Ekspertų tinklaraštis: Atvirojo kodo įrankių naudojimas tinklo srautui analizuoti

Ekspertų tinklaraštis: Atvirojo kodo įrankių naudojimas tinklo srautui analizuoti

 

Tinklo duomenų srauto stebėjimas šiandien yra ypač svarbus klausimas, ypač atsižvelgiant į sąlygas, kurias nuotolinio darbo praktikai nustatė COVID 19 pandemija. Šiuolaikinės kenkėjiškos programos sėkmingai apeina baltųjų sąrašų sudarymo metodus ir gali veiksmingai paslėpti savo buvimą sistemoje. Aptarkime, kaip galime spręsti nelengvą tinklo stebėsenos užduotį.

Nors politinės IT ribos tampa vis aiškesnės (tokios šalys kaip Kinija ar Rusija bando sukurti savo ekosistemas, kurios leistų nepriklausomai Internetas, specializuotos paslaugos ir programinė įranga), įmonių aplinkoje procesas yra visiškai priešingas. Informacijos srityje vis labiau nyksta perimetrai, todėl kibernetinio saugumo vadovams kyla didelis galvos skausmas.

Problemų yra visur. Kibernetinio saugumo specialistai susiduria su sunkumais, kylančiais dirbant nuotoliniu būdu, naudojant nepatikimą aplinką ir įrenginius bei šešėlinę infrastruktūrą - šešėlinę IT. Kitoje barikadų pusėje turime vis sudėtingesnius nužudymo grandinės modelius ir kruopštų įsilaužėlių bei buvimo tinkle užmaskavimą.

Standartinės kibernetinio saugumo informacijos stebėsenos priemonės ne visada leidžia susidaryti išsamų vaizdą apie tai, kas vyksta. Tai verčia ieškoti papildomų informacijos šaltinių, pavyzdžiui, tinklo srauto analizės.

Šešėlinių IT augimas

Sąvoką "Atsinešk savo įrenginį" (asmeniniai įrenginiai, naudojami įmonės aplinkoje) staiga pakeitė sąvoka "Darbas iš namų įrenginio" (įmonės aplinka perkelta į asmeninius įrenginius).

Darbuotojai naudojasi asmeniniais kompiuteriais, kad galėtų pasiekti savo virtualią darbo vietą ir elektroninį paštą. Daugiafaktoriniam autentiškumo patvirtinimui jie naudoja asmeninį telefoną. Visi jų įrenginiai yra nuliniu atstumu nuo galimai užkrėstų kompiuterių arba IoT prijungtas prie nepatikimo namų tinklo. Visi šie veiksniai verčia saugumo darbuotojus keisti savo metodus ir kartais pereiti prie "nulinio pasitikėjimo" radikalizmo.

Atsiradus mikroservisams, suintensyvėjo šešėlinio IT augimas. Organizacijos neturi pakankamai išteklių, kad legaliose darbo vietose įdiegtų antivirusinę programinę įrangą ir grėsmių aptikimo bei apdorojimo (EDR) priemones ir stebėtų jų aprėptį. Tamsusis infrastruktūros kampelis tampa tikru "pragaru".

kuri neteikia signalų apie informacijos saugumo įvykius ar užkrėstus objektus. Ši neapibrėžtumo sritis labai trukdo reaguoti į kylančius incidentus.

SIEM tapo kertiniu akmeniu visiems, kurie nori suprasti, kas vyksta informacijos saugumo srityje. Tačiau SIEM nėra visa matanti akis. SIEM apgaulė taip pat išnyko. SIEM dėl savo išteklių ir loginių apribojimų mato tik tai, kas siunčiama į įmonę iš riboto skaičiaus šaltinių ir ką gali atskirti įsilaužėliai.

Padaugėjo kenkėjiškų diegimo programų, naudojančių teisėtas kompiuteryje jau esančias programas: wmic.exe, rgsvr32.exe, hh.exe ir daug kitų.

Todėl kenkėjiška programa įdiegiama keliais etapais, į kuriuos įtraukiami skambučiai į teisėtas pagalbines programas. Todėl automatinės aptikimo priemonės ne visada gali jas sujungti į pavojingo objekto įdiegimo į sistemą grandinę.

Užpuolikai, įsitvirtinę užkrėstoje darbo vietoje, gali labai tiksliai paslėpti savo veiksmus sistemoje. Visų pirma jie "gudriai" dirba su medienos ruoša. Pavyzdžiui. valyti jie ne tik registruoja žurnalus, bet ir nukreipia juos į laikiną failą, atlieka kenkėjiškus veiksmus ir grąžina žurnalo duomenų srautą į ankstesnę būseną. Tokiu būdu jie gali išvengti "ištrintų žurnalo failų" scenarijaus paleidimo SIEM sistemoje.

Aktualūs straipsniai