Asiantuntijablogi: Avoimen lähdekoodin työkalujen käyttö verkkoliikenteen analysointiin
Vaikka poliittiset tietotekniikkarajat selkiytyvät (Kiinan ja Venäjän kaltaiset maat pyrkivät luomaan omia ekosysteemejään, jotka mahdollistavat itsenäiset Internet, erikoistuneet palvelut ja ohjelmistot), mutta yritysympäristössä prosessi on täysin päinvastainen. Tietoalalla raja-aidat ovat yhä useammin hälvenemässä, mikä aiheuttaa vakavaa päänvaivaa kyberturvallisuudesta vastaaville johtajille.
Ongelmia on kaikkialla. Kyberturvallisuuden ammattilaisten on selviydyttävä vaikeuksista, jotka liittyvät etätyöskentelyyn, epäluotettavaan ympäristöön ja laitteisiin sekä varjoinfrastruktuuriin - Shadow IT:hen. Barrikadien toisella puolella meillä on yhä kehittyneempiä tappoketjumalleja ja huolellista tunkeutujien ja verkon läsnäolon häivyttämistä.
Tavanomaiset tietoverkkoturvatietojen seurantatyökalut eivät aina anna täydellistä kuvaa siitä, mitä tapahtuu. Tämä johtaa meidät etsimään muita tietolähteitä, kuten verkkoliikenneanalyysejä.
Varjo-IT:n kasvu
Bring Your Own Device -käsite (henkilökohtaiset laitteet, joita käytetään yritysympäristössä) korvattiin yhtäkkiä Work From Your Home Device -käsitteellä (yritysympäristö siirretty henkilökohtaisiin laitteisiin).
Työntekijät käyttävät tietokoneita virtuaalisen työpaikan ja sähköpostin käyttöön. He käyttävät henkilökohtaista puhelinta monitekijätodennusta varten. Kaikki heidän laitteensa sijaitsevat nollan etäisyydellä mahdollisesti tartunnan saaneista tietokoneista tai IoT yhdistetty epäluotettavaan kotiverkkoon. Kaikki nämä tekijät pakottavat turvallisuushenkilöstön muuttamaan metodejaan ja joskus turvautumaan Zero Trust -radikalismiin.
Mikropalvelujen käyttöönoton myötä varjo-IT:n kasvu on voimistunut. Organisaatioilla ei ole resursseja varustaa laillisia työasemia virustorjuntaohjelmistoilla ja uhkien havaitsemis- ja käsittelytyökaluilla (EDR) ja valvoa niiden kattavuutta. Infrastruktuurin pimeästä nurkasta on tulossa todellinen "helvetti".
joka ei anna signaaleja tietoturvatapahtumista tai tartunnan saaneista kohteista. Tämä epävarmuus vaikeuttaa merkittävästi reagointia uusiin tapahtumiin.
Kaikille, jotka haluavat ymmärtää, mitä tietoturvan alalla tapahtuu, SIEM:stä on tullut kulmakivi. SIEM ei kuitenkaan ole kaikkinäkevä silmä. SIEM-huijaus on myös poissa. SIEM näkee resurssiensa ja loogisten rajoitustensa vuoksi vain asiat, jotka lähetetään yritykselle rajoitetusta määrästä lähteitä ja jotka myös hakkerit voivat erottaa.
Haitallisia asennusohjelmia, jotka käyttävät jo isännässä olevia laillisia apuohjelmia, on yhä enemmän: wmic.exe, rgsvr32.exe, hh.exe ja monet muut.
Tämän seurauksena haittaohjelman asennus tapahtuu useissa eri vaiheissa, joihin sisältyy kutsuja laillisille apuohjelmille. Siksi automaattiset tunnistustyökalut eivät aina pysty yhdistämään niitä vaarallisen kohteen asennusketjuksi järjestelmään.
Kun hyökkääjät ovat saaneet pysyvyyttä tartunnan saaneessa työasemassa, he voivat piilottaa toimintansa hyvin tarkasti järjestelmään. Erityisesti ne toimivat "fiksusti" kirjaamisen kanssa. Esimerkiksi puhdistaa ne eivät ainoastaan kirjaa lokitietoja, vaan ohjaavat ne uudelleen väliaikaiseen tiedostoon, suorittavat haitallisia toimia ja palauttavat lokitietovirran entiseen tilaansa. Näin he voivat välttää "lokitiedosto poistettu" -skenaarion käynnistämisen SIEM:ssä.
