Сегодня большинство файерволов, например, Barracuda, Cisco ASA, Palo Alto Networks, SonicWALL и тому подобное, обеспечивают экспорт NetFlow, что вместе с соответствующей аналитической системой позволяют использовать несколько типов дополнительных методов обнаружения сетевых угроз.
Но почему собственно компании стали пользоваться услугами MSSP? Учитывая то, что 50% интернет-мошенничеств приходится на компании с числом сотрудников менее 2500, а стоимость экспертов в сфере безопасности все возрастает, многие компании обращаются к MSSP, надеясь воспользоваться услугами опытных профессионалов. В действительности MSSP предоставляют своим клиентам такие услуги, как блокирование вирусов, IDS, управление VPN и файерволами. В список оплачиваемых услуг обычно включаются и время на изменение системы, модификации и обновления. Когда они не работают над конкретными проблемами своих клиентов, они взаимодействуют с другими экспертами для идентификации самых последних угроз. Поскольку такие специалисты не могут ждать очередных обновлений ПО для того, чтобы бороться с новейшими атаками, они часто используют потоковые технологии для мониторинга последних модификаций malware.
"IPS или DPI (deep packet inspection) - для нас защита № 1, NetFlow - № 2, но эта технология находится очень близко к первому номеру", - говорит Гавин Райд, менеджер Cisco CSIRT.

Традиционно NetFlow или IPFIX используются компаниями MSSP для осуществления анализа сетевого поведения, путем применения определенных алгоритмов к собранным потоковым данным. Например:

• Попытки проникновения. Ищутся  множество малых потоков из одного источника в одном направлении. Это может свидетельствовать об атаке с перебором паролей.
• DDoS. Идентификация атаки типа Distributed Denial of Service, использующей ботнет.
• Нарушения DNS. Включается сигнал, если хост инициирует  масштабное количество DNS-запросов. Это может помочь идентифицировать хосты, которые инфицированы почтовым червем или подобными системами, требующими массированных запросов DNS.
• FIN-сканирование. "Невидимые" фреймы FIN-сканирования необычны, поскольку они посылаются в устройство без стандартной процедуры предварительного TCP-подтверждения.
• ICMP приемник недоступен. Это сообщение, возвращаемое роутером в запрашивающий хост о том, что он не может перенаправить запрос в сеть хоста-приемника.
• ICMP порт недоступен. Это сообщение, возвращаемое хостом-приемником о том, что он не может начать коммуникацию через определенный порт, запрашиваемый хостом.
• Подозрительная активность. Исследуется коммуникация хостов со многими хостами малым количеством потоков. Например, это может быть сканирование порта 80 по всей подсети.
• Нулевое (NULL) сканирование. Нулевое сканирование отключает все TCP-флаги в попытке открыть сообщение с целевым хостом. Иногда оно состоит из потоков, где порт-источник 0 соединяется с различными портами приемниками.
• RST/ACK. Пакеты RST/ACK - это отказ от соединения, который возвращает приемник в начальный хост. Это может быть вызвано сетевым сканированием.
• SYN-сканирование/флуд. Отсылаются SYN-пакеты при попытке образовать сетевое соединение с целевым хостом. Это может быть вызвано сетевым сканированием.
• Незаконченные потоки. Идентифицируются хосты, которые имеют большой процент незаконченных потоков. Это свидетельствует о сканировании, malware или неправильно сконфигурированном приложении на хосте.
• Сканирование типа новогодняя елка (XMAS Tree). В этом случае посылаются TCP-фрейм в удаленное устройство с набором флагов URG, PUSH, FIN. Этот процесс называется сканированием типа новогодняя елка, поскольку перемежающиеся биты включают и выключают байт флагов (00101001), что очень похоже на мигающую гирлянду на новогоднем дереве.

    
Вышеприведенные алгоритмы - это хороший шаг навстречу автоматизации обнаружения malware, которое может пытаться проникнуть в сеть и хосты. Отметим, что эти алгоритмы фокусируются на анализе сетевого поведения, поскольку глубокая инспекция пакетов (DPI) на соответствие пакетов сигнатурам в общем невозможно при помощи NetFlow. Подобно вирусу гриппа, malware может использовать полиморфные методы. Это означает, что они постоянно меняют  свою структуру и содержимое для того, чтобы избежать обнаружения. Решения, использующие DPI на предмет совпадения пакетов с постоянно обновляемым набором сигнатур, могут быть легко обойдены такими динамическими методами. Причем, даже со всем тем, что указано выше, необходимо использовать и многое другое, чтобы обнаруживать последние формы malware.

"Я уверен, что каждая компания в каждой отрасли, имеющая ценные интеллектуальные активы и торговые секреты уже подверглась (или это произойдет в ближайшее время) успешной атаке, причем мало кто из жертв обнаружил вторжение или его последствия. В сущности весь список компаний Fortune Global 2000 я делю на две категории: на тех, кто знает, что их сеть атакована и скомпрометирована, и тех, кто еще не знает об этом". Дмитрий Альперович, бывший вице-президент по исследованиям угроз в McAfee.