Обнаружение сетевых вторжений, кибер-угроза, постоянные угрозы повышенной сложности (Advanced Persistent Threat или APT), полиморфическое вредоносное ПО, корреляция событий - все эти термины постоянно на устах всех членов сообщества IT-профессионалов. Есть ли у нас еще неиспользованные возможности, которые можно добавить в нашу систему защиты, для создания дополнительной защиты?

Знание сетевой ситуации
Самые опасные виды вредоносного ПО и наиболее сложные угрозы "летают ниже радара", но с помощью NetFlow мы можем добавить еще кусочек в систему безопасности, создав возможность, позволяющую лучше и легче их обнаруживать. Например, атака фишинга через email проходит сквозь IDS (Intrusion Detection System), фильтр анти-спама и антивирусное ПО, затем неумышленно кликается и запускается пользователем, при этом устанавливается полиморфическое ПО на надежной машине. Затем начинается атака с этого компьютера, которая незаметно распространяется, заражает других, и крадет все больше и больше информации. И вряд ли такая APT будет замечена встроенным в сеть устройством защиты, которая следит за безуспешными попытками залогиниться - ведь зараженный хост уже в сети.

Ограничения систем обнаружения вторжений на базе сигнатур
IPFIX или NetFlow очень полезны для использования с целью обнаружения угроз, поскольку позволяют нам контролировать исходящие соединения, которые, как правило, пропускаются даже лучшими системами глубокого анализа пакетов (deep packet inspection), такими как IPS или файервол. Современные антивирусные решения также не могут опрашивать соединения, инициируемые находящейся уже внутри APT. Даже, если устройства защиты могут отслеживать исходящие соединения, это не помогает, поскольку наиболее коварные угрозы используют SSL-соединение, что означает безнадежность использования систем на базе сигнатур.

Корреляция NetFlow с текстовыми логами
Корреляция логов с NetFlow для обнаружения сетевых угроз позволяет решать проблемы, упомянутые выше. Что делают другие машины, когда с ними пытается соединиться зараженный хост (используется NetFlow)? Были ли на этих машинах удачные или неудачные попытки логина примерно в одно и то же время (используется syslog)? Это только один пример корреляции логов с NetFlow. Если мы еще одновременно используем проверку репутации IP-хостов, мы получим искомый дополнительный слой защиты от угроз.
Мы не утверждаем, что время систем безопасности на базе сигнатур прошло. Скорее мы говорим, что необходимо использовать потоковые данные для получения еще одного слоя обеспечения безопасности.