اهمیت تحلیل ترافیک شبکه و نظارت بر آن در برنامه امنیت سایبری

تحلیل ترافیک شبکه یا NTA چیست

تحلیل ترافیک شبکه یا NTA روشی است برای نظارت بر دسترس‌پذیری و فعالیت شبکه جهت شناسایی ناهنجاری‌هایی مانند مشکلات امنیتی و عملیاتی. از جمله موارد استفاده معمول NTA می‌توان به موارد زیر اشاره کرد:

• جمع‌آوری رکوردهای لحظه‌ای و همچنین سابقه‌ای از آن‌چه در شبکه رخ می‌دهد
• شناسایی بدافزارها مانند فعالیت باج‌افزاری
• تشخیص استفاده از پروتکل‌ها و رمزهای آسیب‌پذیر
• عیب‌یابی شبکه‌های کند
• بهبود دید داخلی و حذف نقاط کور

پیاده‌سازی راهکاری که بتواند به طور پیوسته بر ترافیک شبکه نظارت کند منجر به دستیابی به بینش موردنیاز برای بهینه‌سازی عملکرد شبکه، کاهش سطح حمله، ارتقاء امنیت و بهبود مدیریت منابع می‌شود. با این حال، تنها دانستن نحوه نظارت بر ترافیک شبکه ناکافی است و توجه به منابع داده مناسب برای ابزارهای نظارت بر شبکه نیز از اهمیت زیادی برخوردار است؛ «داده‌های جریان»[۲] (که از طریق دستگاه‌هایی مانند روترها به دست می‌آیند) و «داده‌های بسته»[۳] (که از SPAN[۴]، پورت‌های Mirror و TAP[۵]های شبکه به دست می‌آیند) دو مورد از رایج‌ترین منابع داده در این زمینه هستند.

مزایای کلیدی تحلیل ترافیک شبکه یا NTA

دیدگاه نوین درباره حملات سایبری این است که این حملات دیر و زود، اما با احتمال بسیار زیاد برای هر سازمانی رخ خواهند داد. با توجه به این دیدگاه، پوشش تا حد امکان محیط یک سازمان برای متخصصان امنیتی می‌تواند بسیار طاقت‌فرسا و دشوار باشد. شبکه یکی از عناصر حیاتی در سطح حمله است که با به دست آوردن دید نسبت به داده‌های آن، متخصصان می‌توانند حملات را در بدو شکل‌گیری شناسایی و متوقف کنند. از جمله مزایای تحلیل ترافیک شبکه یا NTA می‌توان به موارد زیر اشاره کرد:

• افزایش دید در دستگاه‌های متصل به شبکه (مانند دستگاه‌های اینترنت اشیا، دستگاه‌های مراقبت پزشکی و …)
• برآورده‌سازی نیازمندی‌های انطباقی
• رفع عیب مشکلات امنیتی و عملیاتی
• پاسخ سریع‌تر به تحقیقات و با جزئیات و اطلاعات زمینه‌ای بیشتر درباره شبکه

اطمینان از جمع‌آوری داده‌ها از منابع مناسب یک گام کلیدی در راه‌اندازی NTA است. داده‌های جریان برای ردیابی «حجم ترافیک»[۶] و نقشه‌برداری از مسیر یک بسته شبکه از منبع به مقصد بسیار عالی هستند. این سطح از اطلاعات می‌تواند به شناسایی ترافیک WAN غیرمجاز و به‌کارگیری منابع شبکه کمک کند، اما می‌تواند فاقد جزئیات و اطلاعات زمینه‌ای غنی برای بررسی مشکلات امنیت سایبری باشد.

«داده‌های بسته» که از بسته‌های شبکه استخراج می‌شوند، می‌توانند به مدیران شبکه در درک نحوه پیاده‌سازی یا استفاده از برنامه‌ها توسط کاربران، ردیابی استفاده از لینک‌های WAN و نظارت بر فایل‌های مشکوک به بدافزار و دیگر رویدادهای امنیتی کمک کنند. ابزارهای «بازرسی بسته عمیق»[۷] (DPI)، با تبدیل فراداده‌های خام به فرمتی قابل خواندن و ارائه امکان واکاوی دقیق حتی کوچکترین جزئیات، قادر هستند تا دید کاملی نسبت به شبکه را در اختیار مدیران شبکه و امنیت قرار دهند.

اهمیت تحلیل ترافیک شبکه

مراقبت از محیط شبکه همیشه اقدامی مطلوب است. چرا که حتی با وجود فایروال‌های قدرتمند، ممکن است اشتباهاتی رخ داده و ترافیک نامناسب از آن‌ها عبور کند یا کاربران از روش‌هایی مانند Tunneling، ناشناس‌سازهای[۸] بیرونی و VPNها، برای دور زدن قوانین فایروال‌ها استفاده کنند.

گسترش باج‌افزارها به عنوان نوعی رایج از حملات در سال‌های اخیر، بر اهمیت نظارت بر ترافیک شبکه افزوده است. یک راهکار نظارت بر شبکه باید قادر به شناسایی فعالیت‌های نشان‌دهنده حملات باج‌افزاری از طریق پروتکل‌های ناامن باشد. به عنوان مثال، در مورد باج‌افزار WannaCry، مهاجمین با اسکن فعالانه به جستجوی شبکه‌هایی با پورت TCP شماره ۴۴۵ باز می‌پرداخته و در ادامه از یک آسیب‌پذیری در SMBv1 برای دسترسی به فایل‌های شبکه استفاده می‌کرده‌اند.

پروتکل RDP یا Remote Desktop Protocol یکی دیگر از برنامه‌هایی است که به طور معمول مورد حمله واقع می‌شود. با توجه به این موضوع، باید اطمینان حاصل شود که هر گونه تلاش برای اتصال به منابع داخلی در فایروال مسدود می‌شود. نظارت بر ترافیک درون فایروال، امکان اعتبارسنجی قوانین و بینشی ارزشمند را فراهم کرده و می‌تواند به عنوان یک منبع برای هشدارهای مبتنی بر ترافیک شبکه مورد استفاده قرار گیرد.

از آن‌جا که Telnet یک پروتکل رمزگذاری نشده است، ترافیک Session، دنباله دستورات CLI[۹] برای ساخت و مدل دستگاه را نشان می‌دهد؛ در نتیجه باید مراقب هر گونه فعالیت مشکوک مرتبط با Telnet و همچنین دیگر پروتکل‌های مدیریتی بود. رشته‌های CLI ممکن است رویه‌های ورود[۱۰]، Credentialهای کاربران، دستورات نمایش Boot یا اجرای پیکربندی، کپی کردن فایل‌ها و دیگر مواردی از این دست را آشکار کنند. در نتیجه، باید داده‌های شبکه را در مورد هر دستگاهی که پروتکل‌های مدیریت رمزگذاری نشده، مانند موارد زیر، را اجرا می‌کند بررسی نمود:

• Telnet
• Hypertext Transport Protocol (HTTP, port 80)
• Simple Network Management Protocol (SNMP, ports 161/162)
• Cisco Smart Install (SMI port 4786)

هدف از آنالیز و نظارت بر ترافیک شبکه چیست

با پیاده‌سازی تحلیل ترافیک شبکه هم در لبه و هم در مرکز آن، می‌توان به بررسی بسیاری از مسائل عملیاتی و امنیتی پرداخت. با استفاده از ابزار تحلیل ترافیک، می‌توان مواردی مانند دانلود‌های حجیم و Streaming یا ترافیک مشکوک ورودی و خروجی را مشاهده کرد. بدین منظور باید اطمینان حاصل شود که فرایند با نظارت بر Internal interface فایروال‌ها، که امکان ردیابی فعالیت‌ها به یک کاربر و کلاینت‌ مشخص را می‌دهند، آغاز شود.

در مقایسه با نقاط پایانی، تحلیل ترافیک شبکه دید بیشتری نسبت به تهدیدات وارده به شبکه یک سازمان ارائه می‌کند. اهمیت این مساله در این است که با توجه به افزایش تعداد دستگاه‌های سیار، دستگاه‌های اینترنت اشیا، تلویزیون‌های هوشمند و …، به چیزی با اطلاعات بیشتر نسبت به Logهای فایروال نیاز است. همچنین باید توجه نمود که در زمان وقوع یک حمله، Logهای فایروال به خودی خود نیز ممکن است مشکل‌ساز باشند. چرا که ممکن است به دلیل بارگیری منابع بر روی فایروال غیرقابل دسترس شده یا اینکه جایگزین شده باشند، حتی در برخی مواقع توسط هکرها تغییر یافته باشند و در نتیجه آن، اطلاعات حیاتی موردنیاز برای فارنزیک (Forensic) از بین بروند.

در ادامه، برخی از موارد استفاده تجزیه و تحلیل و نظارت بر شبکه بیان می‌شود:

• تشخیص فعالیت باج‌افزار
• نظارت بر استخراج غیرقانونی داده‌ها[۱۲]و فعالیت اینترنت
• نظارت بر دسترسی به فایل‌ها بر روی سرورهای فایل یا پایگاه‌های داده MSSQL
• ردیابی فعالیت یک کاربر در شبکه، از طریق گزارش‌دهی فارنزیک کاربر
• ارائه فهرستی از دستگاه‌ها، سرورها و سرویس‌های در حال اجرا بر روی شبکه
• مشخص کردن و شناسایی دلیل اصلی افزایش اشغال پهنای باند شبکه
• ارائه داشبوردهایی بلادرنگ متمرکز بر فعالیت کاربر و شبکه
• تولید گزارش‌های فعالیت شبکه برای مدیران و حسابرسان برای هر بازه زمانی دلخواه

عوال مهم در انتخاب یک راهکار آنالیز و نظارت بر ترافیک شبکه یا NTA

همه ابزارهای نظارت بر ترافیک شبکه مثل هم نیستند. این ابزارها را می‌توان به طور کلی به دو دسته تقسیم‌بندی کرد: ابزارهای مبتنی بر جریان[۱۳] و ابزارهای بازرسی بسته عمیق (DPI). از طریق این ابزارها، انتخاب‌هایی برای Agentهای نرم‌افزاری، ذخیره داده‌های مربوط به گذشته و سیستم‌های تشخیص نفوذ می‌توان انجام داد. در هنگام ارزیابی راهکار مناسب سازمان، ۵ نکته اساسی وجود دارد که باید آن‌ها را در نظر گرفت:

• در دسترس بودن دستگاه‌های مجهز به جریان: آیا شبکه دارای دستگاه‌های مجهز به جریانی است که قادر به تولید جریان موردنیاز توسط یک ابزار NTA باشند؟ ابزارهای DPI ترافیک خام را می‌پذیرند که از طریق سوئیچ‌های مدیریت شده بر روی هر شبکه‌ای وجود داشته و مستقل از فروشنده هستند. سوئیچ‌ها و روترهای شبکه به ماژول یا پشتیبانی خاصی نیاز ندارند، تنها دریافت ترافیک از یک SPAN یا پورت Mirror از هر سوئیچ مدیریت شده‌ای کفایت می‌کند.
• منبع داده: داده‌های جریان و داده‌های بسته از منابع مختلفی به دست می‌آیند و همه ابزارهای NTA قادر به جمع‌آوری هر دو نوع این داده‌ها نیستند. باید با بررسی ترافیک شبکه، در مورد اینکه کدام نوع داده حیاتی است، تصمیم‌گیری شده و در ادامه با مقایسه قابلیت‌ها با ابزارها، اطمینان حاصل شود که تمام موارد موردنیاز پوشش داده شده‌اند.
• نقاط بر روی شبکه: استفاده ابزار از نرم‌افزار مبتنی بر Agent یا نرم‌افزار بدون Agent نکته اساسی دیگری است که باید به آن توجه شود. علاوه‌براین، باید مراقب بود که نظارت زیادی صرف منابع داده در ورودی شبکه نشود. در عوض، باید به طور هوشمندانه، محل‌هایی مانند درگاه‌های[۱۴] اینترنت یا VLANهای مرتبط با سرورهای بسیار مهم، که داده‌ها در آن‌ها همگرا می‌شوند را انتخاب نمود.
• داده‌های لحظه‌ای در مقابل داده‌های مربوط به گذشته: داده‌های مربوط به گذشته برای تجزیه و تحلیل وقایع گذشته بسیار مهم هستند، اما برخی ابزارهای نظارت بر ترافیک شبکه با گذشت زمان این داده‌ها را حفظ نمی‌کنند. نحوه قیمت‌گذاری ابزار را نیز باید در نظر داشت؛ چرا که هزینه برخی ابزارها بر اساس مقدار داده‌ قابل ذخیره، متفاوت است. با درک واضح نوع داده مهم برای خود و همچنین با توجه به نیازها و بودجه می‌توان بهترین گزینه را انتخاب نمود.
• ضبط[۱۵] بسته کامل، هزینه و پیچیدگی: برخی ابزارهای DPI تمام بسته را ضبط و نگهداری می‌کنند که این مساله باعث افزایش هزینه تجهیزات و ذخیره‌سازی شده و تخصص و آموزش زیادی برای عملیاتی شدن نیاز دارد. برخی دیگر، تمام بسته را ضبط کرده اما تنها جزئیات و فراداده‌های مهم برای هر پروتکل را پس از استخراج، ذخیره می‌کنند. استخراج و ذخیره‌سازی تنها فراداده‌ها، منجر به کاهش چشم‌گیر هزینه ذخیره‌سازی می‌شود و در عین حال، جزئیات قابل خواندن و قابل اقدام، که هم برای تیم‌های شبکه و هم برای تیم‌های امنیتی ایده‌آل هستند، را حفظ می‌کند.

نتیجه‌گیری

تحلیل ترافیک شبکه راهی است اساسی برای نظارت بر در دسترس بودن و فعالیت شبکه با هدف شناسایی ناهنجاری‌ها، بهینه‌سازی کارایی و جستجوی حملات. در کنار انبوه‌سازی[۱۶] Logها، UEBA و داده‌های نقاط پایانی، ترافیک شبکه از ارزش زیادی در دستیابی به دید در شبکه و تجزیه و تحلیل کامل امنیتی برای کشف و حذف زودهنگام تهدیدات برخوردار است. در زمان انتخاب یک راهکار NTA، باید نقاط کور موجود بر روی شبکه و منابع داده‌ای که نیازمند دریافت اطلاعات از آن‌ها هستید، و نقاط حیاتی شبکه که در آن‌ها داده‌ها برای نظارت موثر همگرا می‌شوند، را در نظر گرفت. اضافه شدن NTA به عنوان یک لایه به راهکار SIEM، دید بیشتری از محیط و کاربران ارائه می‌کند.

منبع:

https://www.rapid7.com/fundamentals/network-traffic-analysis

[۱] Network Traffic Analysis

[۲] Flow data

[۳] Packet data

[۴] Switch Port Analyzer: پورت SPAN یک Interface بر روی سوئیچ است که داده‌های Interfaceهای دیگر را کپی می‌کند. امکان تعریف پورت SPAN در اغلب سوئیچ‌های پیشرفته وجود دارد. نام دیگر این پورت Mirror Port است. دستگاه‌های تحلیل و نظارت می‌توانند به پورت SPAN متصل شده و به اطلاعات ترافیک شبکه دسترسی پیدا کنند.

[۵] Test Access Point: وسیله‌ای کوچک که به شبکه متصل شده و داده‌های در حال تبادل را برای دستگاه تحلیل ترافیک شبکه ارسال می‌کند. سیستم TAP داده‌های دریافتی و ارسالی را همزمان بر روی دو کانال اختصاص یافته به این مسئله انتقال داده و از دریافت داده‌ها به طور بلادرنگ توسط نظارت اطمینان حاصل می‌کند.

[۶] Traffic volumes

[۷] Deep packet inspection

[۸] Anonymizer

[۹] Command Line Interface

[۱۰] Login

[۱۱] Forensic

[۱۲] Data exfiltration

[۱۳] Flow-based

[۱۴] Gateway

[۱۵] Capture

[۱۶] Aggregation