Експертен блог: Използване на инструменти с отворен код за анализ на мрежовия трафик

Мониторингът на мрежовия трафик е особено важен въпрос днес, особено като се имат предвид условията, наложени от пандемията COVID 19 върху практиките за работа от разстояние. Съвременният зловреден софтуер успешно заобикаля техниките за включване в белия списък и може ефективно да скрие присъствието си в системата. Нека да обсъдим как можем да подходим към трудната задача за наблюдение на мрежата.

Докато политическите граници в областта на информационните технологии стават все по-ясни (страни като Китай или Русия се опитват да създадат свои собствени екосистеми, които да позволяват независими Интернет, специализирани услуги и софтуер), в корпоративната среда процесът е точно обратен. Периметрите в информационното пространство все повече се разтварят, което причинява сериозни главоболия на мениджърите по киберсигурност.

Проблемите са навсякъде. Специалистите по киберсигурност трябва да се справят с трудностите при работа от разстояние, с недоверена среда и устройства, както и с инфраструктурата в сянка - Shadow IT. От другата страна на барикадите имаме все по-усъвършенствани модели на вериги за убиване и внимателно прикриване на нарушителите и присъствието в мрежата.

Стандартните инструменти за наблюдение на информацията в областта на киберсигурността не винаги могат да дадат пълна представа за случващото се. Това ни кара да потърсим допълнителни източници на информация, като например анализ на мрежовия трафик.

Растежът на ИТ в сянка

Концепцията "Донеси своето устройство" (лични устройства, използвани в корпоративна среда) изведнъж беше заменена от "Работи от домашното си устройство" (корпоративна среда, прехвърлена на лични устройства).

Служителите използват персонални компютри за достъп до виртуалното си работно място и електронна поща. Те използват личен телефон за многофакторно удостоверяване. Всички техни устройства са разположени на нулево разстояние от потенциално заразени компютри или IoT свързан към ненадеждна домашна мрежа. Всички тези фактори принуждават служителите по сигурността да променят методите си и понякога да се обърнат към радикализма на нулевото доверие.

С навлизането на микроуслугите се засили ръстът на ИТ в сянка. Организациите не разполагат с ресурси, за да оборудват легитимните работни станции с антивирусен софтуер и инструменти за откриване и обработка на заплахи (EDR) и да наблюдават това покритие. Тъмният ъгъл на инфраструктурата се превръща в истински "ад".

която не предоставя сигнали за събития, свързани със сигурността на информацията, или за заразени обекти. Тази област на несигурност значително затруднява реакцията при възникващи инциденти.

За всеки, който иска да разбере какво се случва с информационната сигурност, SIEM се превърна в крайъгълен камък. SIEM обаче не е всевиждащо око. Измамата SIEM също изчезна. SIEM, поради своите ресурси и логически ограничения, вижда само неща, които се изпращат към компанията от ограничен брой източници и които могат да бъдат отделени от хакери.

Увеличава се броят на зловредните инсталатори, които използват легитимни помощни програми, вече налични в хоста: wmic.exe, rgsvr32.exe, hh.exe и много други.

В резултат на това инсталирането на злонамерена програма се извършва в няколко итерации, които включват повиквания към легитимни помощни програми. Поради това инструментите за автоматично откриване не винаги могат да ги обединят във верига на инсталиране на опасен обект в системата.

След като нападателите са се задържали на заразената работна станция, те могат много точно да скрият действията си в системата. По-специално, те работят "умело" с дърводобива. Например прочистване те не само записват, но и ги пренасочват към временен файл, извършват злонамерени действия и връщат потока от данни на дневника в предишното му състояние. По този начин те могат да избегнат задействането на сценария "изтрит лог файл" в SIEM.