этого обстоятельства вытекает необходимость проверки трафика не только в режиме реального времени, но и в виде ретроспективного анализа, учитывающего новую информацию. Сохранение копий трафика в базе позволяет провести детальное расследование инцидента и обнаружить действия злоумышленника даже для тех событий, которые произошли раньше.

Пример

Рассмотрим пример расследования атаки. PT NAD уведомил о неуспешной попытке авторизации в контроллере домена с учетной записи, не имеющей достаточного объема прав.

После проверки сетевой активности узла выявлено, что ранее с него уже было предпринято несколько попыток подключений на другие хосты во внерабочее время.

С помощью ИТ-службы безопасности учетка была выявлена и заблокирована. Началось детальное расследование с командой PT ESC.

Заключение

В связи с переходом многих компаний на удаленную работу стало намного проще проникать в корпоративную инфраструктуру. Использование решений периметровых средств защиты систем уже недостаточно для обнаружения и выявления инцидентов системы. Необходимо постоянно мониторить трафик и то, управлять тем что происходит внутри сети и, оперативно выявлять и реагировать на вторжения злоумышленников в сеть путем реализации необходимых NTA-решений.

Проверить, что происходит в вашей сети, можно заказав бесплатный пилот: https://positivetech.softline.com/solution/pt-network-attack-discovery

Компания Softline является авторизованным партнером по продукту PT Network Attack Discovery и всегда будет рада помочь с проведением пилотного проекта, обзором и внедрением класса NTA-решений.