Stealthwatch Cloud. Быстрое, удобное и эффективное решение для облачных и корпоративных инфраструктур

Stealthwatch Cloud. Быстрое, удобное и эффективное решение для облачных и корпоративных инфраструктур


Не так давно я писал про мониторинг Netflow/IPFIX и про Cisco StealthWatch — аналитическое решение, которое позволяет детектировать такие события, как сканирования, распространение сетевых червей, шпионское ПО, нелегитимные взаимодействия и различного рода аномалии. О расследовании инцидентов с помощью StealthWatch написано в статье.
Мониторинг облачной инфраструктуры давно уже не является новой задачей, так у каждого крупного игрока, есть свои инструменты — Amazon CloudWatch или Amazon S3, Google Stackdriver, Azure Monitor. Эти инструменты отлично подходят для мониторинга приложений, производительности и инфраструктуры в целом, но они не закрывают задачи по безопасности (да и сами провайдеры облаков не сильно ей обеспокоены): распространение зловредного ПО, ботнет-коммуникации, обнаружение аномалий, попытки сканирования, нелегитимный доступ (включая варианты с использованием легитимных учетных данных) и многое другое.
Stealthwatch Enterprise важным источником информации является телеметрия на базе Netflow, то Stealthwatch Cloud использует в качестве таких данных журналы облачных сред (не ограничиваясь логами, получая и другие виды телеметрии). Дальше выполняются привычные для StealthWatch действия: моделирование объектов, построение их поведенческих моделей, обнаружение отклонений, проверка соответствия политикам, обнаружение событий безопасности (как встроенных, так и заданных пользователем) и многое другое. Угрозы, аномальная и зловредная активность обнаруживаются быстрее, как следствие, ущерб от инцидента снижается или даже полностью нивелируется.
При этом у тревог Stealthwatch Cloud есть привычная для XXI века функция: заказчик может оценить полезность сгенерированной тревоги одним кликом мышки. На текущий момент 96% тревог, сгенерированных для существующих заказчиков StealthWatch Cloud, признаны полезными.
Область применения StealthWatch Cloud не ограничена облаками: решение может использоваться для мониторинга публичных облаков, частных облаков, классической корпоративной инфраструктуры, а также, безусловно, гибридной архитектуры с использованием любого сочетания этих трёх компонентов. Учтены в Stealthwatch Cloud и варианты обслуживания нескольких клиентов при оказании услуг по обеспечении безопасности.
Варианты развертывания можно представить примерно следующим образом.


Рисунок 1. Варианты использования StealthWatch Cloud

StealthWatch Cloud можно использовать при работе с публичными облаками (Amazon, Azure, Google), приватными и гибридными облаками, которые построены на инфраструктуре из Kubernetes и, разумеется, корпоративными сетями.
К слову, Mail.ru являются Cisco ISE, AD;
  • Работает технология ETA (Encrypted Traffic Analytics), позволяющая обнаруживать зловредные подключения в зашифрованном трафике без его расшифровки. Более того, данная технология позволяет “разбирать” HTTPS на версии TLS и криптографические протоколы, которые используются при соединениях;
  • Доступен сигнатурный анализ вместе с безсигнатурным, который основывается на телеметрии.

  • Существует вариант и без установки виртуального сенсора (Virtual Sensor), но тогда StealthWatch Cloud сможет работать только с телеметрией, то есть сигнатурный анализ доступен не будет.
    Еще немного плюсов StealthWatch Cloud:

    • Гибкая модель лицензирования по мега-потокам (Effective Mega Flows — EMF, где 1 EMF = 1 млн. логов, которые предварительно дедуплицируются, т.е. остаются в едином экземпляре, и считаются в конце месяца);
    • Поддержка многопользовательских сред (это плюс для партнеров, предоставляющих SOC на аутсорс, из одной консоли можно мониторить всех заказчиков).

    Выводы:
    При работе с публичными, приватными и гибридными облаками StealthWatch Cloud позволяет обнаруживать следующие инциденты безопасности :

    • Аномальное поведение пользователей, хостов
    • Ботнет активность
    • Брутфорс
    • Попытки удаленного доступа, в том числе из необычных геолокаций
    • Распространение зловредного ПО и обращения к зловредным URL
    • Нарушение ролей взаимодействия
    • Новые устройства, потоки
    • Попытки сканирования
    • Флуд трафика, штормы
    • Система обнаружения вторжений (IDS)
    • Специфичные события для AWS, Azure, GCP

    При работе с частными корпоративными сетями добавляется практически весь функционал StealthWatch Enterprise.

    Интеграция с Amazon Web Services (AWS)


    StealthWatch Cloud использует AWS Lambda API (сервис по автоматическому исполнению программного кода и управлению вычислительными ресурсами в AWS) и Identity and Access Management (IAM) API. Это позволяет получать информацию о политиках доступа к инстансам, изменениях исполнения программного кода, проводить аудит инстансов и другое.
    Дополнительно SWC использует данные о потоках (взаимодействиях сетевого уровня) с мониторинговых сервисов Amazon CloudWatch или Amazon S3. VPC (Virtual Private Cloud) Flow logs — так называются данные о потоках в терминологии AWS.
    Следовательно, со стороны администратора в личном кабинете Amazon Web Services следует дать права на чтение потоков (VPC Flow logs) и журналов событий с сервисов Amazon CloudTrail, Amazon IAM, Amazon GuardDuty, AWS Lambda, Amazon Inspector и AWS Config, если вы их используете.
    На рисунке 4 изображены схема работы StealthWatch Cloud и AWS.


    Рисунок 4. Схема работы StealthWatch Cloud и AWS

    В свою очередь, SWC проводит аналитику и выводит ее на дэшборды, позволяя оперативно ознакомиться с текущим трафиком, загрузкой инфраструктуры и даже предсказать будущую загрузку — рисунок 5.


    Рисунок 5. Консоль мониторинга Amazon Web Services в StealthWatch Cloud

    Интеграция с Microsoft Azure


    В случае работы с Azure StealthWatch Cloud обращается к API Azure для считывания журналов событий, которые содержат информацию о трафике “север-юг” и “запад-восток” внутри облачной инфраструктуры. Называются такие журналы — NSG Flow logs. По своей сути похожи на потоки Netflow, так как содержат в себе заголовки пакетов.
    Большим отличием от кейса с AWS является то, что Azure может отправлять копию трафика с виртуальных машин через VTAP — виртуальные ответвители трафика. VTAP является технологией разработанной Microsoft, но доступна для интеграции со всеми третьими решениями. Использование VTAP эффективно, потому что:

    1. Копия трафика с нужных сегментов позволит SWC получить полную видимость и, как следствие, максимальное детектирование угроз.
    2. Нагрузка на виртуальные машины не увеличивается, так как VTAP — это трафик с виртуального коммутатора, а не самой машины.
    3. Взаимодействие с SWC осуществляется по шифрованному TLS туннелю.

    На рисунке 6 изображена схема взаимодействия.


    Рисунок 6. Схема работы StealthWatch Cloud и Microsoft Azure

    Интеграция с Google Cloud Platform


    При интеграции с Google Cloud Platform (GCP) возможно только обращение к API со стороны SWC для считывания ранее упомянутых VPC Flow журналов событий (таких же, как и у Amazon) c Google Stackdriver. Google Stackdriver — это сервис, который собирает логи и метрики из GCP, мониторит приложения, виртуальные машины и Google Cloud инфраструктуру в целом. Однако работа только с VPC Flow журналами событий дает немного меньшую видимость. Схема работы изображена на рисунке 7.


    Рисунок 7. Схема работы StealthWatch Cloud и Google Cloud Platform

    SWC vs. SWE


    Хотя Stealthwatch Cloud и Stealthwatch Enterprise решают сходные задачи, области их применения и различия в основных источниках телеметрии обуславливают разные возможности. Сравнительные данные сведены в таблице ниже.
    Опция сравнения SWC SWE
    Скорость развертывания Максимально быстрая Средняя
    Минимально требуемые мощности Не требуется; 4 GB RAM, 2 CPU, 60 GB HDD (для использования Virtual Sensor) 36 GB RAM, 6 CPU, 385 GB HDD
    Интеграция с ISE Да, если установить Virtual Sensor Да
    ETA/Cognitive Threat Analytics Да Да
    Поддержка публичных облаков Да Нет
    Поддержка приватных облаков и Kubernetes Да Нет
    Используемая телеметрия Журналы событий облаков (VPC Flow, NSG Flow) через API, Netflow/IPFIX при работе с корпоративной сетью NetFlow, sFlow, jFlow, cFlow, Netstream, nvzFlow, IPFIX, Packeteer-2 и другие кастомные доработки
    Поведенческий анализ Для хостов и сетевых устройств, сущностей AWS, Azure, GCP, для подов Kubernetes Для хостов, сетевых устройств
    Дедупликация данных Да Да
    Лицензирование По мега-потокам в месяц (EMF) По потокам в секунду (fps)
    Можно заключить, что StealthWatch Enterprise является отличным вариантом, когда есть своя виртуальная инфраструктура, доступно много вычислительных ресурсов и нужен максимальный функционал по мониторингу корпоративной сети на предмет инцидентов безопасности, легитимных взаимодействий и видимости сети. К слову, можно приобрести и физическое исполнение StealthWatch.
    В свою очередь, StealthWatch Cloud привлекателен быстротой развертывания (особенно для пилота), также для него не требуется развертывать и поддерживать виртуальные машины, кроме Virtual Sensor. SWC позволяет мониторить инфраструктуру в публичных, приватных облаках и поддерживает исходную интеграцию с единой платформой управления ИБ решениями Cisco SecureX .

    Как протестировать?


    Есть два варианта бесплатного пилотного проекта: самому или с партнером. В случае первого варианта, предлагаются обратиться к сайту . Лицензия выдается на 60 дней, гайды по настройке предоставляются на этом же сайте Cisco. В случае, если вы желаете больше погрузиться в детали и максимально качественно решить свои задачи по мониторингу, то обращайтесь к нам по ссылке .

    Заключение


    StealthWatch Cloud является многогранным решением, которое позволяет в максимально сжатые сроки получить полную видимость в приватном, публичном или гибридном облаке, будь-то Amazon Web Services, Microsoft Azure или Google Cloud Platform. Одновременно с этим данное решение может использоваться и для мониторинга корпоративных сетей, обладая при этом практически одинаковым функционалом в сравнении с on-premise StealthWatch Enterprise. Экономия времени, технических и человеческих ресурсов при работе c SWC — вот явные преимущества.
    В ближайшее время мы планируем еще несколько технических публикаций по различным продуктам ИБ. Если вам интересна данная тематика, то следите за обновлениями в наших каналах ( Telegram , Facebook , VK , TS Solution Blog )!
    Alt text