Blog di esperti: Usare strumenti open source per analizzare il traffico di rete

Blog di esperti: Usare strumenti open source per analizzare il traffico di rete

 

Il monitoraggio del traffico di rete è una questione particolarmente importante oggi, soprattutto se si considerano le condizioni imposte dalla pandemia COVID 19 alle pratiche di lavoro a distanza. Il malware moderno elude con successo le tecniche di whitelisting e può efficacemente nascondere la sua presenza nel sistema. Parliamo di come possiamo affrontare l'arduo compito del monitoraggio della rete.

Mentre i confini politici dell'IT stanno diventando più chiari (paesi come la Cina o la Russia stanno cercando di creare i loro ecosistemi che permettono un'indipendenza Internet, servizi specializzati e software), il processo è esattamente l'opposto nell'ambiente aziendale. I perimetri si stanno sempre più dissolvendo nel dominio dell'informazione, causando gravi mal di testa per i manager della cybersecurity.

I problemi sono ovunque. I professionisti della cybersecurity devono affrontare le difficoltà di lavorare in remoto con l'ambiente e i dispositivi non fidati, e con l'infrastruttura ombra - Shadow IT. Dall'altra parte delle barricate, abbiamo modelli di kill-chain sempre più sofisticati e un attento offuscamento degli intrusi e della presenza in rete.

Gli strumenti standard di monitoraggio delle informazioni sulla sicurezza informatica non possono sempre dare un quadro completo di ciò che sta accadendo. Questo ci porta a cercare altre fonti di informazione, come l'analisi del traffico di rete.

La crescita dello Shadow IT

Il concetto di Bring Your Own Device (dispositivi personali usati in un ambiente aziendale) è stato improvvisamente sostituito da Work From Your Home Device (un ambiente aziendale trasferito su dispositivi personali).

Gli impiegati usano i PC per accedere al loro posto di lavoro virtuale e alla posta elettronica. Usano un telefono personale per l'autenticazione a più fattori. Tutti i loro dispositivi sono situati a una distanza pari a zero da computer potenzialmente infetti o IoT collegato a una rete domestica non fidata. Tutti questi fattori costringono il personale di sicurezza a cambiare i propri metodi e a volte si rivolgono al radicalismo di Zero Trust.

Con l'avvento dei microservizi, la crescita dello Shadow IT si è intensificata. Le organizzazioni non hanno le risorse per dotare le postazioni di lavoro legittime di software antivirus e strumenti di rilevamento ed elaborazione delle minacce (EDR) e monitorare questa copertura. L'angolo buio dell'infrastruttura sta diventando un vero "inferno".

che non fornisce segnali su eventi di sicurezza delle informazioni o su oggetti infetti. Quest'area di incertezza ostacola significativamente la risposta agli incidenti emergenti.

Per chiunque voglia capire cosa sta succedendo con la sicurezza delle informazioni, il SIEM è diventato una pietra miliare. Tuttavia, il SIEM non è un occhio onniveggente. Anche la bufala del SIEM è sparita. Il SIEM, a causa delle sue risorse e limitazioni logiche, vede solo le cose che vengono inviate all'azienda da un numero limitato di fonti e che possono anche essere separate dagli hacker.

Il numero di installatori maligni che utilizzano utility legittime già presenti sull'host è aumentato: wmic.exe, rgsvr32.exe, hh.exe e molti altri.

Di conseguenza, l'installazione di un programma maligno avviene in diverse iterazioni che integrano chiamate a utility legittime. Pertanto, gli strumenti di rilevamento automatico non possono sempre combinarli in una catena di installazione di un oggetto pericoloso nel sistema.

Dopo che gli aggressori hanno ottenuto la persistenza sulla workstation infetta, possono nascondere le loro azioni in modo molto preciso nel sistema. In particolare, lavorano "abilmente" con la registrazione. Per esempio pulire non solo registrano i log, ma li reindirizzano a un file temporaneo, eseguono azioni dannose e riportano il flusso di dati di log al suo stato precedente. In questo modo, possono evitare di innescare lo scenario "file di log cancellato" sul SIEM.

Articoli attuali