Поскольку тема становится все более актуальной, пришло время обсудить роль NetFlow, сравнивая ее с другими средствами, такими как Syslog и захват пакетов.

Начнем с Syslog. Очевидно, что каждый человек, исследующий инциденты безопасности, понимает важность логов. Нет лучше способа узнать, что происходит внутри системы или приложения в то время, когда произошла атака. Тем не менее, Syslog имеет свои ограничения. Вам необходим сбор логов на каждом конечном компьютере, поэтому во многих средах покрытие Syslog не будет комплектным, и когда компьютер подвергнется нападению, мы уже никогда не сможем доверять логам с него. Т.е. Syslog очень важен, но он не может нам все показать.

То же самое можно сказать о захвате пакетов. Многие компании осуществляют захват пакетов в круглосуточном режиме, и ничто не сравнится с таким методом для понимания, что происходит в сети в определенный момент времени. Именно поэтому, аналитики безопасности иногда скептически относятся к ценности NetFlow. NetFlow записывает только транзакции, которые происходят в сети, но не контент этих транзакций, поэтому не разбираясь глубоко, может показаться, что захват пакетов более предпочтителен.

Проблема же в том, что существуют практические ограничения в сборе захваченных пакетов. Проще говоря, полный захват пакетов обходится дорого. Это означает, что организации не могут собирать пакеты по всей сети, поэтому они, как правило, устанавливают систему захвата пакетов на Интернет-шлюзе или в датацентре, но не внизу на уровне доступа. Больше того, невозможно хранить длительную сетевую активность в виде захваченных пакетов в следствие той же дороговизны этого. Компания Verizon в своем недавнем отчете показала, что 66% всех проникновений, которые они исследовали, произошли несколько месяцев назад или более того. Лишь немногие компании могут позволить себе сохранять захваченные пакеты для анализа за такой долгий период.

NetFlow может заполнить те дыры в наборе данных для анализа, которые оставляет захват пакетов. Во-первых, достаточно недорого можно сохранять большое количество NetFlow, поскольку это только транзакционные записи. Поэтому организации могут хранить значительно более долгую историю событий, которые произошли в сети. Такие исторические записи могут быть очень полезны, когда исследуется проникновение. Сетевые транзакции могут показать, где произошло первичное заражение, откуда пришло, какой канал типа command-and-control использовался, какие еще компьютеры во внутренней сети были поражены инфицированным хостом, какие еще хосты в сети были подвергнуты атаке с этого же адреса или с использованием той же системы command-and-control.

Большая часть компонентов сетевой инфраструктуры используют разные вариации NetFlow, поэтому достаточно просто собирать эти данные не только на шлюзе или на ядре сети, а по всему пути вниз до коммутаторов доступа, непосредственно к которым подключены конечные системы. Собирая NetFlow  с уровня доступа, можно получить записи всех транзакций, происходящих между отдельными системами внутри сети. Это активность, которую системы захвата пакетов часто просто не записывают, а эти записи критически важны, когда пытаешься собрать вместе все факты о том, что делала зараженная система в тот период времени, когда была заражена.

В конечном счете, и Syslog, и захват пакетов, и NetFlow занимают свое место в наборе инструментов исследователя инцидентов. Каждый инструмент создает свой аудиторский отчет, который добавляет отдельный кусочек в пазл, показывающий, что произошло за то время, когда система была заражена. Но, хотя многие исследователи хорошо знают мощь и возможности Syslog и систем захвата пакетов, многие не имеют непосредственного опыта работы с NetFlow. Мы советуем им присмотреться к этому методу поближе. И они буду приятно удивлены возможностями, которые предоставляет NetFlow.

Хотите узнать побольше, загляните сюда: http://www.lancope.com/solutions/.