Szakértői blog: Nyílt forráskódú eszközök használata a hálózati forgalom elemzésére
Miközben a politikai informatikai határok egyre világosabbá válnak (olyan országok, mint Kína vagy Oroszország, megpróbálják létrehozni saját ökoszisztémáikat, amelyek lehetővé teszik a független Internet, speciális szolgáltatások és szoftverek), a vállalati környezetben a folyamat pontosan az ellenkezője. A határok egyre inkább feloldódnak az információs területen, ami komoly fejfájást okoz a kiberbiztonsági vezetőknek.
A problémák mindenütt jelen vannak. A kiberbiztonsági szakembereknek meg kell küzdeniük a távoli munkavégzés nehézségeivel, a nem megbízható környezetükkel és eszközeikkel, valamint az árnyékinfrastruktúrával - Shadow IT-vel. A barikádok másik oldalán egyre kifinomultabb kill-chain modellekkel, valamint a behatolók és a hálózati jelenlét gondos elfedésével találkozhatunk.
A szabványos kiberbiztonsági információfigyelő eszközök nem mindig adnak teljes képet arról, hogy mi történik. Ez arra késztet minket, hogy további információforrásokat keressünk, például a hálózati forgalom elemzését.
Az árnyék IT növekedése
A Bring Your Own Device (a vállalati környezetben használt személyes eszközök) koncepcióját hirtelen felváltotta a Work From Your Home Device (a vállalati környezet átültetése a személyes eszközökre).
Az alkalmazottak a virtuális munkahelyükhöz és az e-mailhez való hozzáféréshez PC-ket használnak. Személyes telefonjukat használják a többfaktoros hitelesítéshez. Az összes eszközük nulladik távolságra van a potenciálisan fertőzött számítógépektől vagy IoT nem megbízható otthoni hálózathoz csatlakozik. Mindezek a tényezők arra kényszerítik a biztonsági személyzetet, hogy módszereiket megváltoztassák, és néha a Zero Trust radikalizmusához forduljanak.
A mikroszolgáltatások megjelenésével az árnyék-IT növekedése felerősödött. A szervezeteknek nincsenek meg az erőforrásaik arra, hogy a törvényes munkaállomásokat vírusirtó szoftverekkel és fenyegetésérzékelő és -feldolgozó (EDR) eszközökkel szereljék fel, és ezt a lefedettséget figyelemmel kísérjék. Az infrastruktúra sötét sarka kezd igazi "pokollá" válni.
amely nem ad jelzést információbiztonsági eseményekről vagy fertőzött objektumokról. Ez a bizonytalansági terület jelentősen hátráltatja a felmerülő eseményekre való reagálást.
Mindenki számára, aki meg akarja érteni, mi történik az információbiztonsággal, a SIEM sarokkövévé vált. A SIEM azonban nem mindent látó szem. A SIEM-csalás is eltűnt. A SIEM az erőforrásai és logikai korlátai miatt csak azokat a dolgokat látja, amelyeket korlátozott számú forrásból küldenek a vállalatnak, és amelyeket a hackerek is elkülöníthetnek.
Megnövekedett a gazdaszerveren már meglévő, törvényes segédprogramokat használó rosszindulatú telepítők száma: wmic.exe, rgsvr32.exe, hh.exe és sok más.
Ennek eredményeképpen a rosszindulatú program telepítése több ismétlésben történik, amelyek a törvényes segédprogramok hívásait integrálják. Ezért az automatikus észlelőeszközök nem mindig tudják ezeket a veszélyes objektumnak a rendszerbe történő telepítésének láncolatává kombinálni.
Miután a támadók kitartást szereztek a fertőzött munkaállomáson, nagyon pontosan el tudják rejteni a rendszerben a tetteiket. Különösen a naplózással dolgoznak "okosan". Például tisztítsa meg a nemcsak naplóznak, hanem átirányítják azokat egy ideiglenes fájlba, rosszindulatú műveleteket hajtanak végre, és visszaállítják a naplóadatfolyamot a korábbi állapotába. Így elkerülhetik, hogy a SIEM-en a "naplófájl törlése" forgatókönyvet indítsák el.