Wat je niet ziet, kun je ook niet beschermen
Moderne cybercriminelen gebruiken zeer geavanceerde technologie, weten hun activiteiten beter dan ooit verborgen te houden en beschikken bovendien over zeer ruime budgetten. Geen wonder dus dat steeds meer organisaties grote moeite hebben om hun bedrijfskritische data afdoende te beschermen. Een belangrijke handicap hierbij is een gebrek aan inzicht in de netwerkinfrastructuur van de organisatie. Want één ding is in de wereld van IT-security heel duidelijk: wat je niet ziet, kun je ook niet beschermen.
Een van de beste manieren om een goed inzicht te krijgen in het netwerk is het verzamelen van NetFlow en andere vormen van metadata die met netwerkverkeer te maken heeft. NetFlow legt attributen vast als zender en ontvanger, IP-adressen, datum en tijdstip, het aantal bytes dat is verstuurd en dergelijke. Hierdoor is een netwerkbeheerder in staat om een goede administratie op te bouwen waarmee hij of zij een goed inzicht krijgt in het gedrag en de prestaties van het netwerk. Bovendien zijn hiervoor geen forse investeringen nodig in systemen en software voor het opslaan van gegevens, terwijl het vastleggen van deze metadata ook geen merkbare impact op de prestaties van het netwerk heeft.
Vastleggen en analyseren
Daarnaast is het niet nodig om netwerk probes te installeren, aangezien de metadata wordt gegenereerd door alle in het netwerk opgenomen systemen en componenten. In feite gebruiken we hiermee het netwerk dus tevens als een krachtige en overal in het netwerk aanwezige security-sensor.
Netwerk-telemetrie is echter niet voldoende om een netwerk veilig te houden. De grote hoeveelheid (meta)data die hiermee wordt verzameld, zal ook geanalyseerd moeten worden. Het gaat om teveel data om dit handmatig te doen. Daarom heeft Cisco Stealthwatch ontwikkeld. Dit is analytics-software die is bedoeld om inzicht in een netwerk te verschaffen op basis van NetFlow. De software is namelijk in staat grote hoeveelheden metadata snel te analyseren en de resultaten daarvan te presenteren.
Actionable intelligence
Nadat NetFlow-metadata is verzameld, wordt deze door Stealthwatch verwerkt en geanalyseerd met als doel signalen te vinden dat ‘malicious behavior’ plaatsvindt. Dit gebeurt aan de hand van een techniek die ‘behavioral analysis’ wordt genoemd. Stealthwatch ontdekt threats dus aan de hand van hun gedrag en niet zozeer op basis van signatures. Hierdoor kunnen ook bedreigingen die gebruik maken van nieuwe methoden worden vastgesteld. Belangrijk hierbij is dat dit verdachte gedrag wordt geconstateerd voordat een cybercrimineel in staat is data uit het netwerk te exporteren.
Stealthwatch maakt gebruik van twee vormen van gedragsanalyse. De eerste methode is het detecteren van gedrag waarvan bekend is dat het bij een bepaalde threat hoort. Dit geldt bijvoorbeeld voor de verspreiding van malware, DDoS-aanvallen en command & control-activiteit. Dit soort threats kennen een duidelijk herkenbaar gedragspatroon dat Stealthwatch snel kan herkennen.
Daarnaast kunnen organisaties eigen policies definiëren. Denk aan peer-to-peer file sharing of het beperken van toegang tot bepaalde netwerksegmenten waar veel gevoelige data wordt vastgelegd. Stealthwatch geeft automatisch een waarschuwing als apparaten die hier niet toe gerechtigd zijn toch proberen deze segmenten te benaderen.
Alarm slaan
De tweede methode voor het constateren van threats is een aanpak die ‘anomaly detection’ wordt genoemd. Doordat Stealthwatch grote hoeveelheden metadata verzamelt, ontwikkelt het als het ware een ‘baseline’ die een beeld schetst van het normale verkeer in het netwerk. Het weet hierdoor dus welke patronen het in het dataverkeer mag verwachten bij iedere host, host-groep en het netwerk als geheel. Wanneer het waargenomen verkeer afwijkt van de patronen die Stealthwatch verwacht, wordt alarm geslagen.
Een goed inzicht in het verkeer in een netwerk is ook van groot belang bij forensisch onderzoek. Hetzelfde geldt voor situaties waarin gereageerd moet worden op een incident. Stealthwatch maakt daarom gebruik van NetFlow-data om gegevens vast te leggen van alle netwerktransacties. Hierdoor ontstaat een ‘audit trail’. Deze informatie kan gemakkelijk worden bewerkt en geanalyseerd zodat onderzoekers relevante informatie uit de grote hoeveelheid metadata kunnen halen.
Identity Services Engine
Stealthwatch kan bovendien geïntegreerd worden met Cisco’s Identity Services Engine (ISE). Deze engine biedt toegang tot informatie over gebruikers en identiteiten. Aangezien IP-adressen vaak handmatig aan een specifieke machine worden toegewezen, kost het binnen een grotere organisatie veel tijd om aan de hand van een IP-adres een gebruiker te achterhalen. Via een koppeling met ISE kan deze gebruikersinfo direct in de Stealthwatch Management Console worden weergegeven.
ISE biedt ook mogelijkheden om gebruikersauthenticatie snel en efficiënt af te handelen. Wanneer een nieuw apparaat zich in het netwerk meldt, zal ISE reageren met het opstarten van een registratie- en verificatieprocedure. Via dit proces wordt vastgesteld om wat voor apparaat het gaat, wat de verantwoordelijkheid van de gebruiker is, van waaruit de connectie wordt gelegd en wordt vastgesteld in hoeverre het device voldoet aan de netwerk-policies.
Remediation
Op deze manier wordt een profiel van het betreffende apparaat gemaakt. ISE gebruikt deze informatie om vast te stellen welke mate van toegang aan het device mag worden verleend. Eenvoudig voorbeeld: een apparaat dat de status van ‘guest’ heeft gekregen, krijgt volledig automatisch toegang tot de internetverbinding, maar niet tot het interne netwerk van de organisatie. Een apparaat dat niet voldoet aan de eisen die de organisatie stelt om toegang tot het netwerk te krijgen, zal deze omgeving niet mogen benaderen maar zal in plaats daarvan naar een speciale webpagina worden geleid waar de gebruiker aanpassingen kan doen aan zijn apparaat zodat hij of zij wel aan de eisen voldoet.
Interessant is dat ISE tevens voorzieningen kent voor zogeheten ‘threat remediation’. Via de koppeling met Stealthwatch kunnen netwerkbeheerders hierdoor - bijvoorbeeld - een verdachte host direct in quarantaine plaatsen. Dit gebeurt dan rechtstreeks vanuit de management-console.
Network as a Sensor
Samen vormen Stealthwatch en ISE Cisco’s Network as a Sensor-oplossing. Dit is een aanpak die het netwerk zelf omvormt tot een security-tool. Niet langer wordt het netwerk dan dus beschermd via firewalls aan de randen, maar wordt in feite iedere component waaruit het netwerk is opgebouwd zelf een security tool. Alleen op die manier kunnen de almaar geavanceerder wordende aanvallen van cybercriminelen worden tegengehouden. Dit is mogelijk doordat de Network as a Sensor de netwerkbeheerder volledig zicht geeft op het verkeer in het netwerk, waarbij alle NetFlow-data bovendien snel en gemakkelijk kan worden geanalyseerd om afwijkend netwerkverkeer op te sporen. Zodat cybercriminelen die proberen het netwerk binnen te dringen zo snel mogelijk kunnen worden ontdekt.
Marco Weeber, Product Sales Specialist for Network Visibility & Enforcement Cisco Global Security Sales Organization