Ekspertu emuārs: Atklātā pirmkoda rīku izmantošana tīkla datplūsmas analīzei

Tīkla datplūsmas uzraudzība mūsdienās ir īpaši svarīgs jautājums, jo īpaši ņemot vērā COVID 19 pandēmijas radītos nosacījumus attiecībā uz attālinātā darba praksi. Mūsdienu ļaunprogrammatūra veiksmīgi apiet balto sarakstu veidošanas metodes un var efektīvi slēpt savu klātbūtni sistēmā. Apspriedīsim, kā mēs varam risināt sarežģīto tīkla monitoringa uzdevumu.

Lai gan politiskās IT robežas kļūst arvien skaidrākas (tādas valstis kā Ķīna vai Krievija cenšas izveidot savas ekosistēmas, kas ļauj neatkarīgai Internets, specializētus pakalpojumus un programmatūru), korporatīvajā vidē process ir tieši pretējs. Informācijas jomā perimetri aizvien vairāk izzūd, radot nopietnas galvassāpes kiberdrošības vadītājiem.

Problēmas ir visur. Kiberdrošības speciālistiem ir jārisina problēmas, kas saistītas ar attālinātu darbu ar neuzticamu vidi un ierīcēm, kā arī ar ēnu infrastruktūru - ēnu IT. Otrpus barikādēm mums ir arvien sarežģītāki "nogalināšanas ķēdes" modeļi un rūpīga iebrucēju un tīkla klātbūtnes maskēšana.

Standarta kiberdrošības informācijas uzraudzības rīki ne vienmēr spēj sniegt pilnīgu priekšstatu par notiekošo. Tas liek mums meklēt papildu informācijas avotus, piemēram, tīkla datplūsmas analīzi.

Ēnu IT pieaugums

Koncepciju "Bring Your Own Device" (personīgās ierīces, ko izmanto uzņēmuma vidē) pēkšņi nomainīja koncepcija "Work From Your Home Device" (uzņēmuma vide, kas pārnesta uz personīgajām ierīcēm).

Darbinieki izmanto personālos datorus, lai piekļūtu savai virtuālajai darbavietai un e-pastam. Daudzfaktoru autentifikācijai viņi izmanto personīgo tālruni. Visas to ierīces atrodas nulles attālumā no potenciāli inficētiem datoriem vai IoT savienots ar neuzticamu mājas tīklu. Visi šie faktori piespiež drošības dienestu darbiniekus mainīt savas metodes un dažkārt pievērsties Zero Trust radikālismam.

Līdz ar mikropakalpojumu parādīšanos ir pastiprinājies ēnu IT pieaugums. Organizācijām nav resursu, lai aprīkotu legālās darbstacijas ar pretvīrusu programmatūru un draudu atklāšanas un apstrādes (EDR) rīkiem un uzraudzītu to pārklājumu. Infrastruktūras tumšais stūris kļūst par īstu "elli".

kas nesniedz signālus par informācijas drošības notikumiem vai inficētiem objektiem. Šī neskaidrību joma ievērojami apgrūtina reaģēšanu uz jauniem incidentiem.

Ikvienam, kurš vēlas saprast, kas notiek informācijas drošības jomā, SIEM ir kļuvis par stūrakmeni. Tomēr SIEM nav visaptveroša acs. Arī SIEM krāpšana ir izzudusi. SIEM savu resursu un loģisko ierobežojumu dēļ redz tikai to, kas tiek sūtīts uzņēmumam no ierobežota skaita avotu un ko var atdalīt arī hakeri.

Ir palielinājies to ļaunprātīgo instalētāju skaits, kas izmanto leģitīmus rīkus, kuri jau ir uzņēmējā: wmic.exe, rgsvr32.exe, hh.exe un daudzi citi.

Rezultātā ļaunprātīgas programmas instalēšana notiek vairākās atkārtojumos, kuros integrēti likumīgu utilītu izsaukumi. Tāpēc automātiskie atklāšanas rīki ne vienmēr var tos apvienot bīstama objekta instalēšanas ķēdē sistēmā.

Pēc tam, kad uzbrucēji ir ieguvuši noturību inficētajā darbstacijā, viņi var ļoti precīzi noslēpt savas darbības sistēmā. Īpaši "gudri" tie strādā ar mežizstrādi. Piemēram. tīrīšana tie ne tikai reģistrē žurnālus, bet arī novirza tos uz pagaidu failu, veic ļaunprātīgas darbības un atgriež žurnāla datu plūsmu iepriekšējā stāvoklī. Šādā veidā viņi var izvairīties no scenārija "izdzēsts žurnāla fails" aktivizēšanas SIEM sistēmā.