Когда мы говорим о постоянных угрозах повышенной сложности (Advanced Persistent Threat, APT), то логично и использовать термин "непрерывное качественное обнаружение угроз" (Advanced Persistent Detection). Обнаружение - это самое главное в стратегии защиты сети.

Методика использования сигнатур все еще остается эффективной, но сегодня требуется и другая технология, чтобы обнаружить большую часть современных угроз внутри корпоративной сети. При упоминании преимуществ технологий, не использующих сигнатуры, люди обычно сразу начинают говорить об методах обнаружении аномалий. Но чаще всего, это не полностью соответствует тому, что мы имеем в виду. Как говорят, "разница имеет значение". Обнаруживая вариации в нормальных изменениях и потоках сетевого трафика, т.е. определяя аномалии, мы можем начать разрабатывать стратегию "непрерывного качественного обнаружения угроз".

Протоколы Интернет стандартизованы и соблюдение этих стандартов обеспечивает интероперабельность. Однако современные сложные угрозы используют эти же стандарты и находят пути, чтобы обмануть систему и получить доступ или возможности, не предусмотренные разработчиком. Чтобы лучше это понять, приведем пример из автомобильной отрасли. 

Производитель автомобилей, известный свой заботой о безопасности, разработал новую функцию в новой линейке автомобилей, которая в случае столкновения приводит в действие сразу множество средств безопасности: подушка безопасности срабатывает, фары начинают мигать, ремни безопасности отстегиваются, чтобы пассажиры могли покинуть машину, двери разблокируются, и так далее. И через некоторое время после поступления в продажу этих автомобилей, во время праздников, преступники поняли, что они могут взять небольшую кувалду и несильно ударить ею в бампер автомобиля для имитации аварии - после этого двери открываются и они могут взять из машины что угодно, не затрудняя себя разбиванием окон.

Это пример протокола, который очень эффективен в одном случае, и дает совсем другой эффект в другом. С точки зрения автомобиля, столкновение - это удар бампером, а вот посторонний исследователь может заметить разницу между столкновением автомобиля с препятствием и ударом кувалды преступника. 

Протоколы имеет один и тот же шаблон. С точки зрения сервера, все происходит как полагается, но значительная разница заметна в других аспектах. Это может быть симметрия или асимметрия трафика, это может быть некоторое количество байтов в определенном направлении, и это будет абсолютно неправильно. Другими словами, это будет что-то в поведении трафика, что является аномальным - направленность, размер, частота и т.п. Чтобы это ни было, это та разница, которая имеет значение. Это одно из тех мест, где современная угроза не сможет прятаться, поскольку она должна как-то действовать в сети.

Суть в том, что единственная причина того, что постоянная угроза повышенной сложности может действовать в нашей сети, заключается в том, что она остается незамеченной в течение достаточно длительного времени. Почему? Да потому, что организации стараются либо захватить весь трафик через систему захвата трафика и быстро обнаружить, что такая система не масштабируется, либо вообще не знают о существовании возможности использования всех потоковых данных без выборки.

Настоящий ключ к обнаружению аномалий или, используя новый термин, непрерывное качественное обнаружение угроз - это использование полных потоковых данных в форме NetFlow или IPFIX. Эти протоколы доступны практически во всех организациях, поскольку встроены почти во все существующие маршрутизаторы, коммутаторы, файерволы и т.п. Захватывая сетевые потоки с помощью технологий, похожих на те, что использует Lancope StealthWatch, можно получить возможность полностью контролировать сеть и иметь данные для аналитики, позволяющие обнаружить необычное поведение и угрозы повышенной сложности в сети. Другими словами, можно увидеть разницу, которая имеет значение.

Более подробно можно узнать здесь или обратившись за консультацией в компанию Web Control.