戻る

21世紀のネットワーク探偵であること

著者注 by フィリップ・ジェルバシ 2017 年 10 月 25 日

私の友人である Dave はニューヨーク州の警察官で、彼の家でバーベキューをするときは、キャンプファイヤーを囲みながら彼の話を聞くのが好きです。

この夏のある特定の野外料理で、彼は最近の興奮について語った.

「私たちは以前にその麻薬研究所を数回襲撃したので、自分たちが何をしようとしているのかを知っていました. トミーがドアで殴られたので、私たちは地元の警察に助けを求めて中に入りました。」

わお。 ニュースでそんな話を聞いた気がします。

彼が話し終えると、今度は私が何かを言う番だと感じました。 私は、一日中コンピューターをいじっているだけだと冗談を言うことから始めました。 彼は厳粛な顔で私を見て説明しました。 持っているものに感謝しなさい。」

親切な言葉ですが、ゴマー・パイルがランボーと話しているような気がしました. それにもかかわらず、彼は自分の時間の大半をデスクで、キュービクルでレポートをタイプすることに費やしていると主張しました。

「フィル」と彼は言い始めました。 そして、最終的には、あっという間に終わります。」

これは私に共鳴しました。 おわかりのように、私は伝統的なネットワーク エンジニアであることが本当に好きでした。 付加価値再販業者で働いていて、最新で最もクールな新しいギアを手に入れたからかもしれませんが、それ以上に、ネットワーク ヒーローとしてプロジェクトからプロジェクトへと飛び回る機会があったからだと思います。 毎日が興奮、組織化された混沌、そして冒険のように感じました。

ただし、ネットワーク セキュリティは非常に異なる球技です。 現在、私はコンサルティング会社ではなく社内の IT 部門で働いており、ネットワーク ヒーローとしてプロジェクトからプロジェクトへと移動する代わりに、退屈で単調なセキュリティ タスクに日々を費やしています。 ネットワーク スキャンや監査から膨大な量の情報を収集して詳細に調べることはまったく刺激的ではありませんが、この退屈な作業が情報セキュリティの核心です。

デイブは私にそれを説明しました。 法執行機関では、逮捕につながり、最終的に法廷での証拠となる可能性のある情報を収集して分類することが最も重要です。 何も見逃すことはできず、すべてを完璧に行う必要があります。 エキサイティングな部分はほんの数分かもしれませんが、それに至るまでの退屈な作業とその結果としての作業も同様に重要です。

情報セキュリティには多くの類似点があります。 私がしている仕事がとてもつまらない理由の XNUMX つは、まあ、それがとてもつまらないからです。 データを収集するためのスクリプトを管理し、大量のノイズを生成する一握りのスキャン プラットフォームを監視し、毎朝メールボックスに殺到する監査の概要の電子メールを確認しても、毎日ベッドから出る気にはなりません。 セキュリティ疲れは現実のものです。

しかし、それは起こりました。 私たちの会話が子供たちの話に変わると、私の電話は必死に鳴り始めました. 暗闇の中でロック解除ボタンをいじってみたところ、上司からファイル サーバーがロックされているというメールが届いていました。 ランサムウェア攻撃のように見えたので、彼が心配している理由がわかりました。 これらのサーバーには、大量の貴重な知的財産がありました。

すぐに立ち上がって、急いで立ち去らなければならなかったことをお詫びしました。 通常、私は企業ネットワークに VPN で接続するだけでしたが、私はラップトップを持っておらず、Dave の衛星インターネット接続はひどいものでした。 また、このような状況では、セキュリティ監視ダッシュボードをリアルタイムで表示する壁の大きなスクリーンだけでなく、できるだけ多くのモニターを目の前に置きたいと考えていました。

オフィスに着いた後、最初のステップはサイトを他のグローバル ネットワークから分離することでした。 大まかな計画は単純でした。ネットワークの残りの部分へのリスクを軽減し、出血を止めることです。

  1. WANを殺す。
  2. サーバー VLAN をロックダウンします。
  3. IPAM でファイル サーバーの IP を検索します。
  4. VMware コンソールでサーバーにアクセスし、サーバーへのネットワークを個別に切断できることを確認します。
  5. バックアップとサーバーの担当者と協力して、サーバーを消去してバックアップから再構築できるかどうかを確認します。

小規模なチームがネットワークの残りの部分でランサムウェアを集めてチェックした後、事態は落ち着きました. CIO が最新情報を求めて電話をかけてきました。 データを失いましたか? このランサムウェアはどのようにして侵入したのですか? どのように広がったのですか? 適切なバックアップがありましたか?

これが、情報セキュリティにおけるゴムと道路の出会いです。 すべてがロックダウンされ、出血が止まると、質問が始まります。 私の友人がキャンプファイヤーの周りで説明した、強烈なアクションのクイックバーストとその後の日常への復帰のように、これは私が落ち着いて無数のスキャンデータの手がかりを探す時でした.

ただし、これは簡単な作業ではないことに注意してください。 異常なアクティビティが検出されたときに自動化されたスクリプトが開始されることはなく、全体像を把握するために調べるツールが複数ありました。 ログを見なければなりませんでした。 何十ものグラフをスクロールする必要がありました。 私は夜遅くに人々を起こさなければなりませんでした。 何十ものデバイスにログインする必要がありました。 攻撃の瞬間に何が起こっていたのかという情報を手元に持っていれば.

これは退屈で、非効率的で、エラーが発生しやすく、21 世紀のサイバー攻撃を管理する方法ではありません。 しかし、それは私が持っていたものであり、このマルウェアがどのように侵入し、ファイル サーバーに到達したかを追跡する必要がありました。

逆に、 NetBrain このプロセス全体を自動化します. 私の特定のケースでは、実行可能ファイル Runbookリアルタイムで情報を収集するスクリプトを実行するために、s が自動的に開始される可能性があります。 そうすれば、必要なときに特定の関連情報をチームがすぐに利用できるようになります。

これは、セキュリティの事後分析における小さな利点ではありません。 複数のチームが管理しているデバイスから生成されたログを検索しながら、XNUMX 人で作業を進めなければなりませんでした。 自動化 Runbook アウトプットにより、すべてのチームが同じ関連情報を同時に利用できるようになります。

そして、悪者がいつ、どのように侵入したかを突き止めるのと同じくらい重要なのは、マルウェアがどのようにネットワークを介して拡散したかということです。 NetBrain Dynamic Mapping 提供する 視覚的なトラブルシューティング 私が手動で把握しなければならなかったこと。 面倒でエラーが発生しやすいデバイスを XNUMX つずつクロールする代わりに、 NetBrain を動的に作成するための API トリガー メソッドを提供します。 ネットワークマップ 攻撃経路をリアルタイムで。

攻撃に対して十分な準備ができていなかったのは、主に準備と適切な対応に時間とエネルギーが必要だったためです。 プロセス全体を自動化する堅牢なソフトウェアがあれば、ログ ファイルを読み取るためにインターンのチームを雇わなくても、会社のセキュリティ体制を劇的に改善できたはずです。

残念ながら、私は石器時代にとらわれていました。 妻に電話して、しばらく時間がかかることを知らせた後、淹れたてのコーヒーを注ぎ、深呼吸をして、手動で丸太を掘り始めました。 . . 一度に XNUMX 行。

関連記事