Riceviamo spesso domande sulla nostra decisione di ancorare la visibilità della rete ai metadati di rete e su come scegliamo e progettiamo i modelli algoritmici per arricchirla ulteriormente per i data lake e persino per i SIEM. La storia di Riccioli d'oro e i tre orsi offre un'ottima analogia, in quanto la ragazza si imbatte in una casetta nel bosco alla ricerca delle comodità che le sembrano giuste.
Quando i team operativi di sicurezza cercano i migliori dati sulle minacce da analizzare nei loro data lake, i metadati di rete spesso rientrano nella categoria dei dati giusti. Ecco cosa intendo: NetFlow offre dati incompleti ed è stato originariamente concepito per gestire le prestazioni della rete. I PCAP sono ad alta intensità di prestazioni e costosi da archiviare in modo da garantire la fedeltà nelle indagini post-forensi. I compromessi tra NetFlow e PCAP lasciano i professionisti della sicurezza in una situazione insostenibile.
NetFlow: troppo poco
Come ha raccomandato l'ex capo dell'analisi dell'US-CERT in un recente articolo, "molte organizzazioni forniscono un flusso costante di dati di livello 3 o 4 ai loro team di sicurezza. Ma cosa ci dicono davvero questi dati, con il loro contesto limitato, sugli attacchi moderni? Sfortunatamente, non molto".
Questo è NetFlow.
Originariamente progettato per la gestione delle prestazioni di rete e riproposto per la sicurezza, NetFlow fallisce quando viene utilizzato in scenari forensi. Mancano attributi come il contesto delle porte, delle applicazioni e degli host, fondamentali per la ricerca delle minacce e le indagini sugli incidenti. E se fosse necessario andare in profondità nelle connessioni stesse? Come si fa a sapere se ci sono tentativi di connessione SMBv1, il principale vettore di infezione del ransomware WannaCry? Si potrebbe sapere se tra gli host esiste una connessione sulla porta 445, ma come si fa a vedere la connessione senza dettagli a livello di protocollo?
Non è possibile. E questo è il problema di NetFlow.
PCAP: Troppo
Utilizzati nelle indagini post-forensi, i PCAP sono utili per l'analisi del payload e per ricostruire i file al fine di determinare l'entità e la portata di un attacco e identificare l'attività dannosa.
Ma come hanno scritto gli analisti di Gartner Augusto Barros, Anton Chuvakin e Anna Belak nella nota di ricerca "Applying Network-Centric Approaches for Threat Detection and Response", pubblicata il 18 marzo 2019 (ID: G00373460), "Anni fa, gli strumenti forensi di rete (NFT) cercavano di raccogliere pacchetti grezzi su larga scala, ma le reti veloci di oggi rendono questo approccio impraticabile per quasi tutte le organizzazioni".
Un'analisi dei PCAP completi pubblicata sulla rivista Security Intelligence spiega come le reti più semplici richiedano centinaia di terabyte, se non petabyte, di storage per i PCAP. Per questo motivo, per non parlare del costo esorbitante, le organizzazioni che si affidano ai PCAP raramente archiviano più di una settimana di dati, il che è inutile quando si dispone di un grande data lake. Una settimana di dati è inoltre insufficiente se si considera che spesso i team operativi di sicurezza non sanno per settimane o mesi di essere stati violati.
A ciò si aggiunge l'enorme degrado delle prestazioni, cioè una lentezza frustrante, quando si conducono indagini post-forensi su grandi set di dati. Perché mai qualcuno dovrebbe pagare per archiviare i PCAP in cambio di prestazioni scadenti?
Metadati di rete: Giusto
La raccolta e l'archiviazione dei metadati di rete rappresenta un equilibrio perfetto per i data lake e i SIEM. Barros, Chuvakin e Belak hanno poi scritto nella stessa nota di ricerca: "Quindi, la ricchezza dei metadati e l'acquisizione dei file offrono un valore investigativo molto migliore - è più facile e veloce trovare le cose - a un costo computazionale e di archiviazione molto più basso".
I metadati formattati da Zeek offrono il giusto equilibrio tra telemetria di rete e prezzo/prestazioni. Si ottengono dati ricchi, organizzati e facilmente ricercabili con attributi di traffico rilevanti per i rilevamenti di sicurezza e i casi d'uso delle indagini (ad esempio, l'attributo ID della connessione). I metadati consentono inoltre ai team operativi di sicurezza di creare query che interrogano i dati e conducono a indagini più approfondite. Da qui, è possibile costruire query progressivamente mirate, man mano che si estrae un contesto di attacco sempre più ampio.
E lo fa senza i limiti di prestazioni e di big-data comuni ai PCAP. I metadati di rete riducono i requisiti di archiviazione di oltre il 99% rispetto ai PCAP. Inoltre, è possibile archiviare in modo selettivo i PCAP giusti, richiedendoli solo dopo che le analisi forensi basate sui metadati hanno individuato i dati rilevanti del payload.