Yazan: Mark Evans, Pazarlamadan Sorumlu Başkan Yardımcısı, Endace
Birçok kuruluş, güvenlik araçlarının potansiyel tehditleri tespit etmek için ağ genelinde olan her şeyi görebileceğini varsayar. Ne yazık ki, iki nedenden dolayı durum böyle değil.
İlk olarak, güvenlik araçları yalnızca ağ akış verilerini (NetFlow) analiz ediyorsa, ağ işlemlerinin gerçek içeriğini analiz edemezler. NetFlow, A sunucusu ile B sunucusu arasında bir görüşme olduğunu, bu görüşmenin ne zaman olduğunu, hangi bağlantı noktasında gerçekleştiğini, görüşmenin ne kadar sürdüğünü ve hatta belki de ne kadar veri alışverişi yapıldığını ve hangi uygulamaların dahil olduğunu gösterebilir. Ancak bu konuşmadaki gerçek paket verilerine bakmadan, hangi verilerin değiş tokuş edildiğini bilmek imkansızdır. Bu konuya daha sonra geri döneceğiz.
İkincisi, NetFlow nesli hakkında “uygunsuz bir gerçek” var. Yani, birçok NetFlow oluşturucu, ağdaki trafiğin tamamını değil, yalnızca bir kısmını analiz eder. NetFlow verileri genellikle trafiği örneklemeye ve ağ genelinde neler olup bittiğini “tahmin etmek” için istatistiksel analiz kullanmaya dayanır. Bunun nedeni, ağdan geçen her paketi analiz etmenin hesaplama yükünün ağır olmasıdır. NetFlow verileri genellikle anahtarlar ve yönlendiriciler gibi ağ araçları tarafından üretildiğinden, örnekleme genellikle bu aygıtlar üzerindeki yükü azaltmak için kullanılır. Bu, trafiği yönlendirme veya değiştirme konusundaki temel, birincil rollerinin, NetFlow verileri oluşturmak için bu trafiği analiz etme ek yükü tarafından tehlikeye atılmamasını sağlamaya yardımcı olur.
Örnekleme, örnek bir paket seti (paket örnekleme) veya ağ akışları (akış örnekleme) alarak ve ağ boyunca akan trafiği modellemek için bu örnek setin istatistiksel analizini kullanarak çalışır. Bu yaklaşım genellikle NetFlow’un orijinal olarak tasarlandığı şey için yeterlidir: ağı yönetmek için trafik akışı bilgisi oluşturmak, tıkanıklık noktalarını veya kesintileri belirlemek ve ağ talebini tahmin etmek. Ne yazık ki, güvenlik izleme söz konusu olduğunda yeterli olmuyor.
Etkili ağ güvenliği izleme, ağdaki tüm etkinlikleri görebilmeye dayanır. Güvenlik analizi araçları yalnızca örnek bir ağ verisi kümesine güveniyorsa, önemli ayrıntıları kaçırmaları kaçınılmazdır; örneğin, belirli tehditlerle ilgili paketler veya akışlar, NetFlow verilerinin üretildiği örnek kümenin parçası olmayabilir. Bu, büyük bir “kör nokta” yaratır – numune boyutları ne kadar küçükse, kör nokta o kadar büyük olur.
Basit bir çözüm var. Örneklemeyi kapatabilirsiniz (ağınızda NetFlow oluşturan anahtarlar ve yönlendiricilerde bunun bir seçenek olduğu varsayılarak). Bu, ağdan geçen her paket için akış oluşturmanızı sağlar. Ancak sorun şu ki, NetFlow üreten cihazlara potansiyel olarak sürdürülemez bir yük koyuyorsunuz. Bu cihazlar aşırı yüklendiğinde, NetFlow’un doğruluğu ve temel yönlendirme ve anahtarlama işlevlerinin performansı etkilenir.
Bu sorunun çözümü, örneklenmemiş NetFlow oluşturabilen (her paketin NetFlow meta verilerini üretmek için analiz edildiği) bağımsız NetFlow oluşturucuları konuşlandırarak NetFlow oluşturma görevini çekirdek ağ araçlarından ayırmaktır.
Küçük, hafif yüklü ağlarda bu, potansiyel olarak yazılım tabanlı NetFlow üreteçleri ve standart NIC kartları kullanılarak yapılabilir. Ancak günümüzün yüksek hacimli, yüksek hızlı kurumsal ağları, yakalayabilen ve analiz edebilen amaca yönelik donanım gerektirir. Her %100 doğru, örneklenmemiş NetFlow meta verileri oluşturmak için paket. Ancak o zaman güvenlik araçlarınızın ağdaki tüm tehditlerle ilgili tüm akış verilerini görebileceğinden emin olabilirsiniz.
İlk sayıya geri döneceğime söz verdim: %100 doğru NetFlow verileriyle bile ağda gerçekleşen işlemlerin gerçek içeriğini hala göremezsiniz. Bunun için tam paket veriye ihtiyacınız var. Paketler olmadan güvenlik ekipleri (ve araçları), ağdaki gelişmiş tehditleri hızlı ve daha da önemlisi kesin olarak araştırmak ve düzeltmek için gerekli ayrıntıları göremez. Bu başka bir büyük kör nokta.
SolarFlare, Log4J 2 gibi yaygın güvenlik açıkları ve Colonial Pipeline’a yönelik saldırılar gibi yüksek profilli saldırılar, tehdit algılama ve inceleme için tam paket verilerinin önemini vurgulamıştır. Artan bu tehditlere yanıt olarak Beyaz Saray, tüm Federal kurumlar ve onların tedarikçileri için en az 72 saatlik tam paket veriyi sürekli olarak kaydetme ve depolama gerekliliğini açıkça içeren geniş kapsamlı bir Siber Güvenlik Talimatı (Yürütme Emri 14028) yayınladı. siber soruşturmalar için talep üzerine FBI ve/veya CISA’ya sağlanabilecek. Bu yetki Şubat 2023’ten itibaren yürürlüğe girer.
Beyaz Saray’ın bu gerekliliği zorunlu kılmayı uygun görmesi, hükümet kurumlarının ulus devlet saldırıları da dahil olmak üzere tehditlere karşı savunma yapmasını sağlamak için kritik bir kaynak olarak tam paket yakalamanın değerine verdiği önemi vurgulamaktadır. Tam paket verileri, ağ etkinliğinin tek kesin kanıtını sağlar. Aynı zamanda, Sıfır Güven’in ve diğer önemli Devlet siber güvenlik girişimlerinin etkili bir şekilde uygulanması için önemli bir kaynaktır.
Enterprise Management Associates’te Araştırmadan Sorumlu Başkan Yardımcısı Shamus McGillicuddy’nin bu teknik incelemede öne sürdüğü gibi, yetkilendirmeyi istenmeyen bir uyumluluk baş ağrısı olarak görmek yerine, ajanslar ve tedarikçiler bunu sürekli değişen koşullar karşısında dayanıklılığı sağlayan bir altyapıyı uygulama fırsatı olarak karşılamalıdır. artan siber tehditler Gerçekten de, ağ tehditlerine karşı bu düzeyde bir görünürlük sağlamak, dünya çapındaki kamu ve özel sektör kuruluşları için en iyi uygulama planı olarak görülmelidir.
Güvenlik ekipleri (ve araçları) için altın standart, hem örneklenmemiş NetFlow verilerinin eksiksiz bir kaydına hem de olabildiğince çok tam paket verisine (ideal olarak haftalar, aylar, ancak en az birkaç gün) erişim sağlamaktır.
NetFlow, ağ etkinliğine yönelik üst düzey görünürlük sağlar. Meta veri olduğu için, nispeten kompakttır ve aylarca veya yıllarca veri depolamayı mümkün kılar. Ayrıca kolayca aranabilir olması, analistlerin güvenlik araçları tarafından tespit edilen anormal akışları hızlı bir şekilde bulmasına olanak tanır. Olumsuz tarafı, ağ etkinliğinin tamamını değil, yalnızca bir özetini sağlar.
Öte yandan, tam paket veriler, güvenlik ekiplerine her ağ görüşmesinde tam olarak ne olduğu hakkında temel gerçeği verir. Tespit edilen herhangi bir tehdit etkinliğinin doğru bir şekilde yeniden oluşturulmasını sağlar ve neler olduğuna dair mutlak kanıt sağlar. Tam paket verileri, ağ konuşmalarının tüm yükünü içerdiğinden, veri hacimleri, eşdeğer NetFlow verilerinden önemli ölçüde daha büyüktür. Bununla birlikte, haftalarca, hatta aylarca tam paket veriyi uygun maliyetle kaydetmek hala oldukça mümkündür.
Güvenlik ekipleri, doğru NetFlow’u tam paket verileriyle birleştirerek ağlarındaki etkinliklere ilişkin tavizsiz görünürlük elde eder. Bu iki kanıt kaynağı birlikte kullanıldığında, analistlerin güvenlik araçlarının algıladığı veya tehdit avlama etkinliği aracılığıyla tanımladıkları uyarılarla ilgili akışlara hızlı bir şekilde ulaşmalarına olanak tanır. Daha sonra tam olarak ne olduğunu görmek için gerçek paketleri analiz edebilirler. Her iki veri kaynağının birleşimi, soruşturma sürecini hızlandırır ve ne olduğu ve alınacak en iyi düzeltme eylemleri hakkında kesin sonuçlara ulaşmayı mümkün kılar.
Kuruluşunuz, güvenlik araçlarınızın tehditleri tespit etmek için analiz ettiği kanıt olarak yalnızca uç nokta verilerine, günlük dosyalarına ve NetFlow’a güveniyorsa ve güvenlik ekipleriniz tehditleri araştırmak ve hızlı ve doğru bir şekilde yanıt vermek için güveniyorsa, bunun sunduğu riskin farkında olmanız gerekir.
Özetle, NetFlow oluşturucularınızın örneklenmiş NetFlow oluşturup oluşturmadığını kontrol edin. Eğer öyleyse, ağ güvenlik araçlarınızın analiz edemeyeceği pek çok şey vardır ve güvenlik ekibinizin kanıtlarda boşlukların olduğu sorunları araştırması zor veya imkansız olacaktır. Ağ performansını düşürmeden örneklemeyi kapatabilir misiniz? Değilse, NetFlow neslini özel bir çözüme aktarmayı deneyin.
Ve paket verilerini kaydetmiyorsanız, paketler olmadan ağ görüşmeleri sırasında tam olarak hangi verilerin değiş tokuş edildiğini belirlemenin imkansız olduğunu unutmayın. Bu kimlik avı sitesine bir kullanıcı kimlik bilgilerini girdi mi? Veriler çalındı mı ve eğer öyleyse, hangi veriler alındı? Ağınızda komuta ve kontrol trafiği var mı ve ne yapıyor? Güvenlik ekibinizin bu tür soruları yanıtlayabilmesi önemliyse, o zaman gerçekten bir paket yakalama çözümü dağıtmaya çalışmanız gerekir.
yazar hakkında
mark evans’ın yazarı
Mark Evans, Endace’de Pazarlamadan Sorumlu Başkan Yardımcısıdır. 30 yılı aşkın süredir teknoloji sektörünün içinde yer almaktadır. BT operasyonları, sistemleri ve uygulama programlamasında başladı ve teknoloji pazarlamasına geçmeden ve bir teknoloji pazarlama danışmanlığı şirketini kurmadan önce teknoloji medya devi IDG Communications’da BT Yöneticisi, CIO ve CTO olarak görev yaptı. Mark şimdi, paket yakalama ve ağ kayıt çözümlerinde dünya lideri olan Endace’nin küresel pazarlamasını yönetiyor.