28 июля 2021
PT NAD
Обзор, основные возможности,
сценарии применения, начало работы
сценарии применения, начало работы
Содержание статьи
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
В данной статье мы рассмотрим основные возможности и назначение системы глубокого анализа трафика PT NAD от компании Positive Technologies: сценарии ее применения, первые шаги после установки этого продукта, а также немного затронем основной функционал.
Аналитическое агентство Gartner включило решения класса NTA (Network Traffic Analyzer) вместе с EDR и SIEM в тройку средств, необходимых для построения SOC (Security Operation Center). Пионером NTA на отечественном рынке стала компания Positive Technologies с их системой глубокого анализа трафика, которая называется Network Attack Discovery.
Решение PT NAD выявляет атаки не только на периметре сети, но и во внутреннем трафике. По модели OSI эта система работает от канального уровня L2 до уровня приложений L7. Для функционирования системы достаточно зеркалированной копии трафика (в том числе, поддерживается шифрованный трафик), поэтому производительность сети не страдает при анализе. При этом, если использовать трафик как из внешней, так и из внутренней сети, то можно выявлять активность киберпреступников на разных этапах развития атаки.
Аналитическое агентство Gartner включило решения класса NTA (Network Traffic Analyzer) вместе с EDR и SIEM в тройку средств, необходимых для построения SOC (Security Operation Center). Пионером NTA на отечественном рынке стала компания Positive Technologies с их системой глубокого анализа трафика, которая называется Network Attack Discovery.
Решение PT NAD выявляет атаки не только на периметре сети, но и во внутреннем трафике. По модели OSI эта система работает от канального уровня L2 до уровня приложений L7. Для функционирования системы достаточно зеркалированной копии трафика (в том числе, поддерживается шифрованный трафик), поэтому производительность сети не страдает при анализе. При этом, если использовать трафик как из внешней, так и из внутренней сети, то можно выявлять активность киберпреступников на разных этапах развития атаки.
PT NAD способен выявлять:
- Угрозы в зашифрованном трафике. Глубокая аналитика позволяет PT NAD с высокой точностью детектировать скрытые под TLS или кастомным протоколом вредоносные программы.
- Горизонтальное перемещение злоумышленника. PT NAD обнаруживает попытки расширения присутствия злоумышленников в инфраструктуре, детектируя их действия: разведку, удаленное выполнение команд, атаки на Active Directory и Kerberos.
- Хакерский инструментарий. Экспертный центр PT расследует сложные атаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD, которые выявляют применение всех популярных хакерских инструментов.
- Эксплуатацию уязвимостей в сети. Собственная база уязвимостей постоянно пополняется информацией о новых уязвимостях, в том числе о тех, которые еще не попали в базу данных CVE. Это позволяет PT NAD оперативно выявлять попытки их эксплуатации.
- Активность вредоносного ПО. PT NAD выявляет вирусное ПО по его сетевой активности. Это важно для локализации угрозы, поскольку вредоносное ПО легко сделать незаметным для антивирусных систем, но скрыть его сетевую активность труднее.
- Признаки атак, не обнаруженных ранее. Как только база знаний PT NAD пополняется данными о новых киберугрозах, выполняется ретроспективный анализ трафика. Это позволяет максимально быстро обнаружить скрытое присутствие злоумышленника.
- Сокрытие активности от средств защиты. PT NAD детектирует DNS-, HTTP-, SMTP- и ICMP-туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты.
- Автоматически сгенерированные домены. С помощью технологии машинного обучения PT NAD распознает доменные имена, созданные при помощи алгоритмов генерации доменов (DGA). Это помогает выявить вредоносное ПО, которое использует подобные домены для поддержания связи с командным сервером.
- Нарушения регламентов ИБ. PT NAD помогает отслеживать словарные пароли, передачу учетных данных в незашифрованном виде, использование VPN-туннелей, Tor, утилит для удаленного доступа, прокси, мессенджеров — всего того, что, как правило, запрещено политиками ИБ в крупных компаниях.
Основные сценарии применения:
- Контроль соблюдения регламентов ИБ
- Обнаружение атак внутри инфраструктуры и на периметре сети
- Расследование атак
- Охота на киберугрозы и уязвимости (threat hunting)
Подробнее про каждый из сценариев:
Контроль соблюдения регламентов ИБ
Разбирая сетевые протоколы, PT NAD видит ошибки конфигурации устройств, передачу паролей в незашифрованном виде, применение инструментов сокрытия активности (Tor, VPN) и утилит для удалённого доступа — в крупных компаниях всё это часто запрещено внутренними политиками ИБ. Подобные нарушения упрощают задачу хакеров. Перехватив пароли пользователей и используя RAT, они могут быстро развить атаку, не вызывая подозрений у систем защиты.
Обнаружение атак внутри инфраструктуры и на периметре сети
PT NAD обнаруживает атаки с помощью технологии машинного обучения, глубокого анализа содержимого пакетов, ретроспективного анализа, собственных правил детектирования и индикаторов компрометации.
Технология машинного обучения в PT NAD выявляет соединения с автоматически сгенерированными доменами (DGA-доменами). Злоумышленники используют их для обхода систем защиты, которые полагаются на репутационные списки: усовершенствованные вредоносные программы генерируют доменные имена командных серверов динамически с помощью специальных алгоритмов. PT NAD распознаёт соединения с DGA-доменами, которые свидетельствуют об активности вредоносных программ в сети. Правила и индикаторы еженедельно поставляются в продукт специалистами экспертного центра безопасности Positive Technologies. Ключевая информация об атаках отображается на панели мониторинга («дашборде»).
Расследование атак
Чтобы дать возможность «раскрутить» цепочку атаки, понять, что предшествовало подозрительному событию, PT NAD хранит данные о сетевых взаимодействиях. Можно фильтровать их по 1200 параметрам и изучать подробности событий в прошлом. Для ещё более детального анализа PT NAD сохраняет записи «сырого» трафика, который можно выгружать в формате PCAP и включать в состав доказательной базы.
Охота на киберугрозы и уязвимости (threat hunting)
Данные о сетевых взаимодействиях — полезный источник данных для проактивного поиска угроз, которые не обнаруживаются традиционными средствами безопасности. Оператор системы может проверять гипотезы о присутствии хакеров по трафику, выявлять скрытые угрозы и таким образом предотвращать развитие атаки.
Все перечисленные возможности анализа сетевого трафика требуют от администратора предварительной настройки конфигураций после установки PT NAD. Далее предлагаю посмотреть параметры, необходимые системе перед началом работы.
Чтобы дать возможность «раскрутить» цепочку атаки, понять, что предшествовало подозрительному событию, PT NAD хранит данные о сетевых взаимодействиях. Можно фильтровать их по 1200 параметрам и изучать подробности событий в прошлом. Для ещё более детального анализа PT NAD сохраняет записи «сырого» трафика, который можно выгружать в формате PCAP и включать в состав доказательной базы.
Охота на киберугрозы и уязвимости (threat hunting)
Данные о сетевых взаимодействиях — полезный источник данных для проактивного поиска угроз, которые не обнаруживаются традиционными средствами безопасности. Оператор системы может проверять гипотезы о присутствии хакеров по трафику, выявлять скрытые угрозы и таким образом предотвращать развитие атаки.
Все перечисленные возможности анализа сетевого трафика требуют от администратора предварительной настройки конфигураций после установки PT NAD. Далее предлагаю посмотреть параметры, необходимые системе перед началом работы.
После установки PT NAD необходимо:
0. Указать интерфейс, с которого необходимо захватывать трафик в NAD (можно несколько). В PT NAD могут использоваться 3 различных механизма захвата трафика: AF_PACKET, PF_RING и DPDK (одновременно может использоваться только один из них). Выбор конкретного механизма будет зависеть от версии продукта и скорости захватываемого трафика, алгоритм выбора следующий: если скорость трафика меньше 1 ГБит/с, то выбираем AF_PACKET, иначе следует выбрать PF_RING. Если версия PT NAD старше 10.1, на замену PF_RING выбираем новый механизм DPDK. Стоит уточнить, что если скорость трафика больше 1 ГБит/с, но сетевая карта не поддерживает ни PF_RING, ни DPDK, то следует поменять аппаратную конфигурацию.
В данной статье приводится пример настройки для механизма AF_PACKET. Чтобы это сделать, необходимо подключиться к устройству, на котором установлен продукт, открыть файл /opt/ptsecurity/etc/ptdpi.settings.yaml, найти в нем строку capture_if: и после двоеточия ввести название интерфейса, с которого необходимо захватывать трафик. Если интерфейсов несколько, они указывается в той же строке через пробелы и без знаков препинания.
В данной статье приводится пример настройки для механизма AF_PACKET. Чтобы это сделать, необходимо подключиться к устройству, на котором установлен продукт, открыть файл /opt/ptsecurity/etc/ptdpi.settings.yaml, найти в нем строку capture_if: и после двоеточия ввести название интерфейса, с которого необходимо захватывать трафик. Если интерфейсов несколько, они указывается в той же строке через пробелы и без знаков препинания.
На данный момент существует только такой способ выбора интерфейса, но в будущем планируется упрощение процесса выбора через командную строку.
1. Сменить стандартный пароль входа
После установки продукта вход в систему осуществляется через любой браузер. В адресной строке браузера необходимо ввести IP-адрес устройства, на который установлен PT NAD и перейти. По умолчанию на вход в веб-интерфейс стоят стандартные логин и пароль для первого входа, но после этого настоятельно рекомендуется изменить пароль. Сделать это можно на вкладке Пользователь -> Смена пароля
1. Сменить стандартный пароль входа
После установки продукта вход в систему осуществляется через любой браузер. В адресной строке браузера необходимо ввести IP-адрес устройства, на который установлен PT NAD и перейти. По умолчанию на вход в веб-интерфейс стоят стандартные логин и пароль для первого входа, но после этого настоятельно рекомендуется изменить пароль. Сделать это можно на вкладке Пользователь -> Смена пароля
2. Проверить автообновление базы знаний и то, что загружена их свежая версия. Для этого необходимо нажать кнопку Администрирование —> Центр управления и проверить, что во вкладке Базы знаний включено автообновление правил и репутационных списков; также в этой вкладке можно посмотреть версию и дату выпуска последнего загруженного пакета правил.
3. Прописать DC сервера. Это необходио сделать потому, что есть группа правил от Positive Technologies, которые не могут работать без указания контроллеров домена (в интерфейсе они отображаются как правила с ошибками). Также следует прописать "домашние" сети, чтобы в сработках правильно отображались группы хостов (Домашняя сеть - компьютеры, которые находятся во внутренней сети организации; Внешняя сеть - компьютеры из внешней сети; DC сервера - контроллеры домена). Для того, чтобы это сделать, необходимо нажать кнопку Администрирование —> Группы узлов и портов и ввести соответствующие адреса и сети в строках, без знаков препинания и через пробелы.
Для более глубокой настройки так же есть возможность прописать http, smtp sql, telnet и другие типы серверов, а также некоторые типы конечных устройств, например, мобильные. В новой версии разработчики Positive Technologies добавят новый функционал, и данная настройка будет выполняться автоматически на основе данных захватываемого трафика.
4. Прописать доверенные домены, чтобы не было ложных срабатываний DGA доменов. Делается это через меню Администрирование —> DGA-домены. В поле Доверенные домены необходимо вписать домены, которым можно доверять, и нажать кнопку Сохранить.
4. Прописать доверенные домены, чтобы не было ложных срабатываний DGA доменов. Делается это через меню Администрирование —> DGA-домены. В поле Доверенные домены необходимо вписать домены, которым можно доверять, и нажать кнопку Сохранить.
Начало работы
После авторизации в веб-интерфейсе пользователь попадает на главную страницу с дашбордами. Здесь можно увидеть наглядную статистику по захваченному трафику, просмотреть соотношение прикладных протоколов, карточку атак и еще много чего. Список доступных дашбордов ограничен, однако пользователь сам может создавать "доску" с необходимыми ему.
Продукт имеет неплохой функционал, что называется, "из коробки": сразу после заведения трафика в интерфейсе можно посмотреть, например, учетные записи в открытом виде. Сделать это можно с помощью дашбордов "Логины по числу сессий" и "Пары "Логин-пароль" по числу сессий", причем, как следует из названия, во втором дашборде можно увидеть пароли от учетных данных, которые есть в сети.
Также из коробки работает функционал обнаружения атак на основе правил, написанных экспертами Positive Technologies, посмотреть их сработки можно на вкладке Атаки. Это работает неплохо, но для более правильного отображения в конкретной компании потребуется коррекция сработок и дополнительная настройка продукта.
Далее поговорим про основной функционал продукта и пройдемся по интерфейсу. В самом верху страницы располагается полоска с доступными вкладками (Дашборды, Сессии, Атаки, Сетевые связи, Узлы и Лента активностей), чуть ниже - шкала активности трафика за прошедшее время. С ее помощью можно выбирать период, за который необходимо отобразить трафик. Сразу под ней располагается строка для ввода фильтров, по которым можно выбрать отдельные сессии. На фильтрах подробно останавливаться не будем, это тема для отдельной статьи.
Далее поговорим про основной функционал продукта и пройдемся по интерфейсу. В самом верху страницы располагается полоска с доступными вкладками (Дашборды, Сессии, Атаки, Сетевые связи, Узлы и Лента активностей), чуть ниже - шкала активности трафика за прошедшее время. С ее помощью можно выбирать период, за который необходимо отобразить трафик. Сразу под ней располагается строка для ввода фильтров, по которым можно выбрать отдельные сессии. На фильтрах подробно останавливаться не будем, это тема для отдельной статьи.
Перейдя на вкладку Сессии, пользователь получит список всех сессий за выбранный период, в каждую из них можно "провалиться" и посмотреть по ней подробности, такие, как, например, ip-адреса, порты и домены участников сессии, дата и время ее начала и окончания, а также протоколы, по которым происходило данное соединение. Ещё на этой вкладке можно увидеть сводную статистику по трафику: сколько было отправлено, сколько получено, общий объем, а также среднюю скорость трафика.
На вкладке Атаки можно увидеть обнаруженные продуктом атаки на основе базы знания Positive Technologies. Есть возможность добавления собственных правил, в продукте поддерживается синтаксис Suricata.
Следующая вкладка - Сетевые связи - отображает интерактивный граф, который показывает связи всех хостов сети. Узлы можно перетаскивать мышкой, сам граф масштабируется, так что пользователь имеет возможность максимально удобно и наглядно расположить топологию сети.
Вкладки Узлы и Лента активностей были добавлены в начале 2021 года. Перейдя на первую из них, пользователь попадает на страницу со списком всех узлов сети, информацией о группе каждого узла, его адрес, установленная ОС, типы входящего и исходящего трафика, а также информация, когда был обнаружен узел и дата и время последней активности.
Вторая же вкладка - Лента активностей - собирает в одном месте список выявленных угроз, объединяет сообщения об аналогичных активностях в одно и дает возможность управлять ими. Можно отметить устранение проблемы или больше не отслеживать подобную активность. В актуальной на момент написания статьи версии продукта в Ленте появляются уведомления об использовании словарных паролей, о неизвестных DHCP серверах, которые могут быть поддельными, а также уведомления о сработках пользовательских фильтров трафика, но разработчики обещают добавить намного больше типов уведомлений в новых версиях продукта.
Выводы
Системы класса NTA могут быть крайне полезными для решения целого ряда задач информационной безопасности: от контроля выполнения регламентов до проведения расследований инцидентов. Сценарии использования NTA-систем гораздо шире по сравнению с другими системами, анализирующими трафик. Применяя решения данного класса, подразделения ИБ могут выявить атаки не только на периметре, но и внутри сети, отследить ошибки сетевой безопасности, расследовать инциденты и охотиться за угрозами.
В настоящее время сегмент NTA-решений развивается. На мировом рынке представлены уже десятки продуктов для поиска угроз в сети и реагирования на них. Российский рынок NTA на данный момент пока находится на стадии развития, но на нём уже есть высокотехнологичные решения, и к ним очень быстро растет интерес. Внедрение PT NAD в IT-инфраструктуры делает возможным своевременное выявление кибератак и эффективное расследование инцидентов ИБ, а так же позволяет существенно повысить защищенность критически важных систем от атак со стороны внешнего и внутреннего нарушителя.
В настоящее время сегмент NTA-решений развивается. На мировом рынке представлены уже десятки продуктов для поиска угроз в сети и реагирования на них. Российский рынок NTA на данный момент пока находится на стадии развития, но на нём уже есть высокотехнологичные решения, и к ним очень быстро растет интерес. Внедрение PT NAD в IT-инфраструктуры делает возможным своевременное выявление кибератак и эффективное расследование инцидентов ИБ, а так же позволяет существенно повысить защищенность критически важных систем от атак со стороны внешнего и внутреннего нарушителя.