Журнал событий/Консолидация мониторинга

Опубликовано: 11 Апреля, 2023

Сетевая безопасность достигла беспрецедентного уровня видимости в современных корпорациях. Руководители компаний теперь понимают, что для эффективного ведения бизнеса необходимо обеспечить безопасность ваших цифровых активов. Обратите внимание: я не говорю, что большинство организаций хорошо применяют свои методы обеспечения безопасности, а скорее говорю, что они, по крайней мере, сейчас у них есть. Сетевая безопасность, так же как и системное администрирование, — трудная работа, и она не поможет, если обе задачи будут возложены на одного или двух человек. Коммерческие поставщики разработали множество решений для обеспечения безопасности сетей, будь то программное или аппаратное обеспечение или их комбинация.

Инструменты, предлагаемые современным специалистам по сетевой безопасности, разнообразны не только по своему применению, но и по своей способности предоставить вам один из ключевых элементов в вашей ежедневной битве со злоумышленниками-хакерами. Это способность дать вам значимый результат. Что хорошего в брандмауэре, IDS, IPS или чем-то еще, если результат не только загадочен, но и непригоден для использования? У меня был опыт работы с широким спектром решений поставщиков, и я не нашел действительно простого способа связать их вместе осмысленным образом. Вы были бы удивлены, узнав, сколько журналов ведется сегодня в вашей организации, если бы вы действительно подумали об этом.

Хакеры и остатки = веселье в стиле CSI

Чтобы дать нашему журналу событий и консолидации мониторинга некоторый контекст, давайте рассмотрим, как хакер может скомпрометировать вашу сеть, и посмотрим, не оставят ли они какие-либо «остатки». Что я имею в виду под остатками, так это то, были ли какие-либо следы, которые они оставили, пытаясь проникнуть в вашу сеть. Например, они были зарегистрированы одним из ACL ваших маршрутизаторов (список управления доступом), как только они пересекли ваш пограничный маршрутизатор. Записывал ли брандмауэр за маршрутизатором что-нибудь интересное об этом злоумышленнике? Что можно сказать о IDS, которые вы подключили к порту span вашего главного коммутатора? Список можно продолжить в зависимости от схемы вашей сети и необходимости обеспечения безопасности.

Что ж, с учетом приведенного выше абзаца давайте проследим типичную атаку, которую можно увидеть в сегодняшней корпоративной сетевой среде. Наш сомнительный хакер сканирует ваш сетевой блок и выбирает определенный IP-адрес для дальнейшего изучения. Теперь, когда он имеет в виду конкретный IP-адрес, они решают «осветить» вашу сеть, просканировав определенную серию портов. Сюда могут входить все обычные жертвы;

TCP-порт 21 FTP
TCP-порт 22 SSH
TCP-порт 25 SMTP
TCP/UDP порт 53 DNS
TCP-порт 80
UDP-порт 161
TCP-порт 443 SSL

Также видно с точки зрения хакеров.

Изображение 25669
фигура 1

С отмеченным выше списком служб в своем любимом сканере портов, вероятно, nmap, злонамеренный хакер исследует вашу сеть. В зависимости от защиты вашей сети, это сканирование, инициированное хакером, должно было быть зарегистрировано. Возможно, это не так уж сильно выделяется само по себе, но, тем не менее, это должно было быть запротоколировано. Что, если хакер решит выполнить так называемое «низкое и медленное» сканирование? Вы спросите, что такое «низкий и медленный»? Ну, «низкое и медленное» сканирование — это когда хакер исследует вашу сеть всего с парой пакетов в день в течение недели или недель. Одно из преимуществ такого сканирования заключается в том, что хакер с гораздо меньшей вероятностью выделится в ваших журналах. Это если вы не выполняете мониторинг и консолидацию журнала событий. Впрочем, об этом позже.

Как насчет выхода других моих устройств?

Есть не только брандмауэр и маршрутизатор, на которые нужно смотреть с точки зрения зарегистрированных событий. Одним из лучших для просмотра является система обнаружения вторжений. Это особенно верно, если вы потратили время на правильную настройку самого устройства. Все системы обнаружения вторжений склонны к ложным срабатываниям, как и любая система. Что вы можете сделать со временем, так это отключить оповещения для служб, которых у вас нет, а также точно настроить те, которые вы должны были включить. Также было бы разумно написать себе несколько выходных фильтров. Таким образом, хотя вы можете и не поймать хакера на пути, вы вполне можете увидеть его действия, такие как отправка ему обратного командного интерпретатора.

В дополнение к устройствам безопасности есть возможности ведения журнала устройств управления вашим сетевым администрированием, таких как, например, ваш PDC, BDC или контроллер Active Directory. Эти системы сами будут регистрировать изрядное количество интересных данных. Это факт, который может подтвердить почти каждый системный администратор. Подобно необработанным данным, таким как пакеты, для меня не менее важна информация, предоставляемая системному администратору через средство просмотра событий, как показано ниже.

Изображение 25670
фигура 2

Вы можете довольно внимательно следить за тем, что происходит в вашей внутренней сети, используя средство просмотра событий, как показано выше. Информация, показанная выше, затем может быть дополнительно сопоставлена с выходными данными других устройств, как указано в параграфах выше. Таким образом, вы получите гораздо более полную картину того, что происходит в вашей сети. Что было бы неплохо, так это иметь средства интеграции всех этих различных выходов в одну центральную консоль.

Укрепление

На протяжении всей статьи мы видели, что существует огромное количество выходных данных, генерируемых различными устройствами в вашей сети. Проблема в том, что довольно сложно, почти невозможно, собрать их всех в одном месте одновременно. Я видел различные предложения от поставщиков, которые будут связывать некоторые из ваших сетевых устройств безопасности в красивой среде, управляемой графическим интерфейсом. Возможность быстро и легко увидеть, что происходит, является ключевым фактором, помогающим защитить ваши сетевые активы.

Если вы сможете связать воедино все эти выходные данные, чтобы иметь возможность отслеживать хакеров, когда они пытаются проникнуть в вашу сеть. Вы также сможете обнаружить те «низкие и медленные» сканирования, о которых я упоминал ранее. Хотя такое скрытое сканирование может не выдержать однодневного трафика, оно будет выделяться при агрегировании трафика за месяц. Одной из ключевых тем, которую мы продолжаем видеть здесь, является необходимость в идеальном случае иметь выходные журналы всех этих устройств сетевой безопасности в одном месте. Подобно тому, как капитан корабля получает всю информацию от окружающих, вы, в свою очередь, будете получать всю информацию от удаленных устройств.

Заворачивать

Нет никаких сомнений в том, что наличие быстрого и легкого доступа к журналам с ваших устройств безопасности имеет ключевое значение. Это тем более верно, когда у вас есть вся эта информация в одном месте. После этого вы сможете принимать обоснованные решения на основе анализа, относящегося к вашей сети. Часто, когда информация берется без контекста, ее трудно использовать. С другой стороны, когда вы можете сопоставить это с информацией, вы можете увидеть, что это такое; золотая жила данных, зарегистрированных вашими устройствами безопасности. Мой вам совет: сделайте все возможное, чтобы объединить все журналы в один центральный репозиторий. Я уверен, что это очень хорошо окупится для вас. На этой ноте я закончу статью и, как всегда, буду рада вашим отзывам. До следующего раза!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023