Expert blog: Gebruik van open source tools om netwerkverkeer te analyseren
Terwijl de politieke IT-grenzen duidelijker worden (landen als China of Rusland proberen hun eigen ecosystemen te creëren die onafhankelijke internetgespecialiseerde diensten en software), is het proces in de bedrijfsomgeving precies omgekeerd. De perimeters in het informatiedomein vervagen steeds meer, wat cyberbeveiligingsmanagers ernstige hoofdpijn bezorgt.
De problemen zijn overal. Cyberbeveiligers hebben te maken met de moeilijkheden van het werken op afstand met hun onvertrouwde omgeving en apparaten, en met schaduwinfrastructuur - Shadow IT. Aan de andere kant van de barricades hebben we steeds verfijndere kill-chain modellen en zorgvuldige versluiering van indringers en netwerkaanwezigheid.
Standaardinstrumenten voor het monitoren van cyberbeveiligingsinformatie kunnen niet altijd een volledig beeld geven van wat er gebeurt. Dit brengt ons ertoe op zoek te gaan naar aanvullende bronnen van informatie, zoals analyse van het netwerkverkeer.
De groei van Shadow IT
Het concept van Bring Your Own Device (persoonlijke apparaten die in een bedrijfsomgeving worden gebruikt) werd plotseling vervangen door Work From Your Home Device (een bedrijfsomgeving die wordt overgezet op persoonlijke apparaten).
Werknemers gebruiken PC's om toegang te krijgen tot hun virtuele werkplek en e-mail. Ze gebruiken een persoonlijke telefoon voor multi-factor authenticatie. Al hun apparaten bevinden zich op een afstand van nul van mogelijk besmette computers of Het ivd verbonden met een onvertrouwd thuisnetwerk. Al deze factoren dwingen het veiligheidspersoneel hun methoden te veranderen en soms over te gaan tot het radicalisme van Zero Trust.
Met de komst van microservices is de groei van Shadow IT geïntensiveerd. Organisaties beschikken niet over de middelen om legitieme werkstations uit te rusten met antivirussoftware en EDR-tools (threat detection and processing) en deze dekking te monitoren. De donkere hoek van de infrastructuur is een echte "hel" aan het worden.
die geen signalen afgeeft over informatiebeveiligingsgebeurtenissen of besmette objecten. Deze onzekere situatie vormt een aanzienlijke belemmering voor de reactie op nieuwe incidenten.
Voor iedereen die wil begrijpen wat er gebeurt op het gebied van informatiebeveiliging, is SIEM een hoeksteen geworden. SIEM is echter geen alziend oog. De SIEM hoax is ook weg. SIEM ziet, vanwege zijn middelen en logische beperkingen, alleen zaken die vanuit een beperkt aantal bronnen naar het bedrijf worden gestuurd en die ook door hackers kunnen worden afgescheiden.
Het aantal kwaadaardige installateurs dat gebruik maakt van legitieme programma's die al op de host aanwezig zijn, is toegenomen: wmic.exe, rgsvr32.exe, hh.exe en vele andere.
Het resultaat is dat de installatie van een kwaadaardig programma in verschillende iteraties plaatsvindt, waarbij oproepen naar legitieme hulpprogramma's worden geïntegreerd. Daarom kunnen automatische opsporingsinstrumenten deze niet altijd combineren tot een keten van installatie van een gevaarlijk voorwerp in het systeem.
Nadat aanvallers persistentie hebben verkregen op het geïnfecteerde werkstation, kunnen zij hun acties zeer nauwkeurig in het systeem verbergen. In het bijzonder werken ze "slim" met logging. Bijvoorbeeld reinigen ze loggen niet alleen, maar leiden ze ook om naar een tijdelijk bestand, voeren kwaadaardige acties uit en brengen de loggegevensstroom terug naar de vorige toestand. Op die manier kunnen zij voorkomen dat het scenario "logbestand verwijderd" op het SIEM wordt geactiveerd.