Blog de expertos: Uso de herramientas de código abierto para analizar el tráfico de red

Blog de expertos: Uso de herramientas de código abierto para analizar el tráfico de red

 

El control del tráfico de la red es una cuestión especialmente importante hoy en día, sobre todo teniendo en cuenta las condiciones impuestas por la pandemia COVID 19 a las prácticas de trabajo a distancia. El malware moderno sortea con éxito las técnicas de listas blancas y puede ocultar eficazmente su presencia en el sistema. Analicemos cómo podemos enfocar la desalentadora tarea de la supervisión de la red.

Mientras los límites políticos de la informática se van aclarando (países como China o Rusia intentan crear sus propios ecosistemas que permitan la independencia InternetEl proceso es exactamente lo contrario en el entorno corporativo. Los perímetros se disuelven cada vez más en el ámbito de la información, provocando graves dolores de cabeza a los responsables de la ciberseguridad.

Los problemas están en todas partes. Los profesionales de la ciberseguridad tienen que lidiar con las dificultades de trabajar a distancia con su entorno y dispositivos no confiables, y con la infraestructura en la sombra - Shadow IT. Al otro lado de las barricadas, tenemos modelos de cadena de muerte cada vez más sofisticados y una cuidadosa ofuscación de los intrusos y de la presencia en la red.

Las herramientas estándar de supervisión de la información de ciberseguridad no siempre pueden ofrecer una imagen completa de lo que está ocurriendo. Esto nos lleva a buscar fuentes de información adicionales, como el análisis del tráfico de la red.

El crecimiento de la TI en la sombra

El concepto de Bring Your Own Device (dispositivos personales utilizados en un entorno corporativo) fue sustituido repentinamente por Work From Your Home Device (un entorno corporativo trasladado a los dispositivos personales).

Los empleados utilizan los ordenadores para acceder a su puesto de trabajo virtual y al correo electrónico. Utilizan un teléfono personal para la autenticación multifactorial. Todos sus dispositivos están situados a una distancia cero de los ordenadores potencialmente infectados o IoT conectado a una red doméstica no fiable. Todos estos factores obligan al personal de seguridad a cambiar sus métodos y, en ocasiones, a recurrir al radicalismo de Confianza Cero.

Con la llegada de los microservicios, el crecimiento de la TI en la sombra se ha intensificado. Las organizaciones no disponen de los recursos necesarios para equipar las estaciones de trabajo legítimas con software antivirus y herramientas de detección y procesamiento de amenazas (EDR) y supervisar esta cobertura. El rincón oscuro de la infraestructura se está convirtiendo en un verdadero "infierno".

que no proporciona señales sobre eventos de seguridad de la información u objetos infectados. Esta área de incertidumbre dificulta significativamente la respuesta a los incidentes emergentes.

Para cualquiera que quiera entender lo que ocurre con la seguridad de la información, el SIEM se ha convertido en una piedra angular. Sin embargo, el SIEM no es un ojo que todo lo ve. El bulo del SIEM también ha desaparecido. El SIEM, debido a sus recursos y limitaciones lógicas, sólo ve las cosas que se envían a la empresa desde un número limitado de fuentes y que también pueden ser separadas por los hackers.

Ha aumentado el número de instaladores maliciosos que utilizan utilidades legítimas que ya están en el host: wmic.exe, rgsvr32.exe, hh.exe y muchos otros.

Como resultado, la instalación de un programa malicioso tiene lugar en varias iteraciones que integran llamadas a utilidades legítimas. Por lo tanto, las herramientas de detección automática no siempre pueden combinarlas en una cadena de instalación de un objeto peligroso en el sistema.

Una vez que los atacantes han ganado persistencia en la estación de trabajo infectada, pueden ocultar sus acciones con mucha precisión en el sistema. En particular, trabajan "inteligentemente" con la tala de árboles. Por ejemplo limpiar no sólo registran, sino que los redirigen a un archivo temporal, realizan acciones maliciosas y devuelven el flujo de datos de registro a su estado anterior. De este modo, pueden evitar que se desencadene el escenario de "archivo de registro eliminado" en el SIEM.

Artículos de actualidad