Odborný blog: Používanie nástrojov s otvoreným zdrojovým kódom na analýzu sieťovej prevádzky
Zatiaľ čo politické hranice IT sa vyjasňujú (krajiny ako Čína alebo Rusko sa snažia vytvoriť vlastné ekosystémy, ktoré umožňujú nezávislé Internet, špecializované služby a softvér), v podnikovom prostredí je proces presne opačný. Perimetre v informačnej oblasti sa čoraz viac rozpúšťajú, čo spôsobuje manažérom kybernetickej bezpečnosti vážne bolesti hlavy.
Problémy sú všade. Profesionáli v oblasti kybernetickej bezpečnosti sa musia vyrovnať s ťažkosťami pri práci na diaľku, s nedôveryhodným prostredím a zariadeniami a s tieňovou infraštruktúrou - Shadow IT. Na druhej strane barikády máme čoraz sofistikovanejšie modely kill-chain a starostlivé utajovanie narušiteľov a prítomnosti v sieti.
Štandardné nástroje na monitorovanie informácií o kybernetickej bezpečnosti nemôžu vždy poskytnúť úplný obraz o tom, čo sa deje. To nás vedie k hľadaniu ďalších zdrojov informácií, ako je napríklad analýza sieťovej prevádzky.
Rast tieňového IT
Koncept Bring Your Own Device (osobné zariadenia používané vo firemnom prostredí) bol náhle nahradený konceptom Work From Your Home Device (firemné prostredie prenesené do osobných zariadení).
Zamestnanci používajú počítače na prístup k virtuálnemu pracovisku a e-mailu. Na viacfaktorové overovanie používajú osobný telefón. Všetky ich zariadenia sú umiestnené v nulovej vzdialenosti od potenciálne infikovaných počítačov alebo IoT pripojený k nedôveryhodnej domácej sieti. Všetky tieto faktory nútia bezpečnostných pracovníkov meniť svoje metódy a niekedy sa obracať k radikalizmu Zero Trust.
S príchodom mikroslužieb sa zintenzívnil rast tieňového IT. Organizácie nemajú prostriedky na vybavenie legálnych pracovných staníc antivírusovým softvérom a nástrojmi na detekciu a spracovanie hrozieb (EDR) a na monitorovanie tohto pokrytia. Temný kút infraštruktúry sa stáva skutočným "peklom".
ktorý neposkytuje signály o udalostiach informačného zabezpečenia alebo infikovaných objektoch. Táto oblasť neistoty výrazne sťažuje reakciu na vznikajúce incidenty.
Pre každého, kto chce pochopiť, čo sa deje v oblasti informačnej bezpečnosti, sa SIEM stal základným kameňom. SIEM však nie je vševidiace oko. Zmizla aj mystifikácia SIEM. SIEM kvôli svojim zdrojom a logickým obmedzeniam vidí len veci, ktoré sú do spoločnosti odoslané z obmedzeného počtu zdrojov a ktoré môžu byť oddelené aj hackermi.
Zvýšil sa počet škodlivých inštalačných programov, ktoré využívajú legitímne nástroje už na hostiteľskom počítači: wmic.exe, rgsvr32.exe, hh.exe a mnohé ďalšie.
Výsledkom je, že inštalácia škodlivého programu prebieha v niekoľkých opakovaniach, ktoré zahŕňajú volania legitímnych nástrojov. Preto ich automatické detekčné nástroje nemôžu vždy spojiť do reťazca inštalácie nebezpečného objektu do systému.
Po tom, ako útočníci získajú trvalú prítomnosť na infikovanej pracovnej stanici, môžu svoje akcie v systéme veľmi presne ukryť. Najmä s ťažbou dreva pracujú "šikovne". Napríklad očistiť nielen protokoly, ale aj ich presmerovanie do dočasného súboru, vykonanie škodlivých akcií a vrátenie prúdu dát protokolu do predchádzajúceho stavu. Týmto spôsobom sa môžu vyhnúť spusteniu scenára "odstránený súbor denníka" v systéme SIEM.
