Inspeção profunda de pacotes

Uma das principais tarefas do DPI é capturar o tráfego nas velocidades necessárias. Para resolver isso, utilizamos placas de rede especializadas com captura garantida (Napatech, AF_PACKET, PFRING), mas isso complicou a escolha do hardware. O DPDK, um conjunto de bibliotecas e drivers para o processamento de pacotes de rede, resolveu esse problema, permitindo que a DPI funcione com placas de rede comuns (Intel, Broadcom, Mellanox).

A tecnologia suporta uma ampla variedade de protocolos de tunelamento, inclusive aqueles arbitrariamente aninhados. Independentemente do protocolo, o DPI elimina os túneis para acessar a sessão de rede original entre o cliente e o servidor. Isso permite a implantação em vários nós de rede para analisar o tráfego proveniente tanto de taps físicos (TAP) quanto de equipamentos compatíveis com protocolos de espelhamento de tráfego (SPAN, RSPAN, ERSPAN, TZSP).

O DPI permite identificar os protocolos mais comuns por meio de métodos baseados em assinaturas. Para protocolos sem assinaturas explícitas (como o Telegram ou protocolos criptografados), utilizamos aprendizado de máquina. Os algoritmos de aprendizado de máquina analisam canais laterais, incluindo tamanhos de fragmentos de dados transmitidos, atrasos e frequência de caracteres.

Os protocolos de aplicativo atuais só têm "aplicativo" no nome. Na verdade, o protocolo HTTPS pode ser utilizado para milhões de aplicativos diferentes (incluindo webmail, redes sociais, streaming de áudio/vídeo e VPNs). Como o DPI analisa o tráfego sem descriptografá-lo, ele detecta o protocolo TLS, e não o HTTPS.

Para compreender o que está contido no protocolo, é necessário o mecanismo app_detect, que utiliza partes da sessão não criptografadas para identificar aplicativos. Isso pode utilizar o campo SNI do TLS ou do JA3, o que corresponde à identificação do TLS. Os algoritmos de aprendizado de máquina também ajudam a identificar aplicativos por meio de canais laterais.

Para detectar ataques no tráfego de rede, especialmente em redes internas, não basta conhecer o protocolo ou o aplicativo. Os pedidos específicos e os dados transmitidos devem ser analisados. O DPI oferece suporte à análise detalhada da maioria dos protocolos amplamente utilizados em redes corporativas, incluindo protocolos específicos do Windows (DCE/RPC, SMB, LDAP, Kerberos, NTLM).

O DPI extrai mais de 1.200 campos diferentes do tráfego para a detecção de ataques. Os operadores utilizam esses recursos para filtrar sessões durante análises retrospectivas, investigações de incidentes ou a busca proativa de ameaças.

O DPI também oferece suporte à extração de arquivos dos protocolos HTTP, SMTP, POP3, IMAP, SMB, NFS, FTP e TFTP. Todos os arquivos passam por verificações de checksum para a detecção de malware com base em IoC. O DPI extrai arquivos em tempo real e pode enviá-los ao PT Sandbox para análise comportamental. Para investigações de ataques cibernéticos, os arquivos extraídos podem ser recuperados manualmente.

O DPI é compatível com a sintaxe de regras do Suricata, permitindo o uso tanto das regras desenvolvidas pela PT ESC quanto das regras apoiadas pela comunidade (ETOpen, ETPro), além de regras personalizadas. Ao mesmo tempo em que mantém a compatibilidade com a sintaxe original, o DPI amplia o mecanismo com novas palavras-chave que aceleram e simplificam a criação de regras.

O DPI transfere todo o tráfego original para um armazenamento especializado quase em tempo real. O armazenamento permite o acesso rápido aos pacotes de conexão originais, que podem ser pesquisados por ID e data/hora. A localização de uma sessão na interface PT NAD permite o download imediato de pacotes originais a partir de um armazenamento na escala de petabytes, que constitui uma fonte de dados ideal para investigações de incidentes e, por vezes, é utilizada como prova.