Strokovni blog: Uporaba odprtokodnih orodij za analizo omrežnega prometa

Strokovni blog: Uporaba odprtokodnih orodij za analizo omrežnega prometa

 

Spremljanje omrežnega prometa je danes še posebej pomembno vprašanje, zlasti zaradi pogojev, ki jih je pandemija COVID 19 uvedla za delo na daljavo. Sodobna zlonamerna programska oprema uspešno obide tehnike bele liste in lahko učinkovito skrije svojo prisotnost v sistemu. Pogovorimo se o tem, kako se lahko lotimo zahtevne naloge spremljanja omrežja.

Medtem ko politične meje na področju IT postajajo jasnejše (države, kot sta Kitajska in Rusija, poskušajo ustvariti lastne ekosisteme, ki omogočajo neodvisne Internet, specializirane storitve in programska oprema), je v podjetniškem okolju postopek ravno obraten. Na informacijskem področju se meje vse bolj razblinjajo, kar povzroča hude glavobole upravljavcem kibernetske varnosti.

Težave so povsod. Strokovnjaki za kibernetsko varnost se morajo spopadati s težavami pri delu na daljavo, z nezaupljivim okoljem in napravami ter z infrastrukturo v senci - Shadow IT. Na drugi strani barikad imamo vse bolj izpopolnjene modele ubijalskih verig ter skrbno prikrivanje vsiljivcev in prisotnosti v omrežju.

Standardna orodja za spremljanje informacij o kibernetski varnosti ne morejo vedno zagotoviti popolne slike dogajanja. Zato moramo poiskati dodatne vire informacij, kot je analiza omrežnega prometa.

Rast IT v senci

Koncept Bring Your Own Device (osebne naprave, uporabljene v poslovnem okolju) je nenadoma zamenjal koncept Work From Your Home Device (poslovno okolje, preneseno na osebne naprave).

Zaposleni uporabljajo osebne računalnike za dostop do svojega virtualnega delovnega mesta in e-pošte. Za večfaktorsko preverjanje pristnosti uporabljajo osebni telefon. Vse njihove naprave so na ničelni razdalji od potencialno okuženih računalnikov ali IoT povezan z nezaupljivim domačim omrežjem. Vsi ti dejavniki silijo varnostno osebje, da spreminja svoje metode in se včasih usmeri v radikalizem ničelnega zaupanja.

S pojavom mikrostoritev se je povečala rast IT v senci. Organizacije nimajo dovolj sredstev, da bi legitimne delovne postaje opremile s protivirusno programsko opremo ter orodji za odkrivanje in obdelavo groženj (EDR) in spremljale njihovo pokritost. Temni kotiček infrastrukture postaja pravi "pekel".

ki ne zagotavlja signalov o dogodkih informacijske varnosti ali okuženih predmetih. To področje negotovosti močno ovira odzivanje na nastajajoče incidente.

Za vse, ki želijo razumeti, kaj se dogaja na področju informacijske varnosti, je SIEM postal temeljni kamen. Vendar pa SIEM ni vsevidno oko. Tudi prevara SIEM je izginila. SIEM zaradi svojih virov in logičnih omejitev vidi le stvari, ki so podjetju poslane iz omejenega števila virov in ki jih lahko ločijo tudi hekerji.

Povečalo se je število zlonamernih namestitvenih programov, ki uporabljajo legitimne pripomočke, ki so že v gostitelju: wmic.exe, rgsvr32.exe, hh.exe in številni drugi.

Tako namestitev zlonamernega programa poteka v več ponovitvah, ki vključujejo klice zakonitih orodij. Zato jih orodja za samodejno odkrivanje ne morejo vedno združiti v verigo namestitve nevarnega predmeta v sistem.

Ko se napadalci v okuženi delovni postaji obdržijo, lahko svoja dejanja v sistemu zelo natančno skrijejo. Zlasti "spretno" delajo s sečnjo. Na primer čiščenje ne le beležijo dnevnike, temveč jih tudi preusmerijo v začasno datoteko, izvedejo zlonamerna dejanja in tok podatkov dnevnika vrnejo v prejšnje stanje. Na ta način se lahko izognejo sprožitvi scenarija "izbrisana datoteka dnevnika" v sistemu SIEM.

Aktualni članki