Проблемы обеспечения видимости зашифрованного трафика и обнаружения угроз
Шифрование кардинально изменило принципы работы систем мониторинга трафика. Практически все современные сетевые коммуникации – веб, облачные сервисы, SaaS, внутренние сервисы – по умолчанию шифруются. Это отлично для конфиденциальности пользователей, но усложняет законные процедуры перехвата.
Получить доступ к нужному трафику, извлечь значимые данные и при этом не нарушить законы и нормы конфиденциальности – задача не из легких.
Традиционные подходы к обеспечению видимости уже не достаточны. Простой порт TAP или SPAN не поможет, если полезные данные зашифрованы, а полное расшифрование в больших масштабах часто сопряжено с юридическими, этическими и операционными рисками. Необходим более интеллектуальный способ отслеживания происходящего, не требующий обязательного просмотра всего.
Advanced Packet Brokers: выбор трафика, фильтрация и предварительная обработка пакетов
Именно здесь Advanced Packet Brokers обеспечивают необходимый уровень видимости для решения возникающих задач. Вместо того чтобы отправлять весь трафик в ваши инструменты мониторинга, Advanced Packet Brokers обеспечивают точный контроль над тем, какой трафик доставляется в нужный инструмент. Вы можете подключить TAP только к соответствующим сеансам, применять фильтрацию на основе IP-адресов, портов, VLAN или расширить видимость до идентификаторов приложений на основе DPI уровня 7 и снизить нагрузку на ваш стек анализа, отсекая ненужную полезную нагрузку.
Advanced Packet Brokers также могут обрабатывать сложные инкапсуляции, такие как GRE, VXLAN или MPLS, и обеспечивать просмотр как внешнего, так и внутреннего уровней трафика, что особенно полезно при использовании туннелирования для скрытия угроз.
Видимость зашифрованного трафика: расшифровка TLS и извлечение метаданных
Advanced Packet brokers от Niagara Networks предлагают два основных метода обеспечения видимости зашифрованных сеансов.
Во-первых, когда разрешено дешифрование, пакетный брокер может работать как внеполосный пассивный механизм дешифрования TLS или как прокси TLS типа «человек посередине», прекращая и восстанавливая зашифрованные сеансы. Затем дешифрованный трафик может быть перенаправлен, замаскирован или выборочно отфильтрован в соответствии с политикой. Это позволяет проводить глубокую проверку критически важных потоков, сохраняя при этом контроль над раскрытием данных.
Во-вторых, когда дешифрование не разрешено или просто нецелесообразно, пакетный брокер Niagara все равно может извлекать ценные метаданные из перехваченных потоков данных. К ним относятся отпечатки TLS, указание имени сервера (SNI), атрибуты сертификатов, продолжительность потоков и многое другое. Метаданные дают надежный сигнал для поведенческого анализа без нарушения шифрования или ограничений конфиденциальности.
Анализ зашифрованного трафика: Синергия между Niagara и инструментами обнаружения сетевых угроз
Именно здесь сочетание Advanced Packet Brokers от Niagara и платформ обнаружения и реагирования на сетевые угрозы (NDR) действительно показывает свою силу: усовершенствованные пакетные брокеры будут перехватывать интересующий трафик и делиться им с инструментом NDR. NDR разработан для эффективной работы в зашифрованных средах, уделяя особое внимание анализу зашифрованного трафика – технологии, которая использует метаданные и поведенческие шаблоны для выявления угроз без доступа к полезной нагрузке пакетов.
Платформа Network Detection and Response может выполнять следующие типы анализа:
- JA3, JA3S fingerprinting для идентификации клиентов, серверов или известных наборов инструментов вредоносного ПО
- Метаданные TLS, такие как время сеанса, размер потока и свойства сертификата
- Извлечение SNI для понимания направлений трафика
- Машинное обучение для классификации типов сеансов и обнаружения необычных паттернов, таких как командно-контрольные или латеральные перемещения
Этот метод снижает операционный риск, устраняет «слепые зоны», создаваемые шифрованием, и повышает точность обнаружения. Он также гарантирует, что конфиденциальные данные никогда не будут храниться или обрабатываться без необходимости.
Тем не менее, анализ зашифрованного трафика охватывает не все. Для некоторых зашифрованных протоколов более глубокая видимость может по-прежнему требовать полного дешифрования. Но для большей части трафика TLS 1.3 или HTTPS сочетание метаданных, сгенерированных пакетным брокером, и аналитики NDR предоставляет мощные аналитические возможности.
Рабочий процесс: Интеграция пакетного брокера и NDR для обеспечения видимости зашифрованного трафика
Вот как это работает на практике:
Трафик поступает в сеть по высокоскоростным каналам и принимается Advanced Packet Broker. На этом этапе он выполняет фильтрацию на основе авторизованных селекторов – IP, порт, VLAN или более сложных тегов политики. В зависимости от конфигурации он может дешифровать трафик или извлекать/генерировать метаданные в режиме реального времени. Обработанный поток очищается, сокращается, дедуплицируется (при необходимости) и приводится в соответствие с требованиями, а затем отправляется в NDR.
На заключительном этапе платформа Network Detection and Response выполняет поведенческий анализ и анализ отпечатков в поисках аномалии или известные шаблоны. Если хэш JA3 совпадает с известной структурой вредоносного ПО или если сертификат выглядит подозрительно, она генерирует предупреждение. Все это происходит без полной проверки пакетов.
Этот рабочий процесс обеспечивает баланс между видимостью, безопасностью и соответствием требованиям в одной модульной архитектуре. Расширенные брокеры пакетов Niagara Networks, являющиеся частью Open Visibility Platform, позволяют размещать виртуальный NDR в виде единой унифицированной платформы, что означает, что весь процесс выполняется в замкнутой среде, или использовать две отдельных платформы, соединенные через сетевые интерфейсы, что, очевидно, требует большего пространства, энергии и других эксплуатационных затрат. В любом случае, решение может быть отложено в зависимости от предпочтений архитектуры команд NetSecOps.
Оптимизация трафика и защита конфиденциальности с помощью анализа метаданных
В современном мире, где все шифруется, чем меньше контента вы храните, тем лучше. Брокеры пакетов позволяют SeOps передавать только то, что необходимо – хэши JA3, записи NetFlow, значения SNI – в инструменты проверки и обнаружения безопасности. Это способствует соблюдению законов о конфиденциальности, снижает нагрузку на инструменты и позволяет избежать хранения контента, который организации не имеют права проверять по закону.
Но метаданные не являются безобидными. Исследования показывают, что даже без расшифровки метаданные могут раскрыть удивительно глубокую информацию о поведении пользователей, моделях коммуникации и связях между устройствами. Со временем они могут быть использованы для идентификации пользователей, выявления группового поведения и составления схем повседневной деятельности. В чем заключается реальный риск? Метаданные часто не имеют такой же правовой защиты, как контент, а это означает, что организации должны самостоятельно регулировать их сбор и использование ответственно.
И это еще не все. Даже такие, казалось бы, безобидные цифровые отпечатки, как характеристики браузера или TLS-рукопожатия, частота трафика или время сеанса, могут раскрыть личность пользователя. Неправильно настроенные инструменты или чрезмерно подробный сбор метаданных могут незаметно разрушить анонимность. Вот почему гигиена и точность метаданных не являются опцией – они являются основой операционной безопасности.
Именно поэтому архитектура Advanced Packet Broker делает акцент на дисциплине в отношении раскрытия метаданных. Advanced Packet Broker извлекает только то, что необходимо для работы, а платформа NDR анализирует поведение трафика с помощью метаданных и отпечатков, а не исходного контента. Вместе они обеспечивают надежное обнаружение, сохраняя при этом строгий контроль конфиденциальности и соблюдение нормативных требований.
Преимущества комбинированной архитектуры: точность обнаружения, соответствие нормативным требованиям и операционная эффективность
Вот как усовершенствованные пакетные брокеры и платформы NDR от Niagara Networks лучше работают вместе:
Эта совместная архитектура обеспечивает видимость зашифрованного трафика и обнаружение угроз, которые являются масштабируемыми, эффективными и учитывают конфиденциальность.
Заключение: Масштабируемая и интеллектуальная структура для обнаружения зашифрованного трафика
Устаревшие подходы, основанные на проверке полезной нагрузки, больше не подходят для современных сетевых сред. Вместо этого, видимость на основе метаданных и цифровых отпечатков составляет основу современных рабочих процессов обнаружения угроз.
Усовершенствованные пакетные брокеры Niagara Networks, оснащенные функциями глубокой проверки пакетов до уровня 7, дешифрования TLS, разделения пакетов, генерации NetFlow/IPFIX и дополнительных данных пакетов с цифровыми отпечатками, действуют как центральный уровень интеллектуальной видимости. В сочетании с поведенческой платформой NDR эта архитектура обеспечивает:
- Высокая точность отображения трафика при минимальном воздействии
- Обнаружение без дешифрования
- Контекстный мониторинг в режиме реального времени
- Соответствие нормативным требованиям
Источник: Leveraging Advanced Packet Brokers and NDR for Encrypted Traffic Visibility and Threat Detection
