Expertenblog: Verwenden von Open Source-Tools für die Analyse des Netzwerkverkehrs
Während die politischen IT-Grenzen immer klarer werden (Länder wie China oder Russland versuchen, ihre eigenen Ökosysteme zu schaffen, die unabhängiges Internet, spezielle Dienste und Software umfassen), ist der Prozess im Unternehmensumfeld genau umgekehrt. Die Perimeter lösen sich zunehmend im Informationsbereich auf und verursachen bei Cybersicherheitsmanagern starke Kopfschmerzen.
Probleme gibt es überall. Cybersecurity-Experten müssen sich mit den Schwierigkeiten der Remote-Arbeit mit ihrer nicht vertrauenswürdigen Umgebung und ihren Geräten sowie mit der Schatteninfrastruktur – Shadow IT – auseinandersetzen. Auf der anderen Seite der Barrikaden haben wir immer ausgefeiltere Kill-Chain-Modelle und eine sorgfältige Verschleierung von Eindringlingen und Netzwerkpräsenz.
Standard-Tools zur Überwachung der Cybersicherheit von Informationen können nicht immer ein vollständiges Bild davon vermitteln, was gerade passiert. Dies veranlasst uns, nach zusätzlichen Informationsquellen zu suchen, beispielsweise nach der Analyse des Netzwerkverkehrs.
Das Wachstum von Shadow IT
Das Konzept von Bring Your Own Device (persönliche Geräte, die in einer Unternehmensumgebung verwendet werden) wurde plötzlich durch Work From Your Home Device (eine Unternehmensumgebung, die auf persönliche Geräte übertragen wird) ersetzt.
Mitarbeiter verwenden PCs, um auf ihren virtuellen Arbeitsplatz und ihre E-Mails zuzugreifen. Sie verwenden ein persönliches Telefon für die Multi-Faktor-Authentifizierung. Alle ihre Geräte sind in einem Abstand von null zu möglicherweise infizierten Computern oder IoT mit einem nicht vertrauenswürdigen Heimnetzwerk verbunden. All diese Faktoren zwingen das Sicherheitspersonal, seine Methoden zu ändern und sich manchmal dem Radikalismus von Zero Trust zuzuwenden.
Mit dem Aufkommen von Microservices hat sich das Wachstum von Shadow IT intensiviert. Unternehmen verfügen nicht über Ressourcen, um legitime Workstations mit Virenschutzprogrammen und Tools zum Erkennen und Verarbeiten von Bedrohungen (EDR) auszustatten und diese Abdeckung zu überwachen. Die dunkle Ecke der Infrastruktur wird zur echten „Hölle“.
die keine Signale über Informationssicherheitsereignisse oder infizierte Objekte liefert. Dieser Unsicherheitsbereich behindert die Reaktion auf neu auftretende Vorfälle erheblich.
Für alle, die verstehen wollen, was mit Informationssicherheit passiert, ist SIEM zu einem Eckpfeiler geworden. SIEM ist jedoch kein allsehendes Auge. Der SIEM-Schwindel ist auch weg. SIEM sieht aufgrund seiner Ressourcen und logischen Grenzen nur Dinge, die von einer begrenzten Anzahl von Quellen an das Unternehmen gesendet werden und die auch von Hackern getrennt werden können.
Die Anzahl der böswilligen Installationsprogramme, die bereits auf dem Host befindliche legitime Dienstprogramme verwenden, hat zugenommen: wmic.exe, rgsvr32.exe, hh.exe und viele andere.
Infolgedessen erfolgt die Installation eines Schadprogramms in mehreren Iterationen, in denen Aufrufe an legale Dienstprogramme integriert sind. Daher können automatische Erkennungswerkzeuge sie nicht immer zu einer Kette der Installation eines gefährlichen Objekts in das System kombinieren.
Nachdem Angreifer auf der infizierten Workstation die Persistenz erlangt haben, können sie ihre Aktionen sehr genau im System verbergen. Insbesondere arbeiten sie „geschickt“ mit der Protokollierung. Beispielsweise bereinigen sie nicht nur Protokolle, sondern leiten sie in eine temporäre Datei um, führen böswillige Aktionen aus und bringen den Protokolldatenstrom in den vorherigen Status zurück. Auf diese Weise können sie vermeiden, dass das Szenario „Protokolldatei gelöscht“ auf dem SIEM ausgelöst wird.