Blog de specialitate: Utilizarea instrumentelor open source pentru a analiza traficul de rețea

Blog de specialitate: Utilizarea instrumentelor open source pentru a analiza traficul de rețea

 

Monitorizarea traficului de rețea este un aspect deosebit de important în prezent, mai ales având în vedere condițiile impuse de pandemia COVID 19 asupra practicilor de lucru la distanță. Programele malware moderne reușesc să ocolească cu succes tehnicile de lista albă și își pot ascunde eficient prezența în sistem. Să discutăm despre modul în care putem aborda sarcina descurajantă a monitorizării rețelei.

În timp ce granițele politice ale IT devin mai clare (țări precum China sau Rusia încearcă să își creeze propriile ecosisteme care să permită o dezvoltare independentă a Internet, servicii specializate și software), procesul este exact invers în mediul corporatist. Perimetrele se dizolvă din ce în ce mai mult în domeniul informațional, provocând mari dureri de cap pentru managerii de securitate cibernetică.

Problemele sunt peste tot. Profesioniștii din domeniul securității cibernetice trebuie să se confrunte cu dificultățile legate de lucrul la distanță, cu mediul și dispozitivele lor de neîncredere și cu infrastructura din umbră - Shadow IT. De cealaltă parte a baricadelor, avem modele de lanțuri de distrugere din ce în ce mai sofisticate și o ascundere atentă a intrușilor și a prezenței în rețea.

Instrumentele standard de monitorizare a informațiilor de securitate cibernetică nu pot oferi întotdeauna o imagine completă a ceea ce se întâmplă. Acest lucru ne determină să căutăm surse suplimentare de informații, cum ar fi analiza traficului de rețea.

Creșterea Shadow IT

Conceptul de Bring Your Own Device (dispozitive personale utilizate într-un mediu corporativ) a fost brusc înlocuit de Work From Your Home Device (un mediu corporativ transferat pe dispozitive personale).

Angajații folosesc PC-urile pentru a accesa locul de muncă virtual și e-mailul. Aceștia folosesc un telefon personal pentru autentificarea cu mai mulți factori. Toate dispozitivele lor sunt situate la o distanță de zero față de computerele sau calculatoarele potențial infectate. IoT conectată la o rețea de domiciliu care nu este de încredere. Toți acești factori obligă personalul de securitate să își schimbe metodele și, uneori, să apeleze la radicalismul Zero Trust.

Odată cu apariția microserviciilor, creșterea Shadow IT s-a intensificat. Organizațiile nu dispun de resursele necesare pentru a dota stațiile de lucru legitime cu software antivirus și instrumente de detectare și procesare a amenințărilor (EDR) și pentru a monitoriza această acoperire. Colțul întunecat al infrastructurii devine un adevărat "iad".

care nu furnizează semnale despre evenimente legate de securitatea informațiilor sau despre obiecte infectate. Această zonă de incertitudine îngreunează în mod semnificativ răspunsul la incidentele emergente.

Pentru oricine dorește să înțeleagă ce se întâmplă cu securitatea informațiilor, SIEM a devenit o piatră de temelie. Cu toate acestea, SIEM nu este un ochi atotvăzător. A dispărut și păcăleala SIEM. SIEM, din cauza resurselor sale și a limitărilor logice, vede doar lucrurile care sunt trimise către companie dintr-un număr limitat de surse și care pot fi separate și de hackeri.

A crescut numărul de programe de instalare rău intenționate care utilizează utilități legitime deja existente pe gazdă: wmic.exe, rgsvr32.exe, hh.exe și multe altele.

Ca urmare, instalarea unui program rău intenționat are loc în mai multe iterații care integrează apeluri la utilități legitime. Prin urmare, instrumentele de detectare automată nu le pot combina întotdeauna într-un lanț de instalare a unui obiect periculos în sistem.

După ce atacatorii au obținut persistența pe stația de lucru infectată, aceștia își pot ascunde foarte precis acțiunile în sistem. În special, acestea lucrează "inteligent" cu înregistrarea. De exemplu curățați nu numai că înregistrează jurnalele, ci le redirecționează către un fișier temporar, efectuează acțiuni malițioase și readuc fluxul de date de jurnal la starea anterioară. În acest fel, ei pot evita declanșarea scenariului "fișier de jurnal șters" în SIEM.

Articole curente