Come rilevare il traffico ICMP sospetto con Plixer Scrutinizer

06/10/2020

La versione 19 di Plixer Scrutinizer introduce una serie di nuovi controlli per particolari metriche di comportamento per rilevare il traffico ICMP sospetto.

Alcuni anni fa, è stato aggiunto un algoritmo comportamentale a Plixer Scrutinizer che esaminava tutti i dati di flusso raccolti e determinava se era in atto un possibile ICMP tunneling. Quell’algoritmo si attivava se determinava che le dimensioni dei pacchetti erano anormali per il traffico ICMP da una piattaforma Windows o Linux.

Diversi clienti hanno trovato un valore immediato nella capacità di scoprire questo tipo di comportamento del traffico, ma alla fine si trattava solo di fornire un controllo per una singola dimensione correlata al comportamento ICMP sospetto.

Benvenuto in Plixer Scrutinizer versione 19, adesso è quindi possibile rilevare comportamenti sospetti relativi a:

Ping scan o ping sweep: Avvisa quando un host è sospettato di eseguire una ping scan. Un ping scan utilizza le richieste di ICMP echo per scoprire quali IP sono in uso su una rete. Il comportamento è comunemente utilizzato dagli aggressori che tentano di trovare obiettivi da compromettere o per il lateral movement.

Ping floods: Avvisa quando viene rilevato un ping flood. Un ping flood è caratterizzato da un grande volume di richieste di ICMP echo destinate a sopraffare la capacità del target di elaborare traffico legittimo.

ICMP destination unreachable: Avvisa quando un numero elevato di messaggi di destinazione ICMP non raggiungibili è stato inviato all’indirizzo IP sospetto.

ICMP port unreachable: Avvisa quando un numero elevato di messaggi di destinazione ICMP non raggiungibili sono stati inviati all’indirizzo IP sospetto.

Large Ping: Funzione disponibile in una versione precedente, era utilizzato principalmente per rilevare possibili tunneling. Avvisa quando è stato determinato che, in base al numero di byte e al numero di pacchetti, la dimensione del pacchetto sembra essere al di fuori della normale dimensione del pacchetto ICMP.

Tunneling: Con la versione 19 di Plixer Scrutinizer, è stata introdotta la Plixer Security Intelligence, un’appliance di machine learning dedicata, che acquisisce e analizza i dati direttamente da Scrutinizer. Trasmettendo i dati di flusso al motore ML, è possibile analizzare il traffico ICMP su una serie di dimensioni diverse che ci consentono di comprendere:

  • hosts trends
  • numero di hosts targeted
  • variazioni nei conteggi di byte/packet
  • dimensione/durata

La raccolta dei flussi dai dispositivi di rete, fornisce una preziosa visibilità forense in qualsiasi conversazione che attraversa la rete. Plixer fornisce una soluzione che avvisa in modo proattivo della presenza di traffico sospetto e dispone dei dettagli sul traffico, necessari per mitigare l’incidente.

L’amministratore vede l’avviso e un singolo clic del mouse fornisce informazioni generali sull’avviso.

Chi è il trasgressore?

A quale segmento di rete appartiene questo trasgressore?

Quali erano gli obiettivi?

Qualche altro allarme è correlato a questo host?

Hai bisogno di informazioni sul traffico ICMP sospetto che si sposta sulla tua rete? Contattaci se vuoi saperne di più o se hai bisogno di aiuto con le configurazioni degli allarmi.

 

 

Scott Robertson
Scott Robertson

NetFlow & IPFIX Analysis e Reporting Solutions

Scott fornisce supporto tecnico pre-vendita al team di vendita di Plixer. Scott proviene da un background di supporto tecnico, avendo anni di esperienza in tutto, dalla gestione dell’account cliente alla programmazione del sistema. Alcuni dei suoi interessi includono l’allenamento di programmi sportivi giovanili a Sanford, suonare la batteria e la chitarra in jam band locali e partecipare ai tornei di freccette sul prato del quartiere.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

Sei costosi equivoci sul SIEM

Sei costosi equivoci sul SIEM

Come ottenere maggior valore dagli strumenti SIEM: Approccio Tradizionale vs. Cloud Negli ultimi anni, le soluzioni di sicurezza delle informazioni e di gestione degli eventi (SIEM) sono diventate uno degli strumenti preferiti per proteggere le risorse e gli utenti,...

Gli errori di Email Security che gli MSP devono evitare

Gli errori di Email Security che gli MSP devono evitare

Un Managed Service Provider (MSP) ha un enorme impegno quando lavora con la posta elettronica dei client aziendali. Devono mantenere i server, impostare account di posta elettronica e, soprattutto, proteggere la posta elettronica dagli attacchi. Molte delle più grandi...

La sicurezza informatica inizia con i fondamentali

La sicurezza informatica inizia con i fondamentali

Troppo spesso gli amministratori aziendali seguono le best practice per numerose infrastrutture di rete, ma dimenticano l'importanza della sicurezza della posta elettronica. Si potrebbe sostenere che la sicurezza delle e-mail è più importante di qualsiasi altra...