Блог эксперта: Использование инструментов с открытым исходным кодом для анализа сетевого трафика

Мониторинг сетевого трафика сегодня является особенно важным вопросом, особенно с учетом условий, налагаемых пандемией COVID 19 на практику удаленной работы. Современные вредоносные программы успешно обходят методы белых списков и могут эффективно скрывать свое присутствие в системе. Давайте обсудим, как мы можем подойти к сложной задаче мониторинга сети.

В то время как политические границы ИТ становятся все более четкими (такие страны, как Китай или Россия, пытаются создать свои собственные экосистемы, позволяющие независимые Интернет, специализированные услуги и программное обеспечение), в корпоративной среде процесс происходит с точностью до наоборот. Периметры все чаще растворяются в информационной сфере, вызывая серьезную головную боль у менеджеров по кибербезопасности.

Проблемы возникают повсюду. Специалистам по кибербезопасности приходится сталкиваться с трудностями удаленной работы с недоверенной средой и устройствами, а также с теневой инфраструктурой - Shadow IT. По другую сторону баррикад мы имеем все более сложные модели цепей поражения и тщательную маскировку нарушителей и присутствия в сети.

Стандартные средства мониторинга информации в области кибербезопасности не всегда могут дать полную картину происходящего. Это заставляет нас искать дополнительные источники информации, такие как анализ сетевого трафика.

Рост теневых ИТ

Концепция Bring Your Own Device (личные устройства, используемые в корпоративной среде) неожиданно сменилась концепцией Work From Your Home Device (корпоративная среда, перенесенная на личные устройства).

Сотрудники используют ПК для доступа к своему виртуальному рабочему месту и электронной почте. Они используют личный телефон для многофакторной аутентификации. Все их устройства находятся на нулевом расстоянии от потенциально зараженных компьютеров или IoT подключен к ненадежной домашней сети. Все эти факторы заставляют сотрудников служб безопасности менять свои методы и иногда обращаться к радикализму "Нулевого доверия".

С появлением микросервисов усилился рост теневых ИТ. У организаций нет ресурсов для оснащения легальных рабочих станций антивирусным программным обеспечением и средствами обнаружения и обработки угроз (EDR) и мониторинга этого покрытия. Темный угол инфраструктуры становится настоящим "адом".

которая не дает сигналов о событиях информационной безопасности или зараженных объектах. Эта область неопределенности значительно затрудняет реагирование на возникающие инциденты.

Для всех, кто хочет понять, что происходит с информационной безопасностью, SIEM стал краеугольным камнем. Однако SIEM не является всевидящим оком. Мистификация SIEM также исчезла. SIEM, в силу своих ресурсных и логических ограничений, видит только то, что поступает в компанию из ограниченного числа источников и что также может быть выделено хакерами.

Увеличилось количество вредоносных инсталляторов, использующих легитимные утилиты, уже находящиеся на хосте: wmic.exe, rgsvr32.exe, hh.exe и многие другие.

В результате установка вредоносной программы происходит в несколько итераций, включающих вызовы легитимных утилит. Поэтому средства автоматического обнаружения не всегда могут объединить их в цепочку установки опасного объекта в систему.

После того как злоумышленники закрепились на зараженной рабочей станции, они могут очень точно скрыть свои действия в системе. В частности, они "умно" работают с лесозаготовками. Например очистить они не только записывают логи, но и перенаправляют их во временный файл, выполняют вредоносные действия и возвращают поток данных журнала в прежнее состояние. Таким образом, они могут избежать срабатывания сценария "файл журнала удален" на SIEM.