Как зависит кибербезопасность от меток точного времени
Каждому, кто хоть раз летал в другие города и страны, пересекая часовые пояса, наверняка знакома такая ситуация. Вы прилетаете в незнакомый город ночным рейсом и направляетесь в отель.
Ожидая регистрации, видите часы над стойкой регистрации и ощущаете некий когнитивный диссонанс. Может ли сейчас быть 15:24:57 в Сиднее, 13:36:02 в Токио и 23:30:18 в Нью-Йорке? Конечно нет! Часовые пояса разделены полными часами, а не минутами и секундами. Это значит, что часы перед вами рассинхронизированы и показывают неправильное время.
Но в то время как неправильный ход часов в отеле - всего лишь незначительное неудобство, рассинхронизация часов на распределенных серверах в корпоративной сети - серьезная неприятность, а иногда и причина огромной головной боли. Это тем более справедливо, когда инструменты агрегирования журналов и SIEM используются для визуализации и сопоставления действий в географически распределенных сетях. Без точной отметки времени в файлах журнала эти решения не позволяют воссоздать точные шаблоны последовательности для упреждающих действий или для расследования разного рода инцидентов.
Проблемы синхронизации - подарок хакеру
На самом деле, данные журналов и ряд весьма впечатляющих методов судебной экспертизы по отслеживанию действий позволили автору нашумевшего бестселлера отследить атаку и найти. Ее источник - хакер Маркуса Гесса в Ганновере. Гесс, согласно данным следователей, тайно собирал информацию с компьютеров США и продавал ее советскому КГБ. Прочитайте про то, как был выполнен замечательный отпор хакерам, атака которых была обнаружены после того, как обнаружился пробел в логах длительность всего 9 секунд.
Если вы не знаете, что отслеживаете, то вряд ли будет возможно обеспечить синхронизацию всей информации журнала по целям. Перво-наперво, начните с комплексной инвентаризации систем, служб и приложений в среде управления журналами / SIEM (Security information and event management). Некоторые устройства и операционные системы используют форму стандартизированного формата меток времени: например, популярный протокол syslog в маршрутизаторах и межсетевых экранах Unix является действующим стандартом IETF. Последняя версия протокола включает параметры, которые указывают, синхронизированы ли журнал и система по времени (isSynced) с надежным внешним источником времени и является ли синхронизация точной (synAccuracy).
У некоторых механизмов есть шаблоны или соединители, которые автоматически анализируют файл, чтобы найти метку времени, а также могут предоставлять пользователям настраиваемые сценарии или графические интерфейсы, куда администраторы сети могут вводить параметры для точного определения правильного местоположения меток времени в журнале и надежной синхронизации вемени для асу тп. Эта функция особенно полезна, когда системы управления собирают данные журналов из сторонних приложений и сервисов, в которых используется не стандартный формат журнала.
Сведи к общему знаменателю
Например, рассмотрим международную компанию, офисы которой расположены в Лондоне, Нью-Йорке и Москве. Во всех сетях филиалов установлены брандмауэры. Данные журналов брандмауэров были проанализированы специальным ПО и система сообщила, что в определенный день в 18:45, 13:45 и 15:45 был обнаружен отказ в обслуживании. Для локальных зон каждого офиса - это правильные временные метки, но как только механизм управления журналами преобразует географическое время в единое мета-время или всемирное координированное время (UTC), станет ясно, что все три брандмауэра подверглись атаке одновременно.
Для устройств и журналов, которые неточно синхронизированы с внешними источниками времени, механизм управления журналами может обеспечивать собственную нормализацию. При этом система отслеживает время получения информации для файла журнала и помечает его внутренним значением времени. Такой подход гарантирует единую синхронизацию по времени записи события, но точность может быть снижена из-за задержек передачи информации по каналам связи и будет неэффективен для организаций, которые передают информацию о логах в центр пакетам данных только несколько раз в день.
Доверяй источнику точного времени
Одним из наиболее распространенных протоколов, используемых для синхронизации времени, является NTP (Network Time Protocol) 3, который предоставляет информацию о времени в формате UTC. Системы Microsoft Windows реализуют NTP как WTS (служба времени Windows), а некоторые атомные часы предоставляют данные в Интернет для синхронизации NTP. Одним из примеров этого является служба времени в Интернете NIST4.
Что мы можем с этим поделать? Почти ничего. Мы просто вынуждены. Этим мириться и терпеть незначительные проблемы с безопасностью, NTP является наиболее широко используемым (и повсеместно поддерживаемым) протоколом синхронизации времени сетевых устройств. Единственно, что мы можем сделать, это принять все возможные меры для того, чтобы обойти эти проблемы. По возможности рассмотрите возможность добавления дополнительного мониторинга и разделения сети к авторитетным источникам времени.
Вместо резюме
Читатели этой статьи также смотрели на сайте rfcmd.ru
Что такое VoIP и как работает IP-телефония
Почему VoIP так популярен?
Инстаграм 2020: Как развивать бизнес-аккаунт
Как научить старый сайт новым трюкам
Твиттер против спама
Эффекты соцсетей на современное общество
Покупать ли прокси или использовать VPN?
10 лучших каналов для раскрутки сайта
В то время как неправильный ход часов в отеле - всего лишь незначительное неудобство, рассинхронизация часов на распределенных серверах в корпоративной сети - серьезная неприятность, а иногда и причина огромной головной боли. Без точной отметки времени в файлах журнала эти решения не позволяют воссоздать точные шаблоны последовательности для упреждающих действий или для расследования разного рода инцидентов.
