Expertblogg: Använda verktyg med öppen källkod för att analysera nätverkstrafik
Medan de politiska IT-gränserna blir allt tydligare (länder som Kina och Ryssland försöker skapa egna ekosystem som tillåter oberoende Internet, specialiserade tjänster och mjukvara), är processen precis tvärtom i företagsmiljön. Perimeterna löses upp alltmer inom informationsområdet, vilket orsakar allvarliga problem för cybersäkerhetsansvariga.
Problemen finns överallt. Cybersäkerhetsexperter måste hantera svårigheterna med att arbeta på distans i en miljö och med enheter som inte är betrodda, och med skugginfrastruktur - Shadow IT. På andra sidan barrikaderna har vi alltmer sofistikerade modeller för dödskedjor och noggrann döljning av inkräktare och nätverksnärvaro.
Standardverktyg för övervakning av information om cybersäkerhet kan inte alltid ge en fullständig bild av vad som händer. Detta leder till att vi måste söka efter ytterligare informationskällor, t.ex. analys av nätverkstrafik.
Tillväxten av skugg-IT
Begreppet Bring Your Own Device (personliga enheter som används i en företagsmiljö) ersattes plötsligt av Work From Your Home Device (en företagsmiljö som överförs till personliga enheter).
Anställda använder datorer för att få tillgång till sin virtuella arbetsplats och e-post. De använder en personlig telefon för flerfaktorsautentisering. Alla deras enheter är placerade på ett nollavstånd från potentiellt infekterade datorer eller IoT är ansluten till ett icke tillförlitligt hemnätverk. Alla dessa faktorer tvingar säkerhetspersonalen att ändra sina metoder och ibland vända sig till radikalismen Zero Trust.
I och med införandet av mikrotjänster har tillväxten av skugg-IT intensifierats. Organisationer har inte resurser att utrusta legitima arbetsstationer med antivirusprogram och verktyg för att upptäcka och bearbeta hot (EDR) och övervaka denna täckning. Infrastrukturens mörka hörn håller på att bli ett riktigt "helvete".
som inte ger signaler om informationssäkerhetshändelser eller infekterade objekt. Denna osäkerhet försvårar avsevärt reaktionen på nya incidenter.
För alla som vill förstå vad som händer med informationssäkerheten har SIEM blivit en hörnsten. SIEM är dock inte ett allseende öga. SIEM-jippot är också borta. SIEM ser på grund av sina resurser och logiska begränsningar endast saker som skickas till företaget från ett begränsat antal källor och som också kan avskiljas av hackare.
Antalet skadliga installationsprogram som använder legitima verktyg som redan finns på värden har ökat: wmic.exe, rgsvr32.exe, hh.exe och många andra.
Detta gör att installationen av ett skadligt program sker i flera omgångar som integrerar anrop till legitima verktyg. Därför kan automatiska upptäcktsverktyg inte alltid kombinera dem till en kedja av installation av ett farligt objekt i systemet.
När angriparna har fått en långvarig närvaro på den infekterade arbetsstationen kan de dölja sina handlingar på ett mycket exakt sätt i systemet. I synnerhet arbetar de "smart" med loggning. Till exempel rensa De loggar inte bara, utan omdirigerar dem till en tillfällig fil, utför skadliga åtgärder och återställer loggdataströmmen till sitt tidigare tillstånd. På så sätt kan de undvika att utlösa scenariot "loggfil raderad" i SIEM.
