Blog de especialistas: Usando ferramentas de código aberto para analisar o tráfego da rede
Enquanto as fronteiras políticas de TI estão a tornar-se mais claras (países como a China ou a Rússia estão a tentar criar os seus próprios ecossistemas que permitam Internetserviços especializados e software), o processo é exatamente o oposto no ambiente corporativo. Os perímetros estão a dissolver-se cada vez mais no domínio da informação, causando graves dores de cabeça aos gestores de cibersegurança.
Os problemas estão por todo o lado. Os profissionais da Cibersegurança têm de lidar com as dificuldades de trabalhar remotamente com seu ambiente e dispositivos não confiáveis, e com a infraestrutura de sombras - Shadow IT. Do outro lado das barricadas, temos modelos de kill-chain cada vez mais sofisticados e uma cuidadosa ofuscação de intrusos e presença de rede.
As ferramentas padrão de monitoramento de informações de segurança cibernética nem sempre podem dar uma imagem completa do que está acontecendo. Isto leva-nos a procurar fontes adicionais de informação, tais como análise de tráfego de rede.
O crescimento da Shadow IT
O conceito de Bring Your Own Device (dispositivos pessoais usados em um ambiente corporativo) foi subitamente substituído pelo Work From Your Home Device (um ambiente corporativo transferido para dispositivos pessoais).
Os funcionários usam PCs para acessar seu local de trabalho virtual e e-mail. Eles usam um telefone pessoal para autenticação multi-factor. Todos os seus dispositivos estão localizados a uma distância de zero de computadores potencialmente infectados ou IoT conectado a uma rede doméstica não confiável. Todos estes fatores forçam o pessoal de segurança a mudar seus métodos e às vezes se voltam para o radicalismo da Confiança Zero.
Com o advento dos microserviços, o crescimento da Shadow IT intensificou-se. As organizações não dispõem de recursos para equipar estações de trabalho legítimas com software antivírus e ferramentas de detecção e processamento de ameaças (EDR) e monitorar essa cobertura. O canto escuro da infra-estrutura está se tornando um verdadeiro "inferno".
que não fornece sinais sobre eventos de segurança da informação ou objetos infectados. Esta área de incerteza dificulta significativamente a resposta a incidentes emergentes.
Para quem quer entender o que está acontecendo com a segurança da informação, o SIEM se tornou uma pedra angular. No entanto, o SIEM não é um olho que vê tudo. O embuste do SIEM também desapareceu. SIEM, devido aos seus recursos e limitações lógicas, só vê coisas que são enviadas para a empresa a partir de um número limitado de fontes e que também podem ser separadas por hackers.
O número de instaladores maliciosos que usam utilitários legítimos já no host aumentou: wmic.exe, rgsvr32.exe, hh.exe e muitos outros.
Como resultado, a instalação de um programa malicioso tem lugar em várias iterações que integram chamadas para serviços públicos legítimos. Portanto, as ferramentas de detecção automática nem sempre podem combiná-las em uma cadeia de instalação de um objeto perigoso no sistema.
Após os atacantes terem ganho persistência na estação de trabalho infectada, eles podem esconder suas ações com muita precisão no sistema. Em particular, eles trabalham "inteligentemente" com o abate de árvores. Por exemplo limpar eles não só fazem logs, mas os redirecionam para um arquivo temporário, realizam ações maliciosas e retornam o fluxo de dados de log ao seu estado anterior. Desta forma, eles podem evitar acionar o cenário "log file delete" no SIEM.