Обнаружение неправильного использования ресурсов с помощью Flowmon ADS 29.11.2018 17:54Пример того, как Flowmon помогает обнаружить нежелательное программное обеспечение, запущенное в вашей сети.
В этой статье мы приводим краткий пример того, как заметить даже самые тонкие подсказки, которые дает вам система обнаружения аномалий Flowmon. Мы показываем, почему в первую очередь следует использовать Anomaly Detection - поскольку мы, конечно же, обнаружим, с чем наши брандмауэры, системы IPS или безопасность конечных точек не справились.
1. ПРИМЕР
Посмотрите на трафик, показанный на рисунке ниже. Не переходя к выводам, все выглядит нормально и неподозрительно... Тем не менее, система обнаружения аномалий Flowmon отображает небольшие скачки. Давайте немного порассуждаем.
1.1 КАКИЕ ПОДСКАЗКИ
Мы видим:
• что мы общаемся со странами, которые, как известно, имеют низкую репутацию,
• устройства, которые только что появились в нашей сети,
• устройства, которые проявляют аномальное поведение или более разнообразные коммуникации, чем обычно.
При открытии списков видим, что есть один хост, который выделяется:
1.2 ИССЛЕДОВАНИЕ
Теперь дополнительно исследуем и рассмотрим доказательства событий с более подробной информацией.
Теперь мы можем признать, что наш хост, о котором идет речь, занял несколько больше трафика, чем ожидалось. FQDN xmr.pool.minergate.com дает нам еще больше подсказок о том, что происходит...
1.3 ХОСТ ПОД ВОПРОСОМ
Итак, что произошло?
Нам нужно исследовать хост, чтобы выявить, что в нем работает очень умное инженерное приложение, которое запускает майнинг криптовалют. Оно работает очень медленно с получением хэшей, имеет действительные подписи - ни одно программное обеспечение безопасности конечных точек или сеть IPS не предупреждали нас о подобной активности.
2. КЛЮЧЕВЫЕ ВЫВОДЫ
Мы надеемся, что наш краткий пример доказал нашу точку зрения: программное обеспечение, связанное с использованием ресурсов, может быть достаточно продвинуто, чтобы пройти существующую сигнатурную защиту. Тем не менее, всегда будут небольшие подсказки (назовем их аномалиями), на которые мы можем полагаться - даже до того, как это сделают системы, которые точно знают, на что обращать внимание.
Обнаружение аномалий в сочетании с сильными возможностями аналитики (т. е. способностью наблюдать, кто с кем коммуницирует, как только мы получаем намеки на нежелательное поведение) обеспечивает еще один уровень безопасности от быстро развивающихся угроз. Обнаружение этого специального программного обеспечения по майнингу криптовалют было добавлено к набору шаблонов поведения и распространено среди наших клиентов. Теперь клиенты будут уведомлены через метод обнаружения BPATTERNS, что хосты используют это вредоносное программное обеспечение. Тем не менее, важно знать, что общие принципы и различные методы обнаружения из инструментов Flowmon ADS позволяют обнаруживать вредоносные действия, даже не зная их сигнатуры или шаблона поведения.
3. СПЕЦИАЛЬНЫЕ БЛАГОДАРНОСТИ
Особая благодарность команде ALEF Distribution HU и г-ну Тамасу Селингеру за предоставление нам этого примера.
Если вы хотите прочитать дополнительную информацию об обнаружении аномалий, пожалуйста, проверьте соответствующую ссылку о Flowmon ADS. Вы также можете попробовать наше онлайн-ДЕМО или загрузить бесплатную пробную версию.
Автор: Жолтан Течи, квалифицированный специалист по сетям с опытом инженерного проектирования ИТ-инфраструктуры. Он присоединился к Flowmon в 2018 году и оказывает поддержку продажам в регионе Центральной и Восточной Европы.