Di Anna McElhany, Plixer Technical Support Engineer – 10 Luglio 2019

 

Le stime mostrano che 1 su 4 organizzazioni registreranno una perdita di dati di oltre diecimila record nei prossimi ventiquattro mesi. Senza gli strumenti giusti, le violazioni e i furti di dati sono incredibilmente difficili da individuare.

Uno dei numerosi vantaggi di NetFlow è la possibilità di accedere rapidamente alle informazioni più preziose sulla rete. È possibile ottenere dettagli sugli IP di origine e di destinazione, sui paesi, sulle porte utilizzate e sui dettagli dell’applicazione, che offrono una buona rappresentazione di ciò che si sta verificando sulla rete. Sfruttando queste informazioni, è possibile identificare rapidamente i problemi e determinare la causa principale senza la necessità di acquisire pacchetti completi per capire cosa sta succedendo.

Come monitorare una violazione dei dati mirata con NetFlow

Cos’è una violazione dei dati?

Una violazione dei dati è il trasferimento non autorizzato di dati. Nella maggior parte dei casi, gli agenti ostili utilizzano l’ingegneria sociale e gli attacchi di phishing per ingannare i dipendenti a rivelare credenziali utente valide. L’intento principale dell’attore malintenzionato è quello di trovare e copiare dati specifici da una macchina specifica. L’hacker ottiene l’accesso alla macchina tramite un’applicazione remota o installando direttamente un dispositivo multimediale portatile. Queste violazioni mirate spesso si verificano su sistemi che utilizzano ancora la password predefinita del fornitore o una password facile da indovinare. Gli hacker usano queste credenziali per ottenere un punto d’appoggio nella rete aziendale. Poi si muovono lateralmente attraverso l’organizzazione, alla ricerca di dati interessanti. In caso di successo, iniziano a spostare tali informazioni all’esterno in modo lento per evitare il rilevamento. A meno che le aziende non sfruttino l’analisi del traffico di rete, questa violazione dei dati passa spesso inosservata.

Come posso utilizzare NetFlow per monitorare le violazioni dei dati mirate?

La scorsa settimana abbiamo ricevuto una chiamata da un cliente che stava passando una brutta giornata. Il team di sicurezza di Matt lo informò che un indirizzo IP interno non era riuscito ad accedere ai server contabili. “Spesso queste indagini non portano a nulla, ma seguiamo ognuno di questi rapporti per cercare di garantire che nulla sia stato compromesso”, ha detto Matt. “Dopo una rapida ricerca in Scrutinizer con alcuni filtri, ho scoperto uno schema strano che non avevo mai visto prima. L’IP interno in questione stava tentando di accedere ai server di contabilità e ai database dell’azienda. “Matt ha anche notato che l’host comunicava con altre macchine internamente tramite la porta 443, che non era tipica del sistema finale dietro l’indirizzo IP. Più specificamente, ha identificato un caricamento periodico di dati su un indirizzo IP esterno. Era un motivo legittimo di preoccupazione.

Una volta che la situazione è stata presa sotto controllo e la macchina compromessa è stata messa in quarantena, Matt ci ha chiesto se avremmo potuto impostare un monitoraggio proattivo e un avviso sulle risorse critiche dell’azienda. La risposta era sì, certo.

Definisci la tua infrastruttura con i gruppi IP

Scrutinizer può impostare gruppi personalizzati di indirizzi IP per avere query veloci e dare contesto. Ad esempio, è possibile verificare la presenza di traffico in dipartimenti, location o gruppi di risorse definiti dall’utente.

Sotto la pagina Admin> Definizioni> Gruppi IP, possiamo nominare il gruppo IP e aggiungere gli indirizzi IP, le sottoreti o gli intervalli che stiamo cercando di raggruppare. Nel caso di Matt, erano i server di contabilità HR:

Scrutinizer: definizione di un gruppo IP

Utilizza i filtri per escludere il traffico consentito

Dopo aver creato i gruppi IP, possiamo aggiungere filtri ai nostri rapporti per velocizzare la creazione di report. Matt e io siamo andati su Filtri / Dettagli e aggiunto il gruppo IP Contabilità HR dal menu a tendina. Abbiamo anche aggiunto i filtri per escludere gli host di origine che erano autorizzati a comunicare con il gruppo definito in modo che Scrutinizer segnalasse solo il traffico sospetto.

Scrutinatore: filtraggio del traffico

Impostazione di soglie e avvisi e-mail

Il passo successivo è stato quello di creare un avviso in modo che Matt ricevesse un’email automatica se il valore del report viene raggiunto o superato. Una volta salvato il rapporto personalizzato, impostiamo una soglia facendo clic sul pulsante Filtri / Dettagli e quindi navigando fino alla scheda Soglia. Da qui, possiamo impostare il valore e se la soglia è per una singola comunicazione. Ora Matt riceverà un’email inviata se un singolo indirizzo IP supera 1 bit al secondo in modo che venga avvisato se un host non autorizzato sta tentando di accedere alla risorsa.

Scrutinizer: impostazione di soglie e avvisi e-mail

Abbiamo anche creato un paio di rapporti per monitorare la sua rete per i movimenti laterali e il volume di traffico diretto alle destinazioni esterne, ma questa è una storia per un altro giorno. Se hai bisogno di aiuto per catturare e indagare su violazioni di dati mirati, contatta il nostro team di supporto . Siamo qui per aiutare.