Ekspertide blogi: Avatud lähtekoodiga vahendite kasutamine võrguliikluse analüüsimiseks

Võrguliikluse jälgimine on tänapäeval eriti oluline küsimus, eriti arvestades COVID 19 pandeemia poolt kaugtöötavadele kehtestatud tingimusi. Kaasaegne pahavara hoiab edukalt kõrvale valgete nimekirjade tehnikatest ja suudab tõhusalt varjata oma kohalolekut süsteemis. Arutame, kuidas me saame läheneda võrgu jälgimise hirmutavale ülesandele.

Kuigi poliitilised IT-piirid on muutumas selgemaks (riigid nagu Hiina või Venemaa püüavad luua oma ökosüsteeme, mis võimaldavad iseseisvat Internet, spetsialiseeritud teenused ja tarkvara), on protsess ettevõtete keskkonnas täpselt vastupidine. Infovaldkonnas on piirid üha enam lahustumas, põhjustades küberturvalisuse juhtidele tõsist peavalu.

Probleemid on kõikjal. Küberturvalisuse spetsialistid peavad toime tulema raskustega, mis on seotud kaugtööga oma ebausaldusväärse keskkonna ja seadmetega ning variinfrastruktuuriga - Shadow IT. Teisel pool barrikaade on meil üha keerulisemad tapmisahela mudelid ning sissetungijate ja võrgu olemasolu hoolikas varjamine.

Tavapärased küberturvalisuse teabe seirevahendid ei suuda alati anda täielikku ülevaadet toimuvast. See viib meid otsima täiendavaid teabeallikaid, näiteks võrguliikluse analüüsi.

Varju IT kasv

Bring Your Own Device kontseptsioon (isiklikud seadmed, mida kasutatakse ettevõtte keskkonnas) asendus äkki Work From Your Home Device (ettevõtte keskkonda üle kantud isiklikele seadmetele).

Töötajad kasutavad arvutit oma virtuaalsele töökohale ja e-postile juurdepääsuks. Nad kasutavad mitmefaktorilise autentimise jaoks isiklikku telefoni. Kõik nende seadmed asuvad potentsiaalselt nakatunud arvutitest või Asjade internetiühendus ühendatud ebausaldusväärse koduvõrguga. Kõik need tegurid sunnivad julgeolekutöötajaid muutma oma meetodeid ja mõnikord pöörduvad nad Zero Trusti radikaalsuse poole.

Koos mikroteenuste tulekuga on varju-IT kasv intensiivistunud. Organisatsioonidel ei ole ressursse, et varustada seaduslikud tööjaamad viirusetõrjetarkvaraga ja ohtude tuvastamise ja töötlemise (EDR) vahenditega ning jälgida nende katvust. Infrastruktuuri pime nurk on muutumas tõeliseks "põrguks".

mis ei anna signaale infoturbesündmuste või nakatunud objektide kohta. See ebakindluse valdkond takistab oluliselt reageerimist tekkivatele intsidentidele.

Igaühe jaoks, kes tahab mõista, mis toimub infoturbe valdkonnas, on SIEM muutunud nurgakiviks. SIEM ei ole siiski kõikenägev silm. Ka SIEMi pettus on kadunud. SIEM näeb oma ressursside ja loogiliste piirangute tõttu ainult neid asju, mis on ettevõttele saadetud piiratud arvust allikatest ja mida ka häkkerid saavad eraldada.

Suurenenud on pahatahtlike paigaldusprogrammide arv, mis kasutavad juba seaduslikke utiliite: wmic.exe, rgsvr32.exe, hh.exe ja paljud teised.

Selle tulemusena toimub pahatahtliku programmi paigaldamine mitmes etapis, mis integreerivad kõnesid seaduslikele kommunaalprogrammidele. Seetõttu ei saa automaatsed tuvastusvahendid neid alati ühendada ohtliku objekti süsteemi paigaldamise ahelaks.

Pärast seda, kui ründajad on nakatunud tööjaamas püsivaks muutunud, saavad nad oma tegevust väga täpselt süsteemi peita. Eelkõige töötavad nad "targalt" koos logimisega. Näiteks puhastada nad mitte ainult ei logi, vaid suunavad need ümber ajutisse faili, teevad pahatahtlikke toiminguid ja viivad logi andmevoo tagasi eelmisse olekusse. Sel viisil saavad nad vältida SIEMi "logifaili kustutatud" stsenaariumi käivitamist.