Szakértői blog: Nyílt forráskódú eszközök használata a hálózati forgalom elemzésére

A hálózati forgalom nyomon követése napjainkban különösen fontos kérdés, különösen a COVID 19 járvány által a távmunka-gyakorlatokra rótt feltételek miatt. A modern rosszindulatú programok sikeresen kijátsszák a fehérlistás technikákat, és hatékonyan el tudják rejteni jelenlétüket a rendszerben. Beszéljük meg, hogyan közelíthetjük meg a hálózatfelügyelet ijesztő feladatát.

Miközben a politikai informatikai határok egyre világosabbá válnak (olyan országok, mint Kína vagy Oroszország, megpróbálják létrehozni saját ökoszisztémáikat, amelyek lehetővé teszik a független Internet, speciális szolgáltatások és szoftverek), a vállalati környezetben a folyamat pontosan az ellenkezője. A határok egyre inkább feloldódnak az információs területen, ami komoly fejfájást okoz a kiberbiztonsági vezetőknek.

A problémák mindenütt jelen vannak. A kiberbiztonsági szakembereknek meg kell küzdeniük a távoli munkavégzés nehézségeivel, a nem megbízható környezetükkel és eszközeikkel, valamint az árnyékinfrastruktúrával - Shadow IT-vel. A barikádok másik oldalán egyre kifinomultabb kill-chain modellekkel, valamint a behatolók és a hálózati jelenlét gondos elfedésével találkozhatunk.

A szabványos kiberbiztonsági információfigyelő eszközök nem mindig adnak teljes képet arról, hogy mi történik. Ez arra késztet minket, hogy további információforrásokat keressünk, például a hálózati forgalom elemzését.

Az árnyék IT növekedése

A Bring Your Own Device (a vállalati környezetben használt személyes eszközök) koncepcióját hirtelen felváltotta a Work From Your Home Device (a vállalati környezet átültetése a személyes eszközökre).

Az alkalmazottak a virtuális munkahelyükhöz és az e-mailhez való hozzáféréshez PC-ket használnak. Személyes telefonjukat használják a többfaktoros hitelesítéshez. Az összes eszközük nulladik távolságra van a potenciálisan fertőzött számítógépektől vagy IoT nem megbízható otthoni hálózathoz csatlakozik. Mindezek a tényezők arra kényszerítik a biztonsági személyzetet, hogy módszereiket megváltoztassák, és néha a Zero Trust radikalizmusához forduljanak.

A mikroszolgáltatások megjelenésével az árnyék-IT növekedése felerősödött. A szervezeteknek nincsenek meg az erőforrásaik arra, hogy a törvényes munkaállomásokat vírusirtó szoftverekkel és fenyegetésérzékelő és -feldolgozó (EDR) eszközökkel szereljék fel, és ezt a lefedettséget figyelemmel kísérjék. Az infrastruktúra sötét sarka kezd igazi "pokollá" válni.

amely nem ad jelzést információbiztonsági eseményekről vagy fertőzött objektumokról. Ez a bizonytalansági terület jelentősen hátráltatja a felmerülő eseményekre való reagálást.

Mindenki számára, aki meg akarja érteni, mi történik az információbiztonsággal, a SIEM sarokkövévé vált. A SIEM azonban nem mindent látó szem. A SIEM-csalás is eltűnt. A SIEM az erőforrásai és logikai korlátai miatt csak azokat a dolgokat látja, amelyeket korlátozott számú forrásból küldenek a vállalatnak, és amelyeket a hackerek is elkülöníthetnek.

Megnövekedett a gazdaszerveren már meglévő, törvényes segédprogramokat használó rosszindulatú telepítők száma: wmic.exe, rgsvr32.exe, hh.exe és sok más.

Ennek eredményeképpen a rosszindulatú program telepítése több ismétlésben történik, amelyek a törvényes segédprogramok hívásait integrálják. Ezért az automatikus észlelőeszközök nem mindig tudják ezeket a veszélyes objektumnak a rendszerbe történő telepítésének láncolatává kombinálni.

Miután a támadók kitartást szereztek a fertőzött munkaállomáson, nagyon pontosan el tudják rejteni a rendszerben a tetteiket. Különösen a naplózással dolgoznak "okosan". Például tisztítsa meg a nemcsak naplóznak, hanem átirányítják azokat egy ideiglenes fájlba, rosszindulatú műveleteket hajtanak végre, és visszaállítják a naplóadatfolyamot a korábbi állapotába. Így elkerülhetik, hogy a SIEM-en a "naplófájl törlése" forgatókönyvet indítsák el.