ネットワークの謎を解く: リバースエンジニアリングの技術
ネットワークの謎を解明する: リバース エンジニアリングの技術 ネットワークにおいて、リバース エンジニアリングとは、何かがどのように構築されたかを調べてそれをコピーしようとすることではありません (ドイツのエニグマ マシンのように...)
攻撃を受けたとき ネットワーク セキュリティの脅威侵入検知システム (IDS)、侵入防止システム (IPS)、ウイルス対策ソフトウェア、セキュリティ情報およびイベント管理 (SIEM) テクノロジなど、さまざまなツールがあり、何か問題がある場合にすぐに警告を送信します。
潜在的な脅威が特定された場合、スピードが重要です。ネットワーク セキュリティの脅威をより早く特定、隔離、軽減できればできるほど、実際の損害や損失が発生する可能性は低くなります。アラート プロセスは完全に自動化されているため、問題の検出にほとんど時間がかかりませんが、一般的なセキュリティ対応ワークフローは依然として非常に手作業が多く、時間がかかります。ここで、可視性と自動化が重要になります。
一秒一秒が重要になると、「ジャスト イン タイム」の自動化が階層 0 の診断をトリガーし、攻撃の緩和時間を大幅に短縮します。
まず第一に、ネットワーク セキュリティの脅威の影響を理解する必要があります。IDS/IPS または SIEM では、潜在的に悪意のあるトラフィックがあることを知らせる以外に、多くの洞察は得られません。ネットワーク ダイアグラムを見れば、ネットワークの接続状況がわかるので、潜在的な影響がわかります。しかし、ダイアグラムは不完全であったり、古くなっていることが多すぎます。記憶に頼るか (これは、複雑で、複数のベンダーが関与し、ソフトウェア定義でハイブリッドな環境ではますます困難になります)、一連の CLI コマンドを手動で発行して、大量のテキスト出力を精査するかのいずれかになります。これにより、デバイス レベルで構成と設計を可視化できますが、ネットワーク レベルでは可視化できません。状況の非常に限られたビューを取得するには、かなりの時間がかかります。そして、他の方法がすべて失敗した場合は、より上級のエンジニアにエスカレーションする必要があります。しかし、誰もが知っているように、出血を止めることができる専門家を見つけるのは、言うほど簡単ではありません。 NOC と SOC 間の従来の「データ サイロ」により、コラボレーションとエスカレーションがシームレスに行われません。異なるチームが、異なるツール、異なるシステム、異なるデータ セットに依存しているからです。
攻撃者が ICMP エコー要求パケット (ping フラッド) でターゲット デバイスを圧倒しようとしているとします。 IPS が脅威を検出し、Splunk への SNMP トラップを生成します。 Splunk はトラップを受信し、検索とアラートのメカニズムを使用して API 呼び出しをトリガーします。 NetBrain 入力パラメーター Source (攻撃者) と Destination (被害者) を使用します。
Splunkがネットワークセキュリティの脅威を検出するとすぐに、API呼び出しがトリガーされます。 NetBrain 問題のある領域を自動的にマッピングし、リアルタイムで問題を診断します。
NetBrain 次に、次の XNUMX つのことを自動的に行います。
これを Tier 0 診断と呼ぶのは、このトリアージと分析はすべて、人間が関与する前に自動的に行われるためです。「ジャストインタイム」の自動化機能により、ネットワーク セキュリティの脅威が発生している最中に、その脅威に関するリアルタイムの洞察と分析が得られます。
NetBrain を自動的に作成します Dynamic Map 攻撃経路の、および実行可能ファイル Runbookすべてのデータを自動的に収集して分析します。
すべての診断結果は、 Runbook. この共有分析コンソールにより、誰もがいつ誰が何をしたかを確認できます。エスカレーション中に車輪を再発明する必要がなくなり (前のエンジニアが行ったのと同じ分析を実行します)、同じページで異なるチーム (NOC と SOC) を取得して攻撃を軽減します。 実際、 NetBrain 調査 ネットワーク セキュリティの問題をトラブルシューティングする際の最大の課題は、ネットワーク チームとセキュリティ チーム間のコラボレーションの欠如であることがわかりました。 NOC および SOC チームは、プロセスを自動的に文書化できます ( Runbook次に取るべき最善のステップをその場で報告し、解決までの時間を大幅に短縮する重要な洞察を共有します。
組織は長い間、ネットワーク セキュリティの脅威がネットワークを攻撃した際に自動的にアラートを生成する機能を備えてきました。これらの攻撃の緩和を担当するエンジニアが、同じレベルの自動化機能を備えるべき時ではないでしょうか。
方法の詳細 NetBrain あなたを助けることができます セキュリティへの取り組み.
ブログをご覧ください 効果的なセキュリティとネットワーク コラボレーションの確保.