Blog ekspercki: Wykorzystanie narzędzi open source do analizy ruchu sieciowego

Monitorowanie ruchu sieciowego jest dziś szczególnie ważnym zagadnieniem, zwłaszcza biorąc pod uwagę warunki narzucone przez pandemię COVID 19 na praktyki pracy zdalnej. Współczesne złośliwe oprogramowanie z powodzeniem obchodzi techniki białej listy i potrafi skutecznie ukryć swoją obecność w systemie. Zastanówmy się, jak możemy podejść do tego trudnego zadania, jakim jest monitorowanie sieci.

Podczas gdy polityczne granice IT stają się coraz wyraźniejsze (kraje takie jak Chiny czy Rosja starają się tworzyć własne ekosystemy, które pozwalają na niezależną Internetspecjalistyczne usługi i oprogramowanie), to w środowisku korporacyjnym proces ten przebiega dokładnie odwrotnie. Granice coraz bardziej się rozmywają w domenie informacji, powodując poważne problemy dla menedżerów ds. bezpieczeństwa cybernetycznego.

Problemy są wszędzie. Specjaliści ds. cyberbezpieczeństwa muszą radzić sobie z trudnościami związanymi z pracą zdalną, z niezaufanym środowiskiem i urządzeniami oraz z infrastrukturą cieni - Shadow IT. Po drugiej stronie barykady mamy coraz bardziej wyrafinowane modele kill-chain i staranne maskowanie intruzów i obecności w sieci.

Standardowe narzędzia do monitorowania informacji dotyczących cyberbezpieczeństwa nie zawsze dają pełny obraz tego, co się dzieje. To skłania nas do poszukiwania dodatkowych źródeł informacji, takich jak analiza ruchu sieciowego.

Rozwój Shadow IT

Koncepcja Bring Your Own Device (urządzenia osobiste używane w środowisku korporacyjnym) została nagle zastąpiona przez Work From Your Home Device (środowisko korporacyjne przeniesione na urządzenia osobiste).

Pracownicy korzystają z komputerów PC, aby uzyskać dostęp do swojego wirtualnego miejsca pracy i poczty elektronicznej. Używają telefonu osobistego do uwierzytelniania wieloczynnikowego. Wszystkie ich urządzenia znajdują się w zerowej odległości od potencjalnie zainfekowanych komputerów lub IoT podłączony do niezaufanej sieci domowej. Wszystkie te czynniki zmuszają pracowników ochrony do zmiany metod działania, a czasem do radykalizmu Zero Trust.

Wraz z pojawieniem się mikroserwisów, nasilił się rozwój Shadow IT. Organizacje nie mają zasobów, aby wyposażyć legalne stacje robocze w oprogramowanie antywirusowe oraz narzędzia do wykrywania i przetwarzania zagrożeń (EDR) i monitorować ich zasięg. Ciemny kąt infrastruktury staje się prawdziwym "piekłem".

który nie dostarcza sygnałów o zdarzeniach związanych z bezpieczeństwem informacji lub zainfekowanych obiektach. Ten obszar niepewności znacznie utrudnia reagowanie na pojawiające się incydenty.

Dla każdego, kto chce zrozumieć, co dzieje się z bezpieczeństwem informacji, SIEM stał się podstawą. SIEM nie jest jednak wszechwidzącym okiem. Nie ma już także oszustwa związanego z SIEM. SIEM, ze względu na swoje ograniczenia zasobowe i logiczne, widzi tylko to, co jest przesyłane do firmy z ograniczonej liczby źródeł i co może być również wydzielone przez hakerów.

Wzrosła liczba złośliwych instalatorów wykorzystujących legalne narzędzia znajdujące się już na hoście: wmic.exe, rgsvr32.exe, hh.exe i wiele innych.

W rezultacie, instalacja złośliwego programu odbywa się w kilku iteracjach, które łączą w sobie wywołania legalnych programów narzędziowych. Dlatego narzędzia automatycznego wykrywania nie zawsze potrafią połączyć je w łańcuch instalacji niebezpiecznego obiektu w systemie.

Po uzyskaniu trwałości na zainfekowanej stacji roboczej, atakujący mogą bardzo precyzyjnie ukryć swoje działania w systemie. W szczególności, "sprytnie" współpracują z logowaniem. Na przykład oczyścić nie tylko rejestrują logi, ale przekierowują je do pliku tymczasowego, wykonują złośliwe działania i przywracają strumień danych dziennika do poprzedniego stanu. W ten sposób można uniknąć uruchomienia scenariusza "plik dziennika usunięty" w SIEM.