Cary Wright, Ürün Yönetimi Başkan Yardımcısı, Endace
Şimdi her zamankinden daha hızlı değişen bir tehdit ortamında, neden daha fazla şirket paket yakalamanın avantajlarından yararlanmıyor? Tarihsel olarak, paket analizi çok gerçek erişilebilirlik sorunları olan manuel bir işlev olmuştur. Güvenlik ekiplerinin, aradıkları kanıtı bulmak için büyük dosyalar üzerinde saatlerce veya günlerce arama yaparak birkaç haftalık paketleri çekmek için mücadele etmesi duyulmamış bir şey değil. Şaşırtıcı olmayan bir şekilde, bu tür paket işleme de maliyetli olmuştur.
Paket yakalama aynı zamanda ağırlıklı olarak paket adli tıp alanında derin deneyime sahip kıdemli güvenlik analistleri tarafından da kullanılmıştır – bu, günümüzün tehdit ortamındaki gerekliliğine rağmen, daha genç analistlerin nasıl yapılacağını bilmedikleri ve yetersiz tedarik edilen belirli bir beceridir.
Herkesin (sadece deneyimli, kıdemli paket analistleri değil) ihtiyaç duyduğu verileri hızlı bir şekilde bulabilmesi, ilgili araçlarındaki uyarılardan ilgili paketlere ulaşabilmesi ve bu tam paket veriden değer çıkarabilmesi için paket yakalamayı nasıl iyi yaparsınız?
Ünlü SANS Enstitüsü kurs eğitmeni Jake Williams’ın söylemekten hoşlandığı gibi, “bugünün paket yakalama, olumsuzluk Büyükannenizin paket yakalaması.” Gerçekten de, paket yakalama gerçekten bir sonraki seviyeye taşındı ve güvenlik konusunda bilgili şirketler, araştırmayı hızlandırırken ihtiyaç duyulan depolama kapasitesini, performansı ve hızlı aramayı sağlamak için modüler ve yüksek düzeyde ölçeklenebilir olacak şekilde tasarlanmış dağıtılmış, merkezi olarak yönetilen kayıt cihazları kullanıyor. ve tepki süresi.
Bir ağ görüşmesinin gerçek içeriğine kolayca erişin
Paket yakalamadan elde edilen adli kanıtlar, olay müdahale ekipleri için hayati bir kaynaktır ve analistlerin tam olarak ne olduğunu ve tam etkinin ne olduğunu anlayabilmeleri için siber saldırıları doğru bir şekilde yeniden yapılandırmaya yardımcı olur. Adli kanıtlar, bir saldırganın ne kadar uzağa sızdığını, mevcut savunmaları nasıl aşmayı başardıklarını ve hangi veri ve sistemlere saldırıldığını ve potansiyel olarak tehlikeye atıldığını ayrıntılı bir şekilde verebilir. Bu bilgi olmadan, SecOps ekipleri olaylara nasıl yanıt verileceğini ve olayları nasıl çözeceğini anlamakta zorlanabilir.
Bazı güvenlik ekipleri, ağ meta verileri, tehdit istihbaratı ve güvenlik izleme araçlarından gelen uyarılarla birlikte günlük dosyalarından (sistem günlükleri, uygulama günlükleri, kimlik doğrulama günlükleri vb.) kanıtları bir araya getirmeye güvenir. Bununla ilgili sorun, ekiplerin tam olarak hangi dosyaların aktarıldığını, hangi verilerin çıkarıldığını ve hangi sistemlerin etkilendiğini görmek için olanları doğru bir şekilde yeniden yapılandırmasını sağlayan gerçek yük bilgilerini sağlamamasıdır. Günlük dosyaları ve meta veriler, bir etkinlik resmi oluşturmak için yararlı olan olayların anlık bir özetini sağlar. Ancak yalnızca bu kaynaklara güvenmek ve paket verilere erişiminin olmaması, ekiplerin gerçekten önemli olduğunda kritik kanıtları kaçırma riskini alabileceği anlamına gelir.
Alternatif, tam paket verileri kaydetmektir; bu, analistlerin tehditleri daha yakından araştırmak için geçmiş trafiği incelemesine olanak tanır. Bu, dosyalar, kötü amaçlı yazılımlar, fidye yazılımları, yürütülebilir dosyalar, zip arşivleri, sızdırılmış belgeler, kod indirmeleri ve daha fazlası gibi gerçek içeriğe erişim sağlar – saldırganların kullanıcı ve ağ güvenliğini tehlikeye atmak ve verileri çalmak için kullanabileceği her şey.
Analistler ayrıca DNS, HTTPS, TLS, SMTP, veritabanı işlemleri ve daha fazlası dahil olmak üzere talep üzerine ayrıntılı günlükler oluşturmak için kayıtlı paket verilerini yeniden analiz edebilir veya ilk anda gözden kaçmış olabilecek ağ tehditlerini tespit etmek için yeni kurallar kullanarak kayıtlı trafiği analiz edebilir. zaman ve saldırı etkinliğine ilişkin daha derin bağlamsal içgörü sağlar.
Soruşturma ve müdahalenin hızlandırılması
Geçmişte birçok ekibin paket yakalamayla ilgili deneyimi, büyük hacimli verileri yüksek hızda doğru bir şekilde kaydetmenin ve yönetmenin zor olabileceği ve bir araştırma için gerekli olan belirli verileri bulmanın zaman alıcı olabileceğidir. Paket analizi de geleneksel olarak derin uzmanlık gerektirir.
Modern paket yakalama çözümleri, modüler ve ölçeklenebilir olacak şekilde tasarlanmıştır. Günümüzün en yüksek ağ hızlarında (10 Gbps’den 100 Gbps’ye veya daha fazlasına kadar) uygun maliyetli bir şekilde haftalar ila aylar arası geçmişi kaydedebilirler, bu da güvenlik ekiplerine geriye dönüp geçmiş olayları araştırmak için bolca zaman verir.
Analistler, petabaytlarca olabilecek veri içinden ilgili paketleri hızlı bir şekilde bulmak ve analiz etmek için kayıtlı verileri arayabilir/veri madenciliği yapabilir. Çok çeşitli siber güvenlik çözümleriyle entegrasyon, bir güvenlik veya performans izleme aracındaki bir uyarıdan bağlam içinde doğrudan ilgili paketlere “dönüştürmeyi” mümkün kılar. Bu, soruşturma sürecini hızlandırır ve düzene sokar ve ayrıca ortak kanıt toplama ve analiz görevlerinin (örneğin SOAR araçları kullanılarak) otomatikleştirilmesini sağlayabilir.
Bu aynı zamanda, derin paket analizi uzmanlığına sahip deneyimli bir kıdemli analist olmak zorunda kalmadan, yeniden birleştirilmiş dosyalar veya ayrıntılı analiz günlükleri gibi paket verilerinden yararlı bilgileri çıkarmayı da kolaylaştırır. Ve bunun geçmiş veriler üzerinde yapılmasını sağlayarak geçmiş olayları analiz etmek için zamanda geriye gidebilirsiniz.
Analistler, olay yanıtı, tehdit avı veya sorun giderme ağ veya uygulama performansı sorunları için günler, haftalar veya aylarca kaydedilen paket geçmişini kolayca ve hızlı bir şekilde inceleyebilir. Ağlar, aynı zamanda, tek bir cam bölmesinden aranabilen çoklu yakalama noktalarından oluşan bir yapı olarak da kurulabilir.
Bu iyileştirmeler ve daha fazlasıyla, yeni nesil paket yakalama, ağlardan geçen tehditleri anlamak ve BT operasyonel veya performans sorunlarını gidermek için altın standart haline geldi.
yazar hakkında
Endace Ürün Yönetimi Başkan Yardımcısı Cary Wright, Agilent, HP, Ixia ve NEC gibi şirketlerde pazar tanımlayan ağ oluşturma, siber güvenlik ve uygulama teslim ürünleri oluşturma konusunda 25 yılı aşkın deneyime sahiptir. www.endace.com
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.