Комментарии 8
Сможет ли анализ сетевой телеметрии netflow выявить попытку эксплуатации уязвимости на веб сервере в dmz?
Кирилл Шипулин, приветствую.
Очень широкий вопрос без вводных, отвечу также в широком смысле.
Если телеметрия собирается с сегмента и эксплуатируется уязвимость соответствующая одному из типов атак, которые я описал, то ее можно задетектировать.
Если уязвимость не соответствует, то нет.
С другой стороны, если эта уязвимость zero-day или отсутствует в базе IDPS на момент атаки, то IDPS ничего не увидит даже на полной копии трафика.
Старался быть максимально конкретным, извините
Не очень понял о каких именно типах атак выше вы говорите, но в целом, анализ сетевых логов никоим образом не может заглянуть внутрь пакетов и проверить была там попытка эксплуатации хотя бы даже известной уязвимости. А между прочим - это база всех баз для сетевых систем защиты. Ведь даже в каждой системе NGFW существует модуль IPS, задача которого - именно блокировать эти попытки эксплуатации уязвимостей автоматически.
Вот что насчет 0day атак, тут я с вами не соглашусь. Существует немало признаков, которые прямо или косвенно помогают задетектировать 0day атаку, что многократно подтверждалось на практике. Если хотите - я напишу статью где расскажу об этом подробней. Один лайк и я начинаю писать.
Кирилл,
1. О типах атак указанных в разделе "Какие атаки можно обнаружить с помощью поведенческого анализа и ML" статьи.
2. Я не отрицаю, что IDPS нужен, но это именно база, и не основа для NTA и тем более NDR.
В разделе "Заключение" описано, что это не замена сетевого трафика, но есть предпосылки, которые описаны в статье, которые делают ее анализ актуальнее.
3. Если говорить про эксплуатации уязвимости, ее можно задетектить если она опирается на что-то нестандартное - всплеск сессий, слишком длительные сессии, нехарактерный протокол для хоста с которого идет эксплуатация или увеличившийся размер ответ хоста, который атакуют.
И это будет аномалия, похожая на какую-то атаку, или нетиповое поведение хоста, а не детект конкретной уязвимости.
Если для эксплуатация используется условно одна сессия, и уязвимость опирается на специфический запрос, то действительно такую эксплуатацию без кастомных полей будет тяжело задетектировать.
Первые пришедшие в голову кастомные поля IPFIX, это httpUserAgent, httpContentType, httpReasonPhrase.
Так же после эксплуатации уязвимости можно будет задетектировать аномальное поведение скомрометированного хоста.
4. Если zero-day уязвимости можно детектировать только сигнатурами, зачем заказчикам покупать такие продукты, как WAF, sandbox, EDR и крайнедорогостоящие составители цепочек событий или векторов проникновений хакеров внутрь?
И опять же почему тогда почти всех мировых лидеров производителей NGFW с IPS на борту(Palo Alto, Fortinet и т.п.) ломали zero-day уязвимостями в прошлом году?
Станислав. Благодарю. Но хотел бы подметить что теоретическая возможность обнаружения и построение качественного детекта атаки - совершенно разные вещи.
К сожалению, хотим мы того или нет, но выявление аномалий по слишком длительным сессиям, нехарактерному протоколу или увеличенному ответу хоста не даст ожидаемого результата и не будет приносить оператору СЗИ ничего, кроме головной боли по разгребанию фолзов. Интернет, сети и сами инфраструктуры - слишком живая среда, чтобы она подчинялась строгим правилам. А если такой детект и обнаружит какую-либо атаку, то скорее всего к тому моменту ему никто уже не будет верить. К тому же совершенно необязательно, что успешная эксплуатация уязвимости в целом вызовет такие аномалии.
Гораздо эффективнее в этом плане просто-напросто извлекать индикаторы компрометации из попыток эксплуатации уязвимостей и проверять обращения к ним. Такая простая логика позволит наверняка выявлять успешные попытки эксплуатации и операторам не придется разгребать фолзы. Такие детекты уже есть и они работают. Получается, что именно анализ содержимого сетевых пакетиков является как раз таки основной качественных детектов NTA/NDR/IDS/IPS систем. Пользователи будут отдавать предпочтение той системе, которая срабатывает только на хакера или вредоносное ПО, а не той, где необходимо разгребать тонны аномалий на слегка увеличившийся ответ сервера.
По поводу зеродей - я не утверждал что все зеродеи в мире можно гарантированно детектировать только сигнатурами. Но признаки успешной эксплуатации сетевых эксплоитов нулевого дня получается находить в большинстве случаев. И мы находим. А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов.
Вы как будто меня забайтили, но я все равно расскажу про другие средства: WAF гораздо лучше понимает тонкости работы разных веб-движков и гораздо лучше умеет обнаруживать веб-атаки типа SSRF, XSS, CSRF и SQL инъекции - традиционно слабое место IDS/NTA/NDR систем и в принципе их задача - защита именно веб-приложения, а не всей инфраструктуры. Sandbox в принципе анализирует поведение и детонацию вредоносных файлов, и кстати, IDS/NTA/NDR как раз и рекомендуется ставить с ними в паре. Системы анализа трафика в принципе не способны проанализировать локальные эксплоиты, зачем вы вообще об этом спросили. Пользователь может скачать по сети запароленный архив с эксплоитом - именно тут вам и нужны антивирусные средства, системы EDR и сендбоксы ...
Кирилл, спасибо за ответ.
1. Я не оспариваю вашу экспертизу в создании сложных сигнатур и анализе угроз.
2. "К сожалению, хотим мы того или нет, но выявление аномалий по слишком длительным сессиям, нехарактерному протоколу или увеличенному ответу хоста не даст ожидаемого результата и не будет приносить оператору СЗИ ничего, кроме головной боли по разгребанию фолзов" - это опыт эксплуатации конкретного продукта?
Мировой опыт опровергает это утверждение, в частности такими вендорами, как Vectra.ai, ExtraHop или DarkTrace.
ML не как комплиментарная функция к IDS,а как основа детектирующей логики.
И это вопрос не просто длительных сессий, а конкретных сессий, которые соответствуют определенным сетевым операциям, это также вопрос широты и возможностей фильтры метаданных сессий в конкретном продукте.
И так же логикой работы построение модели нормального поведения, если прогноз строятся на интервалы по 12 часов и не для каждого хоста, а на большие группы, то да в этом случае действительно тяжело что-то задетектировать.
Более того фолзы могут быть от любой технологии, включая сигнатуры.
Конечно с сигнатурами проще, так как они опираются на известный вредосносный payload, если трафик зашифрованный тут возможности детектирования сильно деградируют до уровня JA-отпечатков, что является совершенно не достаточным в качество единственного средства детекта.
С точки зрения аномальных отклонений, если использовать просто количество сессий без контекста, то действительно будет много фолзов, подробности как их снизить описаны в статье.
Как типовой пример для DMZ, если там используется прокси-сервер для обновлений, который только должен ходить в интернет и не выходить в горизонтальный трафик, то при его компрометации и появлении нехарактерных горизонтальных сетевых пакетов например по 80,443 или другим портам ML задетектирует их в сетевой телеметрии.
Это будет признаком для анализа самого запроса уже на хосте куда они летали, даже если трафик зашифрованный.
В той же ситуации IDS задетектирует только факт известной атаки и в открытом трафике, в остальное случае это будет гораздо сложнее и с большим количеством фозлов.
И это опять же пример для DMZ, а как быть в случае если это магазин или небольшой склад, пункт выдачи и любой другой объект с собственным каналом в интернет и вне топологии звезда для которого не подать спан вообще?
Просто не смотреть трафик вообще? Как защитить умные весы, кассы, видеокамеры на таких площадках?
3."Получается, что именно анализ содержимого сетевых пакетиков является как раз таки основной качественных детектов NTA/NDR/IDS/IPS систем. " - не согласен с этим тезисом.
Мы используем иностранную классификацию и не можем как угодно присваивать классы продуктов, когда это выгодно вендору.
Для примера никто сейчас в здравом уме не сможет сказать, что в 2 движка потовых антивирусов это песочница, так как с 2015 года у нас было активное внедрение иностранных решений, который использовали детонацию.
Анализировать сетевой трафик можно по разному, если упор в анализе сырого трафика делается на соответствию payload, то это функционал IDPS или NGIDPS. Если продукт не отличается концептуально от Cisco NGIPS 2013, то это NGIPS или NGIDS.
Если есть какой-то международный опыт, который это опровергает эту классификация, просьба его показать.
Я не нашел ни одного источника, который бы говорил, что NTA опирается на сигнатуры.
Но я нашел, что Gartner исключал NTA из своего анализа которые" Primarily use rules, signatures or reputation for detection capabilities"
То есть фактически использующие функционал IDPS, но маркетингово позиционирующие себя, как NTA.
И в NDR функционал IDS был включен только в 2025 году у Gartner, и с момента NTA Gartner указывает возможность сетевой телеметрии, а не только сетевого трафика.
Я просмотрел еще 4 различных аналитических отчета IDC, KuppingerCole, Gigaom, QKS по NDR и ни один не утверждал, что детектирование базируется только на сыром трафике через IDS или анализ payload.
4." И мы находим. А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов. "
В цитате написано во время расследования благодаря записи исходного трафика: "Но благодаря записи исходного трафика в PT NAD во время расследования мы смогли установить вектор эксплуатации неизвестной ранее уязвимости "
Здесь не написано, что сигнатурное правило задетектировало уязвимость 0-дня.
Вот примеры детектов zero-day от вендора Darktrace без сигнатур.

5."А проникновение в сеть при помощи эксплуатации уязвимости на периметре составляет около 40% от общего числа инцидентов. " - я уже писал про zero-day в самих NGFW, таких как Palo Alto или Fortinet.
Почему мировые лидеры с огромными бюджетами и количеством экспертов не смогли защитить свои NGFW имея IPS встроенные и облачные сети с телеметрией атак от zero-day?
Как вы предлагаете это сделать имея десятки раз меньшие возможности?
6. "Вы как будто меня забайтили" я не байтил, но по описанной логике тогда сигнатур и анализ payload должно хватить и на сети, и на агентах и все остальное не нужно.
Зачем EDR, если нужно просто уметь правильно писать сигнатуры для антивируса?
Зачем компании типа CrowdStrike тратят миллиарды $ на R&D, если можно просто правильно написать сигнатуры?
Зачем делать детонацию с песочнице, если можно правильно написать сигнатуры для потоковых?
У вас же был мультисканер, но вместо него почему-то сейчас песочница.
Опыт wannacry и petya показал неэффективность сигнатурных средств защиты, что по сути и дало старт развитию таких продуктов как Sandbox, EDR и NTA.
"Пользователь может скачать по сети запароленный архив с эксплоитом - именно тут вам и нужны антивирусные средства, системы EDR и сендбоксы ... " система NDR, если она действительно NDR, а не мимикрирующий под NDR IDS, должна определить аномальное поведения хоста после эксплойта, даже если она не детектит сам эксплойт.
Можно даже разбить направления:
Prevent - IDS заранее известные немодифицированные угрозы с открытом трафике
Detect - поведенческий анализ и ML уже при компрометации или при заранее неизвестной угрозе.
Ну и накатали вы конечно текста Станислав! Хоть в отдельную статью оформляй. Искренне завидую количеству вашего свободного времени, раз вы успели еще и четыре аналитических отчета изучить. Но не могу не подметить вашу искреннюю любовь к иностранным продуктам, иностранным маркетинговым статьям и методологиям. В этом нет ничего плохого, но у нас и на Российском рынке есть потрясающие решения, которые зададут жару иностранным аналогам.
Все в ваших словах складно, но лично я предпочитаю опираться не на маркетинговые материалы, а на суровый практический опыт. Так уж вышло, что мне довелось попробовать и иностранные решения: в них есть немало интересных функций, но без сигнатурного движка их детекты заметно слабеют и ведут себя нестабильно. А предсказуемость системам защиты точно не помешает.
В системах NTA/NDR совершенно точно есть и поведенческий анализ и ML и сигнатурный движок, но кого там больше и кто из них главнее - это уже предмет манипуляций. Я все-таки останусь при своем, что поведенческие модули и ML-алгоритмы это очень круто и полезно, но такой точности в детектировании и предсказуемости, как у сигнатурного анализа - вы больше нигде не найдете (репсписки не считаем). И кстати, зашифрованный трафик хоть и усложняет дело, но его также прекрасно (и успешно) можно анализировать сигнатурами и находить в нем активность вредоносных программ. Могу написать об анализе побочного канала зашифрованных соединений другую статью, но лучше вы посмотрите наши исследования по анализу зашифрованных соединений SSH и VPN-протоколов в новом номере Positive Research который выйдет вот-вот совсем скоро. Очень горжусь нашими результатами.
Напоследок скажу еще свое личное мнение - вся индустрия анализа сетевого трафика как будто не раскрыла возможности сигнатур до конца и готовила его неправильно. Просто подумайте на досуге над той концепцией, что самый большой набор open source сигнатур в принципе разрабатывался для IDS систем. То есть для систем, где вы не сможете проверить фолз/не фолз и успешно/не успешно. В IDS нельзя посмотреть поля протоколов или скачать PCAP-файл и убедиться что там действительно что-то плохое. Ей можно только верить или не верить. Именно поэтому самый большой и открытый набор сигнатур ET Open так много и так часто срабатывает на все подряд - у них нет другого способа дать еще немного контекста вокруг одних алертов, кроме как другими алертами. И винить их в этом не стоит. А в системах NTA/NDR мы напротив можем позволить себе сделать упор на качество и срабатывать реже, но по делу. Именно поэтому набор наших собственных сигнатур в нашем NTA/NDR-решении кардинально отличается от всех остальных. А уже эти данные в том числе служат базой для ML и поведенческих алгоритмов анализа.
Вы затронули и много других тем, все это можно обсудить во время какого-нибудь прямого эфира :) Хороших вам выходных
Кирилл, приветствую.
Надеюсь ваши выходные проходят хорошо)
1." Искренне завидую количеству вашего свободного времени, раз вы успели еще и четыре аналитических отчета изучить. Но не могу не подметить вашу искреннюю любовь к иностранным продуктам, иностранным маркетинговым статьям и методологиям."
Ради такого увлекательного диалога я готов найти время.
Мы с вами, как представители вендоров можем говорить,что угодно, но используя иностранный термин, популяризированный Gartner, логично использовать его из оригинала.
Фактически Gartner только описал 3 словами network traffic analysis , подход к детектированию угроз нескольких вендров, когда он начал показывать свою эффективность и набирать популярность.
Самое главное это не название, а те технологии и задачи, которые подразумевал Gartner и весь остальной мир, фактически построение профиля поведения на основе сетевого трафика и сетевой телеметрии ( о чем Gartner так же указывает)и детект аномальных отклонений от него.
Если руководствоваться вашей логикой, то тогда любой потоковый антивирус можно назвать песочницей.
Но это же введение в заблуждение потребителей, которое не решает проблему ради которой создавались технологии того или иного класса решений.
Касаемо различных отчетов, я за ними слежу все время, и это очень важно для того, чтобы развивать продукт в правильном направлении.
Отчеты могут быть маркетинговые, могут быть техническое - но они независимые.
2."Все в ваших словах складно, но лично я предпочитаю опираться не на маркетинговые материалы, а на суровый практический опыт. Так уж вышло, что мне довелось попробовать и иностранные решения: в них есть немало интересных функций, но без сигнатурного движка их детекты заметно слабеют и ведут себя нестабильно. "
Вы не приводите примеров или пруфов почему ваш опыт с сигнатурами лучше, в каком % случаев, и против каких иностранных вендоров.
Не могу оценить по сигнатурам, тут надо сравнивать детально с NGIPS - такими ,как Cisco, McAfee или Tipping point.
Обратите внимание на технологии Cisco NGIPS 2013 года, ничего не напоминает?
Даже метаданные для расследований есть, прямо как вы пишете в конце своего поста, но уже применительно к другому классу решений...

По NDR я могу сказать,что российские решения явно проигрывают по производительности, потреблению ресурсов и ML в детектировании/ расследованиях.
И не всех решений позиционирующих себя, как NTA или NDR есть хотя бы комплиментарно ML-технологии для профилирования.
Мировые лидеры Vectra и ExtraHop добавили IDS примерно в 2022-2023 году, что в принципе подтверждает ваши тезисы о необходимости сигнатур IDS, но от ML/AI они не отказались, а только увеличили инвестиции.
3 "Вы затронули и много других тем, все это можно обсудить во время какого-нибудь прямого эфира :) "
Я готов, кажется AMLive нам на 2 не выделят эфир =)
Какие есть еще варианты?)
От видимости сети до кибербезопасности: главный миф о сетевой телеметрии, который мешает раскрыть потенциал NetFlow