Blog d'experts : Utilisation d'outils open source pour analyser le trafic réseau

Blog d'experts : Utilisation d'outils open source pour analyser le trafic réseau

 

La surveillance du trafic réseau est une question particulièrement importante aujourd'hui, notamment en raison des conditions imposées par la pandémie COVID 19 aux pratiques de travail à distance. Les logiciels malveillants modernes parviennent à contourner les techniques de mise en liste blanche et à dissimuler efficacement leur présence dans le système. Voyons comment nous pouvons aborder la tâche ardue de la surveillance du réseau.

Alors que les frontières politiques des technologies de l'information se précisent (des pays comme la Chine ou la Russie tentent de créer leurs propres écosystèmes qui permettent à des Internetles services et les logiciels spécialisés), le processus est exactement l'inverse dans l'environnement de l'entreprise. Les périmètres se dissolvent de plus en plus dans le domaine de l'information, ce qui cause de sérieux maux de tête aux responsables de la cybersécurité.

Les problèmes sont partout. Les professionnels de la cybersécurité doivent faire face aux difficultés du travail à distance avec un environnement et des appareils non fiables, ainsi qu'avec une infrastructure fantôme - Shadow IT. De l'autre côté des barricades, nous disposons de modèles de chaînes d'élimination de plus en plus sophistiqués et d'une dissimulation soigneuse des intrus et de la présence du réseau.

Les outils standard de surveillance des informations de cybersécurité ne peuvent pas toujours donner une image complète de ce qui se passe. Cela nous amène à rechercher des sources d'information supplémentaires, telles que l'analyse du trafic réseau.

La croissance du Shadow IT

Le concept de Bring Your Own Device (appareils personnels utilisés dans un environnement d'entreprise) a soudainement été remplacé par Work From Your Home Device (un environnement d'entreprise transféré sur des appareils personnels).

Les employés utilisent des PC pour accéder à leur lieu de travail virtuel et à leur courrier électronique. Ils utilisent un téléphone personnel pour l'authentification multifactorielle. Tous leurs appareils sont situés à une distance nulle d'ordinateurs ou d'appareils potentiellement infectés. IoT connecté à un réseau domestique non fiable. Tous ces facteurs obligent le personnel de sécurité à changer ses méthodes et à se tourner parfois vers le radicalisme de la confiance zéro.

Avec l'avènement des microservices, la croissance du Shadow IT s'est intensifiée. Les organisations ne disposent pas des ressources nécessaires pour équiper les postes de travail légitimes de logiciels antivirus et d'outils de détection et de traitement des menaces (EDR) et pour surveiller cette couverture. Le coin sombre de l'infrastructure est en train de devenir un véritable "enfer".

qui ne fournit pas de signaux sur les événements de sécurité de l'information ou les objets infectés. Cette zone d'incertitude entrave considérablement la réponse aux incidents émergents.

Pour quiconque veut comprendre ce qui se passe en matière de sécurité de l'information, le SIEM est devenu une pierre angulaire. Cependant, le SIEM n'est pas un œil omniprésent. Le canular du SIEM a également disparu. Le SIEM, en raison de ses ressources et de ses limites logiques, ne voit que les éléments qui sont envoyés à l'entreprise à partir d'un nombre limité de sources et qui peuvent également être séparés par des pirates.

Le nombre d'installateurs malveillants utilisant des utilitaires légitimes déjà présents sur l'hôte a augmenté : wmic.exe, rgsvr32.exe, hh.exe et bien d'autres.

Par conséquent, l'installation d'un programme malveillant se déroule en plusieurs itérations qui intègrent des appels à des utilitaires légitimes. Par conséquent, les outils de détection automatique ne peuvent pas toujours les combiner en une chaîne d'installation d'un objet dangereux dans le système.

Une fois que les attaquants ont obtenu la persistance sur le poste de travail infecté, ils peuvent dissimuler très précisément leurs actions dans le système. En particulier, ils travaillent "intelligemment" avec l'enregistrement. Par exemple nettoyer ils ne se contentent pas des journaux, mais les redirigent vers un fichier temporaire, exécutent des actions malveillantes et ramènent le flux de données des journaux à son état antérieur. De cette façon, ils peuvent éviter de déclencher le scénario "fichier journal supprimé" sur le SIEM.

Derniers articles