Bezpieczeństwo pracy zdalnej
Co zyskasz monitorując sieć firmową?
(09.06.2020)

— Paweł Deyk —
Firma EXATEL od wielu lat zajmuje się zarówno dostarczaniem wysokiej jakości usług telekomunikacyjnych, jak i zapewnianiem bezpieczeństwa sieci naszych klientów. Jakość i stabilność naszych usług mamy zapisane w naszym DNA. Naszymi klientami są organizacje z wielu istotnych dla gospodarki sektorów, m.in. z sektora energetycznego, bankowego, jak również operatorzy telekomunikacyjni. Zawsze staramy się by nasi klienci czuli się bezpiecznie, biorąc usługi od zaufanego partnera.

— Klaudyna Busza-Kujawska —
Flowmon Networks choć jest firmą czeską, to działa na rynku międzynarodowym i ma klientów w ponad czterdziestu krajach na świecie. System Flowmon jest na rynku od 2007 roku i dostarcza możliwość wglądu i monitoringu tego, co dzieje się wewnątrz sieci firmowej, w sieci LAN i WAN i w komunikacji sieciowej. Z jednej strony oferujemy narzędzia dedykowane działom sieciowym, które pozwalają na diagnostykę i monitoring wydajności sieci i aplikacji, a z drugiej strony wykonujemy analizę behawioralną tych danych, w związku z czym wykrywamy wszelkie nieprawidłowości, anomalie, niepożądane zachowania. Są to zagadnienia istotne z punktu widzenia działów bezpieczeństwa, w związku z czym można powiedzieć, że tak naprawdę dostarczamy rozwiązania, które realizują wspólny cel obu tych światów, jako zapewnienie prawidłowo działającej, wysoko dostępnej i bezpiecznej infrastruktury sieciowej.

06:16
— Paweł Deyk —
Można powiedzieć, że nasze firmy mają podobne cele, tak więc dobrze nam się razem współpracuje. Przejdźmy do tego, co jest głównym zagadnieniem cyklu naszych webinarów, czyli do przejścia z pracy biurowej do pracy zdalnej. Zaczynając od tego jak wyglądała sytuacja przed pandemią – większość użytkowników w naszej firmie korzystała z zasobów lokalnych poprzez sieć LAN. Były to oczywiście jakieś serwery aplikacyjne (serwery bazodanowe), bardzo często mieliśmy też dedykowane łącza do naszego Data Center. Wszystko działo się w obrębie naszej sieci i właśnie pod taki ruch było przygotowane całe nasze środowisko pracy. Oczywiście część połączeń wychodziła również do Internetu, ale to wszystko mniej więcej rozkładało się podobnie. Ogłoszenie pandemii zmieniło trochę całe środowisko. Większość pracowników została zmuszona do pracy łącząc się z Internetu (bo pracowali w bardzo różnych lokalizacjach), w związku z czym musieliśmy przejść na tryb awaryjny, którym najczęściej był tzw. home office. Co się zmieniło? Po pierwsze cały wolumen ruchu w sieci wewnętrznej mocno spadł (w tym zakresie od komputerów użytkowników). Natomiast żeby dostać się do zasobów lokalnych, użytkownicy Internetu muszą wykorzystywać VPN, czyli wirtualną sieć prywatną, co powoduje znaczące obciążenie urządzeń, które takie sesje [VPN] zestawiają. Nie ważne czy użytkownik chce się połączyć do zasobów Data Center, do wewnętrznych serwerów, czy też do Internetu – za każdym razem musi przejść przez jeden punkt styku w naszej sieci, który jest zwyczajnie bardzo obciążony. Pojawiają się więc różne problemy związane typowo z wydajnością sieci. Pierwszy problem, to bardzo duża liczba zdalnych użytkowników w stosunku do użytkowników lokalnych (wcześniejsza proporcja była odwrotna).

09:45
— Klaudyna Busza-Kujawska —
Drugi problem, który jest związany z przeniesieniem się użytkowników do pracy zdalnej, to obciążenie koncentratora VPN. Tu nie tylko chodzi o ilość sesji, które macie Państwo zagwarantowane w swoich licencjach VPN, ale również o ilość ruchu sieciowego jaka jest możliwa do analizy, do przepuszczenia dla każdego użytkownika. Mogą się tutaj pojawić problemy związane z tym, jak dużo mamy jednoczesnych użytkowników połączonych przez VPN i zależy też od tego, jaki rodzaj ruchu i jak duże obciążenie ci użytkownicy generują, bo oczywiście to nie będzie identyczne dla każdego z nich. Pojawia się tu więc problem z analizą komunikacji każdego użytkownika i weryfikacji czy wszyscy mają tak samo dobre i wydajne połączenie do sieci.

— Paweł Deyk —
Kolejną istotnym aspektem jest to, że nowa sytuacja wymusiła nowe konfiguracje sieci. Pojawiły się często nowe urządzenia, które potrzebowały dostępu. Pojawiły się być może jakieś zmiany w samej konfiguracji sieci, w związku z czym jest duża szansa, że pojawiło się też sporo problemów z niepoprawną konfiguracją. Wszystko to było realizowane w dużym pośpiechu, żeby nie przerywać standardowego trybu pracy firmy.

— Klaudyna Busza-Kujawska —
Pojawiły się też nowe – choć niekonieczne nowe na rynku – narzędzia pracy. Zmienił się sposób prowadzenia spotkań i organizacji różnych konferencji. Wszystko przeniosło się na narzędzia typowo wideokonferencyjne. W związku z tym, że pomimo że te narzędzia są od bardzo dawna na rynku, to teraz znamy już chyba wszystkie. Znamy już narzędzia, które są potrzebne do łączenia się i prowadzenia konferencji online, współdzielenia pulpitu czy przekazywania kontroli. W inny sposób użytkownicy – również wewnątrz firmy – zaczęli organizować swoje spotkania, które wcześniej odbywały się na miejscu, w sali konferencyjnej. To też oznacza, że z jednej strony zmienił nam się rodzaj ruchu. Doszła nowa komunikacja, którą warto by było też zweryfikować – na ile jest to wydajne połączenie. Jeżeli posiadacie Państwo własne systemy do wideokonferencji, to warto byłoby zweryfikować ich wydajność, czy radzą sobie one na pewno ze wszystkimi spotkaniami organizowanymi wewnątrz firmy.

— Paweł Deyk —
Wydajność warto też mierzyć dla naszych systemów biznesowych, czy to wewnętrznych czy aplikacji webowych, które są krytyczne w dzisiejszym biznesie i co do tego nie ma żadnych wątpliwości. Trzeba mierzyć tę wydajność czy użytkownicy mogą bez problemu z nich korzystać, czy nie ma jakichś problemów z siecią czy z samą aplikacją. Warto na to zwrócić uwagę, ponieważ jest to częsty problem. Zmienia się dotychczasowy model ruchu i mogą się pojawić problemy, których do tej pory nie było.

14:07
— Klaudyna Busza-Kujawska —
Jeszcze jednym wyzwaniem związanym ze zmianami, które nastąpiły w komunikacji sieciowej, są odpowiednio dobrane i przemyślane zakupy w celu chociażby zmian narzędzi związanych z połączeniem VPN, czy też poszerzeniem łącza internetowego. Istotna jest weryfikacja. Jeżeli już Państwo zrobiliście jakieś zakupy, bo dużo firm wykonało na samym początku różne zamówienia i zmiany wewnątrz sieci, to warto jest zweryfikować, jak się to ma do obecnej sytuacji i czy jeżeli będziemy w podobnej sytuacji w przyszłości, jeżeli będzie się zmieniała ilość komunikacji w sieci, będą się zmieniały aplikacje i dochodzili nowi użytkownicy, to czy nadal będziemy mieli wystarczające zasoby. W którymś momencie powinniśmy zaplanować odpowiedni rozwój tych narzędzi, które już teraz posiadamy.

— Paweł Deyk —
Ważne, żeby wiedzieć co się dzieje w naszej sieci, również, jeżeli chodzi o aktywność pracowników i nie mówię tu o jakimś wielkim systemie nadzoru, ale kwestia jest chociażby tego, że sami pracownicy mogą chcieć wiedzieć, jak sobie radzą w nowych warunkach, czy są w stanie spełniać wszystkie wymagania, które stawia im pracodawca. Wiele osób zapewne nie miało do czynienia wcześniej z pracą poza biurem, więc warto monitorować jak ta praca wygląda i warto też zastanowić się, co na podstawie tych informacji można zmienić. Część pracowników może mniej wydajnie pracować bez wsparcia i kontaktu z szefem. Warto mieć też na uwadze to, jak ci pracownicy dostosowują się do nowych warunków. Istotnym zagadnieniem jest także wykorzystanie sprzętu firmowego do celów niezgodnych z polityką firmy. Wydaje mi się, że gdy bierzemy sprzęt do domu, to dużo częściej odczuwamy wewnętrzną pokusę, żeby wykorzystywać ten sprzęt do jakiejś rozrywki. Co więcej, może być też tak, że nie jesteśmy przystosowani organizacyjnie do tego, żeby weryfikować jakość i czas pracy naszych użytkowników. Oczywiście odnosi się to też do tych pracowników, którzy się przepracowują i szef powinien surowo na nich spojrzeć i wysłać na odpoczynek. Ciężko w dzisiejszych czasach oddzielić pracę od czasu wolnego, więc myślę, że to też może być przydatne narzędzie. Kolejna sprawa to wykorzystywanie sprzętu prywatnego do celów służbowych. W wielu przypadkach nie udało się tego inaczej zorganizować i konieczne jest korzystanie ze sprzętu prywatnego do połączenia się z zasobami firmy. Kolejna grupa zagadnień o których warto wspomnieć, to monitorowanie nietypowych zachowań użytkowników. Po pierwsze jesteśmy w nowym środowisku, więc jesteśmy częściej rozkojarzeni i popełniamy błędy, których byśmy nie popełnili, odwiedzając różne strony internetowe. Cyberprzestępcy zwiększyli swoją aktywność w czasie pandemii, jesteśmy więc narażeni wyjątkowo mocno w ostatnim czasie na różnego rodzaju kampanie phishingowe czy złośliwe oprogramowanie. Warto zwiększyć czujność i pomocne do tego mogą okazać się narzędzia, które pokazują administratorom aktywność podejrzaną czy anomalie. Warto mieć również na uwadze, że nasze sieci domowe nie są tak dobrze zabezpieczone jak sieci korporacyjne. Zwyczajnie nie jesteśmy w stanie zapewnić takiego poziomu, więc administratorzy muszą uważniej patrzeć na to jak wyglądają połączenia od użytkowników domowych. I jeszcze jedna, dość ogólna zasada – warto uzupełniać działanie systemów opartych na sygnaturach (firewalle, IPSy, antywirusy), które nie są w stanie wychwycić wszystkich nowych zagrożeń. Bazują tylko na tym co jest już znane, więc warto uzupełniać swoje narzędzia o rozwiązania, które nie bazują na sygnaturach.

21:00
— Klaudyna Busza-Kujawska —
Do tej pory Paweł przedstawił jakie są problemy i wyzwania związane z przeniesieniem się użytkowników głównie na pracę zdalną. Co w tym przypadku zrobić? Przede wszystkim rzeczywiście monitorować to, jak wygląda komunikacja użytkowników zdalnych do różnych zasobów wewnętrznych firmy. Jeżeli już mamy taki zainfekowany host domowy, który łączy się przez VPN do sieci, to od razu ma wejście do tego, co znajduje się wewnątrz (urządzenia, serwery), więc jest tu też możliwy ewentualny rekonesans czy przeniesienie się i infekowanie kolejnych urządzeń. Istotne jest więc monitorowanie tego co dzieje się wewnątrz sieci. Jeżeli chcemy wykorzystać Flowmona właśnie do monitorowania sieci wewnętrznej, to podstawowym elementem będzie kolektor (Flowmon Collector), który zbiera i przechowuje dane. Jest to centralny punkt, do którego mają dostęp administratorzy i w którym mają narzędzia do analizy danych i raportowania. Jeżeli mówimy o zbieraniu informacji, to, jeżeli posiadacie Państwo w swojej sieci urządzenia typu routery, firewalle i inne urządzenia, które są w stanie generować flowy i dostarczać je za pomocą jakiegoś protokołu NetFlow, JFlow, sFlow, do kolektora, to tak naprawdę ta informacja wystarczy nam, żeby dowiedzieć się jaki adres IP z jakim adresem, po jakich portach, ile danych wysłał i jaka zachodziła komunikacja. Jeżeli chcielibyśmy natomiast uzyskać informacje odnośnie wydajności sieci – czyli czasu zestawienia połączenia, retransmisji, ilości pakietów retransmitowanych, czasu odpowiedzi serwera, opóźnienia sieci – to do tego już potrzebna jest sonda. Sonda jest osobnym urządzeniem, które zbiera pakiety, analizuje je, przetwarza i wysyła do kolektora, natomiast w związku z tym, że sonda potrzebuje widzieć pakiety, żeby móc wykonać tę analizę, zazwyczaj podłączamy ją do SPAN/Mirror portu i poza tą analizą wydajności sieci, dokłada też dodatkowe informacje z warstwy siódmej. Wówczas uzyskujecie Państwo dużo dodatkowych elementów. Zarówno kolektor jak i sonda mogą być sprzętami fizycznymi, jak również maszynami wirtualnymi, w zależności od tego jak chcemy je wykorzystać. Być może pomyśleliście Państwo, że gdy interesuje Państwa wydajność sieci, to będą Państwo potrzebowali mnóstwa takich sond porozstawianych w różnych punktach. Niekoniecznie. Tak naprawdę często jest to tylko jedna sonda bądź dwie, jeżeli np. mamy dwa Data Center, tylko ustawione w odpowiednim miejscu. Proszę się więc nie przerażać dodatkowymi sprzętami, ponieważ jest to ewentualnie jeden kolektor, jedna-dwie sondy, czasami więcej, ale to zależy od architektury sieci. Pozostałe elementy Flowmona, to już moduły funkcjonalne, które instaluje się na kolektorze. Sprzętowo więc są to te dwa urządzenia, a reszta to moduły doinstalowywane i licencyjnie uruchamiane na kolektorze, w zależności od tego czy potrzebujemy dodatkowo analizy aplikacji, nagrywania pakietów czy może analizy behawioralnej, a więc właśnie wykrywania anomalii, czy jeszcze dodatkowo moduł wykrywający ataki wolumetryczne. Moduł Monitoring Center, jest modułem wbudowanym, więc każdy kto posiada kolektor wirtualny albo hardware’owy, będzie miał ten moduł, bez potrzeby żadnych dodatkowych licencji.

— Paweł Deyk —
Moduł ten służy przede wszystkim do wizualizacji zbieranych danych, za pomocą różnego rodzaju wizualizacji – wykresów, tabel, statystyk dla konkretnych użytkowników. Jest spory zestaw predefiniowanych widoków dostępnych bez jakiegoś dodatkowego elementu konfiguracyjnego. Można też oczywiście definiować własne profile, alarmy i progi, przy których wyświetlą się statystyki albo alarmy. Drugi istotny moduł, to Flowmon Anomaly Detection System (ADS), który służy do wykrywania anomalii. Mówimy tu o różnych anomaliach, którymi są m.in. konkretne ataki, takie jak skanowanie portów czy ataki słownikowe, anomalie w ruchu (nieprawidłowości z protokołami DNS, DHCP itp.) czy też anomalie związane z bezpieczeństwem sieci (tutaj wykrywana jest komunikacja do stron ze złośliwym oprogramowaniem, które są znane). Dodatkowo możemy monitorować ruch do niepożądanych aplikacji. Domyślnie możemy mówić tu o komunikacji z wykorzystaniem sieci TOR, P2P czy pobieraniu torrentów. Można oczywiście tych definicji dodać więcej.

28:37
— Klaudyna Busza-Kujawska —
Jest to system, który bazuje na analizie behawioralnej, czyli analizie zachowania urządzeń w sieci. Istotne jest to o tyle, że jest to uzupełnienie wszystkich narzędzi sygnaturowych, które analizują pakiety. Wystarczy, że będą Państwo posiadali flowy z urządzeń sieciowych, switchy, routerów. Sonda nie jest konieczna, ale jest dodatkowym, przydatnym narzędziem, choć nie jest wymagana do analizy behawioralnej. Wystarczy, że uruchomią Państwo wysyłanie flowów z waszych urządzeń sieciowych, posiadacie kolektor z ADS, wówczas będziecie mieli Państwo wykonywaną analizę zachowania urządzeń wewnątrz sieci, a więc uzupełnienie narzędzi, które zapewne Państwo posiadacie: firewalli, IPSu czy antywirusów.

— Paweł Deyk —
Prócz tych anomalii, można też wykryć wszelkiego rodzaju problemy typu opóźnienia czy przerwane aktualizacje. Jest to również istotne dla codziennej pracy. Jako ważny element z punktu widzenia administratorów bezpieczeństwa, to wszystkie z tych wydarzeń, które zostały wykryte, mogą zasilać nasz system SIEM i możemy je eksportować bez większego problemu. Jest to o tyle ważne, żeby móc korelować te zdarzenia, chociażby z systemami sygnaturowymi. Co daje nam monitorowanie sieci wewnętrznej? Przede wszystkim musimy mieć pewność, że nasza sieć działa i jest wydajna. Musimy wiedzieć o tym, że poprawnie i wydajnie są wykorzystywane zasoby sieciowe i aplikacyjne. Musimy też wiedzieć jak wykrywać niepożądaną działalność naszych urządzeń i mieć możliwość szybkiej diagnostyki. Potrzebujemy również monitorowania do stabilnej pracy naszej firmy i optymalizacji kosztów. Możemy nagle zakupić wiele rozwiązań, które wydają się dzisiaj niezbędne, a w momencie, kiedy pracownicy wrócą do biura, może się okazać, że był to zakup nadmierny. Podsumowując: istotne jest, aby monitorować naszą sieć regularnie z wykorzystaniem nowych narzędzi.

32:12 DEMO:
— Paweł Deyk —
Opowiemy trochę jak ten system wygląda w praktyce. Na początku mamy Dashboard, który jest modułem, pomagającym przede wszystkim w szybkim wyświetlaniu najważniejszych informacji, które administrator potrzebuje mieć na wyciągnięcie ręki. Możemy tutaj ustawić sobie konkretne widgety, które będą nam się wyświetlały w tym widoku.

— Klaudyna Busza-Kujawska —
Zanim przejdziesz do widoków, to chciałabym powiedzieć, że każdy użytkownik może mieć własny zestaw takich zakładek i wykresów, zarówno wykresów komunikacji w czasie jak i innych zestawień. Widok jest odświeżany co pięć minut, więc mają tu Państwo zawsze aktualne dane, do których można przejść dalej, zagłębić się w analizę. Dashboard jest natomiast głównym rzutem, na którym widzimy najważniejsze rzeczy. Bardzo łatwo można przerzucać widoki pomiędzy zakresem czasu. Możemy oglądać, jak to wyglądało w ciągu ostatniej godziny, ale również zakres tygodniowy, miesięczny itd. Jest to więc wygodne narzędzie do porównania jak było i jak jest w tym momencie.

— Paweł Deyk —
Oczywiście dla każdego z widoków, można zagłębić się w bardziej szczegółowy widok, klikając w „more info”. Możemy, tak jak już Klaudyna wspomniała, bardzo szybko przełączać sobie z jakiego zakresu chcemy monitorować statystyki. Co więcej możemy pokazywać je w ujęciu ruchu nie tylko w megabitach na sekundę, ale również pakietów i flowów. Dla każdego z takich pięciominutowych okienek czasowych możemy wyświetlić statystyki szczegółowe, natomiast cały wykres rysuje się z uzupełnieniem wszystkich statystyk, które sobie zaznaczymy poniżej dla wszystkich kanałów. Te widoki możemy oczywiście przeskalować i zmieniać zakres, jeżeli chcemy się szczegółowo przyjrzeć któremuś z elementów.

— Klaudyna Busza-Kujawska —
Jest to widok przygotowany na komunikację wyjściową i wejściową, z Internetu i do Internetu firmy, oraz użytkowników łączących się przez VPN – ile oni generują ruchu, ile ruchu do nich dochodzi. Ta konfiguracja nie jest wbudowana, bo w każdej firmie będzie inna definicja ruchu VPN, inny zakres adresacji. W związku z tym jest to widok, który może każdy z Państwa sam przygotować. Równie dobrze można przygotować widoki związane z Państwa infrastrukturą krytyczną czy jakimiś krytycznymi serwerami. Jeżeli posiadamy sondę, to metryki wydajności będą rysowane niezależnie. Jeżeli mamy włączone wszystkie kanały ruchu, wtedy mamy uśrednioną wartość. Jeżeli wybierzemy tylko, np. tylko VPN out, to otrzymamy tylko wartości pomiarowe związane właśnie z tym elementem komunikacji, który właśnie analizujemy.

— Paweł Deyk —
Dodatkowo, jeżeli chcemy sobie ograniczyć widok dla konkretnego adresu IP, podsieci bądź też zdefiniować jakieś dodatkowe warunki, możemy użyć tutaj filtru grup, które po prostu przeliczą jeszcze raz te wyniki, uwzględniając warunki, które zawarte są w tym polu. Z ciekawszych rzeczy na tym dashboardzie, które właśnie w czasie pracy zdalnej mogą się przydać, jest również wykres związany z liczbą aktywnych urządzeń w czasie. Jest to szybki podgląd, natomiast można też sobie rozwinąć informacje na temat aktywnych urządzeń. Możemy sobie wyświetlić np. informacje o tym jakich systemów operacyjnych używają nasi użytkownicy i wykryć takie, które nie są dopuszczalne w naszej firmie, a z jakiegoś powodu się pojawiają (możemy więc podejrzewać, że są to urządzenia prywatne). Tak samo, jeśli chodzi o producentów sprzętu – jest to informacja na podstawie MAC adresów). Można wyświetlić listę najbardziej popularnych producentów sprzętu w naszej sieci. Oczywiście jeżeli mamy politykę firmową, że wszystkie laptopy firmowe są danego producenta, a pojawią się zupełnie inne, to tak samo możemy podejrzewać, że jest to jakieś urządzenie prywatne. Dopowiem jeszcze, że ten wykres, który Paweł pokazywał z ilością użytkowników jednoczesnych w czasie, może być definiowany na różne sposoby. Możecie to Państwo weryfikować w ilości aktywnych MAC adresów (jak to się rozkładało w czasie), ale możecie też obserwować ilość adresów IP, która jest wykorzystywana z określeniem konkretnej podsieci. To też może się przydać do tego, aby weryfikować jak mocno nasza pula DHCP, którą mamy przygotowaną na jakąś konkretną podsieć, jak mocno jest ona wysycona, czy jeszcze mamy tam zapas czy nie. Dodatkowo też ten wykres może być przygotowany dla uwierzytelnionych użytkowników. Informacja o uwierzytelnionych użytkownikach musi być osobno dostarczona do systemu Flowmon bo tych danych nie ma ani we flowach, ani w pakietach. Nie mamy tam User ID, tylko adresy IP i MAC, w związku z czym, jeżeli te dane są dostarczone z takiego systemu, który uwierzytelnia użytkowników: AD (Active Directory), ISE (Identity Services Engine), RADIUS, wówczas poza adresem IP, będziemy mieli również User ID i informację o tym (nawet z weryfikacją), jak zmieniały się adresy IP dla konkretnego użytkownika.

— Paweł Deyk —
Można również wyświetlić na szybko podgląd tych zautoryzowanych użytkowników chociażby przez nasze AD i tutaj mamy podgląd akurat z ostatniego dnia na dashboardzie. Po rozwinięciu prezentuje się to w ten sposób, że mamy diagram kołowy i możemy zobaczyć bardziej szczegółowe informacje. Mogą to być np. informacje o tym, kiedy pierwszy raz danego dnia zalogował się dany użytkownik do sieci, jaki ruch wygenerował, ile danych wysłał i jaką liczbę flow wygenerował.

— Klaudyna Busza-Kujawska —
Gdy kliknie się prawym przyciskiem na dowolny User ID, to pod samym przyciskiem zobaczycie Państwo, że macie możliwość wykonania drill down, czyli jeżeli wybierzemy TOP10 Statistics by, to tutaj mamy np. Conversation IP – IP albo Port. Co oznacza kliknięcie Port? To oznacza, że dla tego użytkownika zobaczymy po jakich portach była wykonywana komunikacja i gdzie się łączył. Możemy to zestawić w taki sposób, aby widzieć użytkownika i porty, albo użytkownika i jego adres IP. Jest to już kwestia konfiguracji, natomiast taki drill down można wykonać.

— Paweł Deyk —
Jeszcze jedną ciekawą statystykę chciałem tutaj pokazać. To jest akurat kolejny dashboard z demo, który może być propozycją dla naszych użytkowników, którzy wdrożą u siebie takie rozwiązanie. W Top Hostnames możemy zweryfikować jakie hostname’y, były odpytywane przez użytkowników. Możemy sobie wyświetlić szczegółowy widok i pokazać dodatkowe statystyki, kontekstowo dla danego hostname’a. W związku z tym, że chcieliśmy również pokazać, jak wygląda monitoring i wykrywanie anomalii, to przejdziemy do Flowmon ADS. Tu mamy szybki podgląd dla ostatnich zdarzeń w sieci, które zostały zakwalifikowane jako anomalie i mamy podzielone te wydarzenia na różne kategorie. Kategorie są związane z metodami wykrywania tych anomalii. Mamy tu np. skanowanie portów i możemy rozwinąć listę i zobaczyć wszystkie zdarzenia, które zostały tak zakwalifikowane. Dodatkowo widzimy od razu, ile było adresów IP, których były one źródłem. Takie podstawowe statystyki, możemy rozwinąć również dla konkretnych adresów źródłowych. Możemy tych informacji wyświetlić dużo, nie tylko dla skanów, ale i dla wielu innych anomalii, np. dictionary attacku. Bardzo szybko możemy go tutaj wykryć i zobaczyć dane kontekstowe, które będą istotne dla podniesienia bezpieczeństwa.

— Klaudyna Busza-Kujawska —
Nad opisem zdarzeń znajdują sie niebieskie kreseczki, które pokazują, kiedy te zdarzenia wystąpiły. Oczywiście jeżeli to jest ciągłe zdarzenie, które podejrzanie może nie być anomalią, tylko po prostu niedokonfigurowanym elementem systemu, to będziemy widzieć, że to się cały czas powtarza. Tu na osi czasu widzimy, kiedy te zdarzenia miały miejsce. W ten sposób bardzo łatwo można zaobserwować jak często to się zdarza i jest to pokazywane niezależnie dla każdego adresu IP.

— Paweł Deyk —
Oczywiście tak jak w Monitoring Center, możemy zmieniać zakresy czasowe, w różnych perspektywach, z różnych źródeł, dla konkretnych adresów, więc naprawdę szybko można przejść do tych szczegółowych informacji. Na dzień dobry otrzymujemy spory zestaw metod wykrywania anomalii, chociażby mamy ruch BitTorrentowy, możliwość definiowania black list konkretnych adresów IP z którymi nie powinni łączyć się użytkownicy, wykrywanie anomalii DHCP, anomalii DNS i ataków DOS. Każda z tych metod, nie oznacza wcale, że jest to tylko jeden rodzaj wykrywanego zdarzenia. Pod anomaliami DNS znajduje się kilka różnych rodzajów zdarzeń. To może być wykorzystanie serwera DNS, który nie jest na naszej liście serwerów DNS. Jeżeli sieciowa polityka bezpieczeństwa firmy, mówi o tym, że tylko wewnętrzne serwery DNS powinny być wykorzystywane, a nie np. Googlowe to, jeżeli ktoś skorzysta właśnie z serwera Googlowego, to od razu pojawi się to jako anomalia. Nie jest to jednak jedyny element. Jest tam wiele aspektów, które są weryfikowane, tj. ilość i wielkość połączeń, wielkość pakietów, która jest wykorzystywana – więc różnego rodzaju anomalie związane z komunikacją DNS. Tak jest dla każdej z tych metod.

— Paweł Deyk —
Oprócz tego możemy też zdefiniować własne wzorce definiowania tych anomalii. Tu mamy przykładowo taki pattern związany z obsługą ruchu Dropboxowego i jest też informacja w jaki sposób to zapytanie jest skonstruowane. Kolejna rzecz to np. możemy zdefiniować taki wzór dla konkretnych rodzajów złośliwego oprogramowania, np. WannaCry. Wiemy jaki jest typowy model ruchu takiego oprogramowania, więc możemy go sobie również w tym miejscu zdefiniować. Tych patternów można tworzyć oczywiście dużo i dla różnych profili i kanałów.

— Klaudyna Busza-Kujawska —
Tak naprawdę te własne wzorce są bardzo przydatne, jeżeli chcielibyście Państwo dopasować jakoś specyficznie do własnej sieci, ponieważ np. taki WannaCry jest tutaj tylko dla przykładu i znajduje się jako wbudowany element BPATTERN. To są takie wzorce zachowania sieciowego różnego rodzaju malware’u. Nie możemy tutaj dokładnie pokazać, jak to wygląda, bo jest to demo na którym nie ma dostępu do konfiguracji, ale jeżeli Państwo taki kolektor macie u siebie i macie uprawnienia administratora, to będziecie mieli możliwość wejścia w te szczegóły, analizę i konfigurację każdej z tych metod. Tam zobaczycie wszystkie elementy, które są skonfigurowane, chociażby właśnie WannaCry i wiele innych rodzajów malware’u, ransomware’u, które są tam już opisane. Wówczas nie musicie Państwo tworzyć sami takich wzorców, one będą automatycznie zaciągane z naszego serwisu. Jeżeli tylko gold support (czyli wsparcie producenta) jest aktywne, to te nowe wzorce będą się pojawiały.

— Paweł Deyk —
Mamy też wspomniane przeze mnie wcześniej blackilisty, które można zaimportować z jakichś zewnętrznych źródeł, albo też ręcznie dodawać w razie potrzeby. Możemy również tworzyć perspektywy w których m.in. ustalimy np. istotność dla danych rodzajów anomalii. Możemy sobie tutaj spersonalizować pod kątem konkretnych wymagań prawnych czy compliance’owych) w naszej firmie. To jest plus, który może się przydać chociażby dla operatorów usługi kluczowej w ramach Krajowego Systemu Cyberbezpieczeństwa.

— Klaudyna Busza-Kujawska —
Perspektywy są nie tylko błahym określeniem priorytetów wykrywanych zdarzeń, anomalii, ale również możemy określić wektor ataku, a więc określić, że jeżeli następuje atak typu SSH Dictionary, serwerów na serwery, to jest to dla nas priorytet critical, a jeżeli następuje atak SSH Dictionary, ale z LANu na serwery, albo z LANu na LAN, to jest to tylko priorytet high. W każdej z tych perspektyw możemy dokładnie określić z jakiej części sieci, do jakiej części sieci, jaki priorytet będzie uzyskiwało dane zdarzenie. Możemy to dopasować odpowiednio pod własną organizację i bazując na tych perspektywach, możecie też Państwo otrzymywać powiadomienia mailem np. tylko o zdarzeniach typu critical, a cała reszta może być wysyłana do SIEMa. –

— Paweł Deyk —
Są też pola, które są związane z konfiguracją powiadomień czy podejmowanych akcji. Możemy dostawać notyfikacje mailowe, nagrywać ruch w module Traffic Recorder czy uruchamiać jakieś skrypty, chociażby do blokowania. Jest też moduł APM (Application Performance Monitoring), który może się jeszcze przydać. Służy on do tego by monitorować wydajność naszych aplikacji webowych czy bazodanowych. Możemy w bardzo szybki sposób zobaczyć ogólną kondycję naszych systemów za pomocą APM indeksu, który dla wszystkich transakcji, które spełniają zadane przez nas SLA, będzie wyświetlał 100, więc możemy szybko zweryfikować, że jeśli ta liczba jest dużo mniejsza niż sto, że coś jest nie tak z naszą aplikacją. To przede wszystkim pozwala dojść do tego czy jest to problem związany z siecią czy wewnętrzny (z budową aplikacji), który element naszego systemu wprowadza opóźnienia lub błędy transmisji.

55:47 — Pytania —
„Jak najłatwiej prześledzić działania konkretnego adresu?”
Klaudyna: Można to zrobić na kilka sposobów i to zależy od tego co jest dla Państwa wygodniejsze. Wróćmy do ADS, otwórzmy obojętnie które wykryte zdarzenie i teraz przy adresie IP, które jest na górze, po prawej stronie będziemy mieli „Related Events”. Możemy to zrobić w ten sposób, że jeżeli pojawi się nam wykrycie konkretnej komunikacji dla konkretnego adresu IP, to możemy zobaczyć, gdzie on jeszcze był źródłem zdarzenia, albo gdzie był celem, bo tak naprawdę to mogła być kontynuacja jakiejś dłuższej akcji. W takim przypadku dostajemy rozpiskę, w której pojawia się ten adres i jeżeli klikniemy na tym co nas interesuje, to znowu dostaniemy podgląd i w każdym z tych zdarzeń można jeszcze wejść w szczegóły, zobaczyć każdy flow, każde połączenie, które jest związane z tym wykryciem. Ale jest jeszcze inny sposób. Skopiujmy ten adres IP i wróćmy do dashboardu. To też jest wygodny sposób, bo pokazuje od razu jak działo się to wszystko w czasie. Tu też mamy listę i możemy wyświetlić ją chronologicznie, nie w taki sposób jak było przed chwilą. Wklejamy adres IP, potwierdzamy (Apply) i to co nam się wówczas pokaże, to będą przefiltrowane wszystkie zdarzenia związane z tym konkretnym adresem, i kiedy i w jakiego typu zdarzeniach brał udział, gdzie był źródłem. Więc jeżeli chcemy zobaczyć, gdzie był celem (bo być może to jest jakaś dłuższa akcja), to wówczas sprawdzamy listę zdarzeń, a jeżeli chcemy zobaczyć co on takiego wykonywał i na jakiej przestrzeni czasu, to ta opcja jest najwygodniejsza. Dodam, że te szare wykresy pokazują nam pewien trend – ile było do tej pory w porównaniu do wcześniejszego przedziału czasu, dokładnie takiego samego. Więc po prawej stronie też mamy informacje o tym czy nastąpił wzrost czy spadek. Jeżeli przeglądamy ostatnie 24 godziny, to wiemy, że jak mamy strzałkę do góry, to znaczy, że pojawiły się nowe w porównaniu do poprzedniego okresu. Jeżeli mamy strzałkę w dół, na zielono, to znaczy, że były jakieś zdarzenia, ale już się poprawiło i nic nowego się nie pojawia. Myślę więc, że jest to najprostszy sposób na prześledzenie tego co się działo z konkretnym adresem IP.

59:31
„Czy można tworzyć własne definicje anomalii, np. komunikacja webowa zawierająca download URL?”
Klaudyna: Tak, jak najbardziej. To jest właśnie to, co Paweł pokazywał w tym custom pattern. Tam mieliśmy przykład WannaCry, gdzie po prostu ten rodzaj komunikacji komunikował się na jakiegoś konkretnego hostname’a. Tutaj również możemy stworzyć taką definicję. Nieważne czy to będzie w URL, czy w Host Name, ale będzie zawarte słowo „download” czyli musimy wybrać słowo „like”, wówczas zostanie taka komunikacja wychwycona i jeżeli Państwo chcecie widzieć to jako anomalie, wtedy będziecie wiedzieli, że miała miejsce taka komunikacja.

Paweł Deyk, Kierownik Projektu, EXATEL S.A. Klaudyna Busza-Kujawska, Senior Presales Engineer