Blog de especialistas: Utilização de ferramentas de código aberto para analisar o tráfego da rede

Blog de especialistas: Utilização de ferramentas de código aberto para analisar o tráfego da rede

 

O monitoramento do tráfego na rede é uma questão particularmente importante hoje, especialmente dadas as condições impostas pela pandemia da COVID 19 sobre as práticas de trabalho remoto. O malware moderno contorna com sucesso as técnicas de whitelisting e pode efetivamente ocultar sua presença no sistema. Vamos discutir como podemos abordar a assustadora tarefa de monitoramento da rede.

Enquanto as fronteiras políticas de TI estão se tornando mais claras (países como a China ou a Rússia estão tentando criar seus próprios ecossistemas que permitem Internetserviços especializados e software), o processo é exatamente o oposto no ambiente corporativo. Os perímetros estão se dissolvendo cada vez mais no domínio da informação, causando fortes dores de cabeça para os gerentes de segurança cibernética.

Os problemas estão em toda parte. Os profissionais da Cibersegurança têm que lidar com as dificuldades de trabalhar remotamente com seu ambiente e dispositivos não confiáveis, e com a infra-estrutura de sombras - Shadow IT. Do outro lado das barricadas, temos modelos cada vez mais sofisticados de kill-chain e cuidadosa ofuscação de intrusos e presença de rede.

As ferramentas padrão de monitoramento de informações de segurança cibernética nem sempre podem dar uma imagem completa do que está acontecendo. Isto nos leva a procurar fontes adicionais de informação, tais como análise de tráfego de rede.

O crescimento da Sombra TI

O conceito de Bring Your Own Device (dispositivos pessoais usados em um ambiente corporativo) foi subitamente substituído pelo Work From Your Home Device (um ambiente corporativo transferido para dispositivos pessoais).

Os funcionários usam PCs para acessar seu local de trabalho virtual e e-mail. Eles usam um telefone pessoal para autenticação multi-fator. Todos os seus dispositivos estão localizados a uma distância de zero de computadores potencialmente infectados ou IoT conectado a uma rede doméstica não confiável. Todos esses fatores forçam o pessoal de segurança a mudar seus métodos e às vezes se voltam para o radicalismo do Trust Zero.

Com o advento dos microserviços, o crescimento da TI Sombra se intensificou. As organizações não dispõem de recursos para equipar estações de trabalho legítimas com software antivírus e ferramentas de detecção e processamento de ameaças (EDR) e monitorar esta cobertura. O canto escuro da infra-estrutura está se tornando um verdadeiro "inferno".

que não fornece sinais sobre eventos de segurança da informação ou objetos infectados. Esta área de incerteza dificulta significativamente a resposta a incidentes emergentes.

Para qualquer um que queira entender o que está acontecendo com a segurança da informação, o SIEM tornou-se uma pedra angular. No entanto, o SIEM não é um olho que enxerga tudo. O embuste do SIEM também desapareceu. SIEM, devido a seus recursos e limitações lógicas, só vê coisas que são enviadas para a empresa a partir de um número limitado de fontes e que também podem ser separadas por hackers.

O número de instaladores maliciosos que usam utilitários legítimos já no host aumentou: wmic.exe, rgsvr32.exe, hh.exe e muitos outros.

Como resultado, a instalação de um programa malicioso ocorre em várias iterações que integram chamadas a serviços públicos legítimos. Portanto, as ferramentas de detecção automática nem sempre podem ser combinadas em uma cadeia de instalação de um objeto perigoso no sistema.

Depois que os atacantes ganham persistência na estação de trabalho infectada, eles podem esconder suas ações com muita precisão no sistema. Em particular, eles trabalham "inteligentemente" com a extração de madeira. Por exemplo limpar eles não apenas registram, mas os redirecionam para um arquivo temporário, realizam ações maliciosas e retornam o fluxo de dados de registro ao seu estado anterior. Desta forma, eles podem evitar acionar o cenário de "arquivo de registro excluído" no SIEM.

Artigos atuais