Nous recevons souvent des questions sur notre décision d'ancrer la visibilité du réseau aux métadonnées du réseau, ainsi que sur la façon dont nous choisissons et concevons les modèles algorithmiques pour l'enrichir davantage pour les lacs de données et même les SIEM. L'histoire de Boucle d'or et des trois ours offre une assez bonne analogie lorsqu'elle tombe sur une cabane dans les bois à la recherche d'un confort qui lui semble parfait.
Lorsque les équipes chargées des opérations de sécurité recherchent les meilleures données sur les menaces à analyser dans leurs lacs de données, les métadonnées du réseau sont souvent classées dans la catégorie des bonnes. Voici ce que je veux dire : NetFlow offre des données incomplètes et a été conçu à l'origine pour gérer les performances du réseau. Les PCAP sont gourmands en performances et coûteux à stocker de manière à garantir la fidélité des investigations post-forensiques. Les compromis entre NetFlow et les PCAP laissent les praticiens de la sécurité dans une situation intenable.
NetFlow : trop peu
Comme l'a recommandé l'ancien chef d'analyse de l'US-CERT dans un article récent, "de nombreuses organisations alimentent leurs équipes de sécurité avec un flux constant de données des couches 3 ou 4. Mais qu'est-ce que ces données, dont le contexte est limité, nous apprennent vraiment sur les attaques modernes ? Malheureusement, pas grand-chose.
Il s'agit de NetFlow.
Conçu à l'origine pour la gestion des performances du réseau et réaffecté à la sécurité, NetFlow échoue lorsqu'il est utilisé dans des scénarios de criminalistique. Il manque des attributs tels que le port, l'application et le contexte de l'hôte, qui sont essentiels à la recherche de menaces et aux enquêtes sur les incidents. Que faire si vous avez besoin d'aller en profondeur dans les connexions elles-mêmes ? Comment savoir s'il y a des tentatives de connexion SMBv1, le principal vecteur d'infection du ransomware WannaCry ? Vous savez peut-être qu'il existe une connexion sur le port 445 entre des hôtes, mais comment voir la connexion sans détails au niveau du protocole ?
Vous ne pouvez pas. Et c'est là le problème de NetFlow.
Les PCAP : Trop
Utilisés dans le cadre d'enquêtes post-forensiques, les PCAP sont utiles pour l'analyse des charges utiles et la reconstitution des fichiers afin de déterminer l'ampleur et la portée d'une attaque et d'identifier les activités malveillantes.
Mais comme l'ont écrit les analystes de Gartner Augusto Barros, Anton Chuvakin et Anna Belak dans leur note de recherche "Applying Network-Centric Approaches for Threat Detection and Response", publiée le 18 mars 2019 (ID : G00373460), " il y a des années, les outils de criminalistique réseau (NFT) cherchaient à collecter des paquets bruts à grande échelle, mais les réseaux rapides d'aujourd'hui ont rendu cette approche peu pratique pour la quasi-totalité des organisations. "
Une analyse des PCAP complets publiée dans le magazine Security Intelligence explique que les réseaux les plus simples nécessiteraient des centaines de téraoctets, voire des pétaoctets, de stockage pour les PCAP. Pour cette raison - sans parler du coût exorbitant - les organisations qui s'appuient sur les PCAP stockent rarement plus d'une semaine de données, ce qui est inutile lorsque l'on dispose d'un grand lac de données. Une semaine de données est également insuffisante si l'on considère que les équipes chargées des opérations de sécurité n'apprennent souvent qu'après des semaines ou des mois qu'elles ont été victimes d'une intrusion.
À cela s'ajoute une dégradation considérable des performances - c'est-à-dire une lenteur frustrante - lors des investigations post-forensiques sur de vastes ensembles de données. Pourquoi payer pour stocker des PCAP en échange de performances médiocres ?
Métadonnées de réseau : Juste ce qu'il faut
La collecte et le stockage des métadonnées de réseau trouvent un équilibre qui convient parfaitement aux lacs de données et aux SIEM. Barros, Chuvakin et Belak écrivent plus loin dans la même note de recherche: "Par conséquent, des métadonnées riches et la capture de fichiers offrent une bien meilleure valeur d'investigation - il est plus facile et plus rapide de trouver des choses - à un coût de calcul et de stockage bien plus faible."
Les métadonnées formatées par Zeek offrent un bon équilibre entre la télémétrie du réseau et le rapport prix/performance. Vous obtenez des données riches, organisées et facilement consultables avec des attributs de trafic pertinents pour les détections de sécurité et les cas d'utilisation d'enquête (par exemple, l'attribut ID de connexion). Les métadonnées permettent également aux équipes chargées des opérations de sécurité d'élaborer des requêtes qui interrogent les données et conduisent à des investigations plus approfondies. À partir de là, des requêtes de plus en plus ciblées peuvent être élaborées au fur et à mesure que le contexte de l'attaque est extrait.
Et ce, sans les limites des PCAP en matière de performances et de big data. Les métadonnées du réseau réduisent les besoins en stockage de plus de 99 % par rapport aux PCAP. De plus, vous pouvez stocker de manière sélective les bons PCAP, en ne les exigeant qu'une fois que les analyses criminalistiques basées sur les métadonnées ont mis en évidence les données utiles de la charge utile.