Los APT no se pueden detectar basándose solo en sus datos de Netflow / IPFix. Permítanme ser más específico: los APT no se pueden detectar “siempre” en función de los datos de contabilidad de flujo (FAT :)) de ningún tipo: Netflow, jflow, sflow, IPfix, etc.
FAT le dice estos parámetros: quién está hablando con quién, cuándo, dónde y cómo: IP de origen y destino, marcas de tiempo del flujo cuando atraviesa la interfaz del enrutador / conmutador, qué enrutador / interfaz y si era TCP o UDP y qué número de puerto se utilizó.
Una firma APT podría ser miles de flujos generados por segundo con solo unos pocos KB transmitidos, ciertamente muy sospechosos, pero no concluyentes en sí mismos, se necesita más investigación. Un buen software de monitoreo de Netflow le mostrará los datos de flujo justo al lado del volumen y los puntos finales en comunicación para que pueda ver de un vistazo que alguien está falsificando IP / MAC.
- ¿Qué significa esto? ¿Qué tipo de virus / malware recibió mi cuñado esta vez? ¿Cómo puede deshacerse de él?
- ¿Cuánta programación necesito saber para escribir mis propias herramientas para hackear?
- ¿Cómo es trabajar en ciberseguridad?
- ¿Qué producto Norton Antivirus es adecuado para mí?
- ¿Por qué iFrames es un problema de seguridad?
Sin embargo, FAT es muy importante, emparejado con la solución de monitoreo SNMP adecuada y una solución de monitoreo de protocolo como TCP / UDP con respecto al tiempo de configuración de la sesión, el tiempo de ida y vuelta de la red, el tiempo de respuesta del servidor, etc. será una herramienta muy efectiva.
Ahora que hemos cubierto la parte de infraestructura, pasemos a los puntos finales, servidores y clientes. La detección de un APT es solo un paso; a veces, no hay suficiente tiempo para proteger sus datos confidenciales. También debe proteger sus servidores y clientes con una solución antivirus o antimalware. Los tradicionales basados en firmas son altamente ineficaces ya que no protegen contra ataques de día cero. El mejor enfoque es utilizar una solución de modelo matemático como las de Cylance. Ha estudiado millones de aplicaciones buenas y malas y sabe cuándo una aplicación es buena o mala en función de qué archivos dlls e ini se inicializan / llaman, qué acceso de clave de registro se solicita y en qué orden, todo esto en 100 milisegundos. Lo más importante que debe saber sobre software como Cylance es que son pre-ejecutables: impiden o permiten que se ejecute una aplicación, por lo que no se requiere limpieza. Compararlo con los AV basados en firmas es algo así como una función avanzada de frenado automático que evita que su automóvil se estrelle en comparación con las bolsas de aire que ayudan después del choque. Los ataques de día cero no tienen ninguna posibilidad y no tiene que actualizar constantemente sus servidores y clientes.