Ekspertblog: Brug af open source-værktøjer til at analysere netværkstrafik

Overvågning af netværkstrafikken er et særligt vigtigt spørgsmål i dag, især i lyset af de betingelser, som COVID 19-pandemien har pålagt fjernarbejdspraksis. Moderne malware omgår med succes whitelisting-teknikker og kan effektivt skjule sin tilstedeværelse i systemet. Lad os diskutere, hvordan vi kan gribe den skræmmende opgave med netværksovervågning an.

Mens de politiske it-grænser er ved at blive klarere (lande som Kina og Rusland forsøger at skabe deres egne økosystemer, der tillader uafhængige Internet, specialiserede tjenester og software), er processen præcis modsat i virksomhedsmiljøet. Perimeterne opløses i stigende grad i informationsområdet, hvilket giver alvorlige hovedpiner for cybersikkerhedsansvarlige.

Der er problemer overalt. Cybersikkerhedseksperter skal håndtere vanskelighederne ved at arbejde eksternt med deres upålidelige miljø og enheder og med skyggeinfrastruktur - Shadow IT. På den anden side af barrikaderne har vi mere og mere sofistikerede modeller for dræberkæder og omhyggelig sløring af ubudne gæster og netværkstilstedeværelse.

Standardværktøjer til overvågning af cybersikkerhedsoplysninger kan ikke altid give et fuldstændigt billede af, hvad der sker. Dette får os til at søge efter yderligere informationskilder, f.eks. analyse af netværkstrafik.

Væksten af skygge-it

Begrebet Bring Your Own Device (personlige enheder, der anvendes i et virksomhedsmiljø) blev pludselig erstattet af Work From Your Home Device (et virksomhedsmiljø, der overføres til personlige enheder).

Medarbejderne bruger pc'er til at få adgang til deres virtuelle arbejdsplads og e-mail. De bruger en personlig telefon til multi-faktor-autentifikation. Alle deres enheder er placeret i en afstand på nul fra potentielt inficerede computere eller IoT er forbundet til et hjemmenetværk, der ikke er tillid til. Alle disse faktorer tvinger sikkerhedspersonalet til at ændre deres metoder og undertiden til at gå over til den radikale nultillid.

Med indførelsen af mikroservices er væksten af skygge-it blevet intensiveret. Organisationer har ikke ressourcerne til at udstyre legitime arbejdsstationer med antivirusprogrammer og værktøjer til registrering og behandling af trusler (EDR) og overvåge denne dækning. Det mørke hjørne af infrastrukturen er ved at blive et sandt "helvede".

som ikke giver signaler om informationssikkerhedshændelser eller inficerede objekter. Dette usikre område hæmmer i høj grad reaktionen på nye hændelser.

For alle, der ønsker at forstå, hvad der sker med informationssikkerhed, er SIEM blevet en hjørnesten. SIEM er dog ikke et altseende øje. SIEM-svindelnummeret er også væk. SIEM ser på grund af sine ressourcer og logiske begrænsninger kun ting, som sendes til virksomheden fra et begrænset antal kilder, og som også kan adskilles af hackere.

Antallet af ondsindede installatører, der bruger legitime værktøjer, der allerede findes på værten, er steget: wmic.exe, rgsvr32.exe, hh.exe og mange andre.

Som følge heraf foregår installationen af et skadeligt program i flere omgange, der integrerer opkald til lovlige værktøjer. Derfor kan automatiske detektionsværktøjer ikke altid kombinere dem i en kæde af installation af et farligt objekt i systemet.

Når angriberne har opnået vedholdenhed på den inficerede arbejdsstation, kan de skjule deres handlinger meget præcist i systemet. De arbejder især "snedigt" med logning. For eksempel rense de ikke kun logger, men omdirigerer dem til en midlertidig fil, udfører ondsindede handlinger og returnerer logdatastrømmen til dens tidligere tilstand. På denne måde kan de undgå at udløse "logfil slettet"-scenariet i SIEM.