専門家のブログです。オープンソースのツールを使ってネットワークトラフィックを解析
政治的なITの境界がはっきりしてきている一方で(中国やロシアのような国は、独立したエコシステムを構築しようとしています。 インターネットしかし、企業では全く逆のことが起こります。情報領域では境界線がますます消失しており、サイバーセキュリティ管理者にとって深刻な問題となっています。
問題はどこにでもある。サイバーセキュリティの専門家は、信頼されていない環境やデバイス、そして影のインフラであるシャドーITを利用して遠隔地で作業することの難しさに対処しなければなりません。バリケードの反対側では、ますます洗練されたキルチェーンモデルや、侵入者やネットワークの存在を慎重に難読化しています。
標準的なサイバーセキュリティ情報監視ツールでは、何が起きているかを完全に把握できないことがあります。そのため、ネットワークトラフィックの解析など、追加の情報源を探すことになります。
シャドーITの拡大
Bring Your Own Device(個人所有のデバイスを企業内で使用する)という概念が、Work From Your Home Device(企業内の環境を個人のデバイスに移す)に突然置き換わったのです。
社員はPCを使ってバーチャルワークプレイスやメールにアクセスしています。個人の携帯電話を使って多要素認証を行っている。彼らのすべてのデバイスは、感染の可能性のあるコンピュータや、コンピュータからの距離がゼロになるように配置されています。 アイオット 信頼されていないホームネットワークに接続されています。これらの要因により、セキュリティ担当者は手法の変更を余儀なくされ、時にはゼロトラストのような過激な手法に走ることもあります。
マイクロサービスの登場により、シャドーITの増加が激化しています。組織には、正規のワークステーションにアンチウイルスソフトウェアや脅威検出・処理(EDR)ツールを装備し、この適用範囲を監視するためのリソースがありません。インフラの暗部はまさに "地獄 "と化している。
は、情報セキュリティイベントや感染したオブジェクトに関するシグナルを提供しません。このような不確実性は、新たに発生するインシデントへの対応を大きく妨げます。
情報セキュリティで何が起こっているかを理解しようとする人にとって、SIEMは礎となっています。しかし、SIEMはすべてを見通すことができるわけではありません。SIEMのデマもなくなりました。SIEMは、そのリソースと論理的な制限のため、限られた数のソースから会社に送られてくるもの、またハッカーによって分離される可能性のあるものしか見ることができません。
wmic.exe、rgsvr32.exe、hh.exeなど、すでにホスト上にある正規のユーティリティーを利用した悪質なインストーラーの数が増加しています。
その結果、悪意のあるプログラムのインストールは、正規のユーティリティーへの呼び出しを統合した複数の反復で行われます。そのため、自動検出ツールでは、それらを組み合わせて、危険なオブジェクトがシステムにインストールされる連鎖を作ることができない場合があります。
攻撃者は、感染したワークステーション上での持続性を獲得した後、自分の行動をシステム内に非常に正確に隠すことができます。特に、ロギングについては、「巧妙に」働きます。例えば クレンジング 彼らはログだけでなく、一時ファイルにリダイレクトしたり、悪意のあるアクションを実行したり、ログデータストリームを以前の状態に戻したりします。このようにして、SIEMで「ログファイルが削除された」というシナリオが発生するのを防ぐことができます。
