跳到内容 
专家博客。使用开放源码工具分析网络流量
虽然政治上的IT边界越来越清晰(像中国或俄罗斯这样的国家正试图创建自己的生态系统,允许独立的 互联网,专门的服务和软件),在企业环境中,这个过程正好相反。在信息领域,周界正日益消解,使网络安全管理人员感到严重头痛。
问题无处不在。网络安全专业人员必须处理其不受信任的环境和设备,以及影子基础设施--影子IT的远程工作困难。在街垒的另一边,我们有越来越复杂的杀伤链模型,以及对入侵者和网络存在的精心混淆。
标准的网络安全信息监测工具不可能总是对正在发生的事情给出一个完整的描述。这导致我们寻找额外的信息来源,如网络流量分析。
影子IT的发展
自带设备(在企业环境中使用的个人设备)的概念突然被 "在家工作"(企业环境转移到个人设备)取代。
员工使用个人电脑来访问他们的虚拟工作场所和电子邮件。他们使用个人电话进行多因素认证。他们的所有设备与可能被感染的计算机或其他设备的距离为零。 物联网 连接到一个不受信任的家庭网络。所有这些因素都迫使安全人员改变他们的方法,有时转向零信任的激进主义。
随着微服务的出现,影子IT的增长也加剧了。组织没有资源为合法的工作站配备反病毒软件和威胁检测和处理(EDR)工具,并监测这一覆盖范围。基础设施的黑暗角落正在成为一个真正的 "地狱"。
它不提供关于信息安全事件或受感染对象的信号。这方面的不确定性大大阻碍了对新出现的事件的反应。
对于任何想了解信息安全情况的人来说,SIEM已经成为一块基石。然而,SIEM不是一个全能的眼睛。SIEM的骗局也已经消失了。SIEM由于其资源和逻辑上的限制,只能看到从有限的来源发送到公司的东西,而且还能被黑客分开。
使用主机上已有的合法工具的恶意安装程序的数量有所增加:wmic.exe、rgsvr32.exe、hh.exe和许多其他程序。
因此,恶意程序的安装是在几个反复中进行的,这些反复整合了对合法工具的调用。因此,自动检测工具不能总是将它们组合成一个危险对象安装到系统中的链条。
攻击者在被感染的工作站上获得持久性后,他们可以非常精确地在系统中隐藏自己的行动。特别是,他们 "巧妙地 "与日志工作。比如说 清洁 它们不仅记录日志,而且将它们重定向到一个临时文件,进行恶意操作并将日志数据流恢复到以前的状态。通过这种方式,他们可以避免触发SIEM上的 "日志文件被删除 "的情况。
