Packets vs Flow/IPFIX – Lo sforzo per ridurre il dwell time

30/06/2021
Al giorno d’oggi, quando sentiamo parlare di un attacco informatico, c’è spesso un riferimento a quando la rete è stata originariamente compromessa, poichè negli ultimi anni, la necessità di determinare da quanto tempo quella compromissione è stata presente (dwell time), chi altro era coinvolto e come si è ottenuta tale accesso, si è spostata in prima linea nelle esigenze del team SecOps.

Che cos’è il dwell time (tempo di permanenza) e perché è importante ridurlo?
Il dwell time rappresenta il periodo di tempo in cui un hacker ha campo libero su una rete compromessa, fino a quando non viene eliminato. Questo tempo, viene determinato aggiungendo il Mean Time To Detect (MTTD) e il Mean Time to Repair/Remediate (MTTR), e viene solitamente misurato in giorni, sebbene in genere duri settimane o addirittura mesi. Inutile dire che ridurre il tempo di permanenza delle violazioni informatiche è essenziale per limitare l’infiltrazione nella rete e la responsabilità finanziaria, ma la questione di come affrontarla al meglio diventa complicata.

Quindi, come possiamo aumentare la visibilità e ridurre questo tempo?
Un approccio comune per ottenere visibilità sulla rete consiste nell’implementazione di una soluzione di packet capture in punti strategici, come il perimetro Internet e il perimetro Data Center, questo è comunemente indicato come traffico Nord/Sud (traffico in entrata e in uscita dal perimetro di rete aziendale), il problema con questo approccio è che tocca solo una piccola parte del traffico di rete.

Già nel 2014 Cisco ha chiarito questo punto osservando che il 76% del traffico attraversava il data center in direzione Est/Ovest (traffico interno alla rete e che non esce dal perimetro, ovvero comunicazioni Client-Server e Server-Server), mentre solo il 17% del traffico si spostava in direzione nord/sud in quel momento. Ciò significa che l’approccio perimetrale alla sicurezza informatica “fossato e mura del castello” chiaramente non è sufficiente e qualsiasi rilevamento basato su questo modello non riuscirà a trovare infiltrazioni o movimenti laterali, finché qualcosa non attraversa un confine monitorato. In effetti, i recenti attacchi ransomware aiutano a consolidare la necessità di una maggiore visibilità est/ovest poiché il loro approccio “basso e lento” tende a non toccare il perimetro fino a quando l’incidente non si è intensificato.

Come menzionato in altri blog, ci sono ragioni legittime per implementare una soluzione di packet capture; ad esempio, quando la conformità normativa lo richiede. La sfida con l’espansione di questo approccio su tutta la rete è che il modello di distribuzione è complesso e richiede cose come Tap e Network Packet Broker (NPB). Poiché la scala delle reti odierne e l’ottenimento di questo livello di visibilità è enorme e sembra crescere ogni giorno, le aziende stanno esplorando altri approcci, che possano fornire visibilità dettagliata, scalabilità e riduzione del costo totale di proprietà dell’attuale implementazione di rete.

Il Global Cloud Index di Cisco afferma che, a differenza delle reti dei campus, il volume di traffico dominante nel Data Center attraversa una direzione “Est-Ovest”.

Munawar Hossain, Cisco

Perché NetFlow e IPFIX sono una scelta migliore?
Esistono diversi motivi per considerare NetFlow/IPFIX per ottenere una migliore visibilità sul traffico di rete. Innanzitutto, fornisce oltre il 90% del contesto per il quale la maggior parte dei professionisti IT si rivolge all’analisi dei pacchetti. Inoltre, l’adozione è aumentata e ora tutti i principali fornitori supportano NetFlow e IPFIX. Alcuni degli odierni strumenti di reporting NetFlow migliorano persino i dati con cose come l’integrazione di Active Directory e il reporting dei nomi utente e, a loro volta, forniscono maggiori dettagli a un costo inferiore.

In secondo luogo, la tecnologia è super scalabile. Poiché si stanno utilizzando i propri dispositivi di rete, è relativamente facile iniziare il monitoraggio, basta configurare il flusso da inviare dal dispositivo al Collectore, per avere immediata visibilità di un punto oscuro della rete. Il Collector è dove avviene la magia poichè dà la possibilità di correlare le conversazioni, fornire informazioni forensi e monitorare il traffico con intelligenza.

Terzo, riduce il costo totale di distribuzione e proprietà. Nella maggior parte dei casi si ha già l’attrezzatura, e l’utilizzo delle risorse che già si possiedono non solo fornisce le informazioni necessarie per la “riduzione del dwell time”, ma fornisce anche prove forensi dettagliate per tutti gli strumenti di monitoraggio. Ciò consente di fornire un contesto a tali avvisi e aiuta a proteggere più di un singolo punto sulla rete.

Pronto a ridurre il tempo di permanenza?
Il mondo come lo conosciamo è cambiato e continuerà su questa strada. Tutti sanno che è necessario ridurre il tempo di permanenza di un’intrusione nella rete, il concetto è semplice, ma in che modo l’azienda implementerà questo requisito? Come detto prima, l’utilizzo di metadati avanzati come NetFlow e IPFIX espanderà immediatamente la visibilità, raccoglierà quei dati in modo realistico e scalabile e lo farà a un costo molto inferiore. Non ci credi? Se stai cercando una soluzione NDR che offra un’ampia visibilità delle conversazioni oltre a fornire la flessibilità necessaria per integrare tali dati nel proprio ambiente, perché non valutare Scrutinizer?

Contattaci per avere maggiori informazioni.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

WebTitan Cloud vs Cisco Umbrella

WebTitan Cloud vs Cisco Umbrella

WebTitan Cloud vs Cisco Umbrella OpenDNS era un servizio di web filtering gratuito basato su DNS, anche se da allora è stato acquisito da Cisco ed è stato rinominato Cisco Umbrella. Cisco Umbrella è un filtro web popolare per le aziende, anche se molte aziende stanno...