Si no sé nada de tu red. entonces no hay casi nada que pueda clasificar como anormal (excepcional) acerca de una colección dada de información de NetFlow. Si quisiera que lo mirara de todos modos, trataría de encontrar algo agregando primero el volumen de tráfico por subred. Es decir, supongo que la atención a las direcciones IP individuales podría ser engañada con demasiada facilidad y tal vez sería una distracción si no sé lo que estoy buscando. Así que ahora tenemos números de volúmenes de tráfico entre usted y todas las subredes con las que ha estado hablando. Mira las estadísticas de los volúmenes. Probablemente haya una gran cantidad de lugares con cantidades relativamente pequeñas de tráfico y una cantidad menor de lugares con grandes cantidades de tráfico. Si buscamos encontrar quién tomó una copia de su archivo de correo electrónico o una copia de su base de datos de clientes, presumiblemente en los lugares que tenían grandes cantidades de tráfico, por lo que, dependiendo de cuán grande sea esa lista más corta, me gustaría trate de identificar más específicamente qué representan esos grandes flujos. Comience con los bultos más grandes y trabaje en la lista. ¿Qué tan abajo en la lista puedo llegar en el tiempo que me ha permitido para el análisis? Bueno, eso me revelará al menos uno de los umbrales de lo que aceptaré como “normal” frente a lo que es lo suficientemente sobresaliente para obtener un escrutinio adicional.
También puede obtenerse información útil al observar más de cerca las direcciones IP en su colección (por ejemplo, intente el mapeo geográfico IP). Si la mayor parte de las direcciones son nacionales y hay algunas que parecen internacionales, entonces es posible que desee comparar los valores atípicos con los datos whois para tratar de entender con quién está hablando. ¿Tiene socios importantes en la RPC? Hmmm … ¿Por qué aparece Islandia con tanta frecuencia en sus datos?
Puede ser interesante contemplar formas de esconderse de sobresalir en dicho análisis. Difundir la exfiltración de un gran volumen de datos durante un período de tiempo más largo podría hacer que sea más fácil esconderse entre la multitud y mantener al malo fuera de la lista más corta que obtiene un escrutinio adicional (aunque eso tal vez se pueda contrarrestar recopilando y agregando datos de NetFlow sobre un período de tiempo más largo, p. ej., fluye durante un mes, no solo por un día. Es posible que se encuentre en un procesamiento de datos serio, dependiendo del tamaño y el volumen de tráfico de su red, pero supongo que tiene acceso a una computación seria caballos de fuerza que no van a importar cosas como ordenar un gran conjunto de datos). Otra forma en que un adversario podría tratar de esconderse sería usar algo como tor para que no te parezca un lugar fijo único, sino que distribuya sus transferencias a lo que parece que su red es una variedad de destinos. Saltar la exfiltración a través de una red comprometida de “aspecto inocente” podría ser una buena manera de mantenerse oculto del escrutinio de las direcciones IP que se destacan en la detección geográfica de los datos.
- ¿Cómo se puede aplicar el aprendizaje profundo a la seguridad cibernética?
- Qué tipo de cosas deberían tener los departamentos de seguridad de la información. poner en un tablero que muestran a la administración de negocios que no es de TI?
- ¿Está WordPress a salvo de los intentos de inicio de sesión de fuerza bruta? Si no, ¿cómo puede prevenir un vector de ataque de este tipo?
- Incluso cuando no tengo nada que ocultar, ¿por qué la idea de que las personas / gobiernos que pueden leer / escanear mis correos electrónicos privados, archivos y llamadas telefónicas realmente me molesta?
- Para comenzar en el campo de la ciberseguridad, ¿cuál es la mejor certificación para comenzar?
También miraría el tráfico entrante frente al saliente. ¿Alguna sorpresa en quién te envía grandes volúmenes de datos?
Una vez que tenga una recopilación sustancial de datos que haya concluido, no tendrá nada demasiado preocupante. entonces esa puede ser su caracterización de referencia de “normal”. Luego puede hacer comparaciones estadísticas de una nueva muestra con respecto a la línea de base en busca de cualquier cosa que se vea significativamente diferente. ¿Dónde establecer los umbrales? Bueno, sugiero jugar para averiguar qué valores de umbral le dan un volumen lo suficientemente pequeño de “excepciones” para que tenga el tiempo y la energía para investigar las excepciones.
Mi expectativa es que los datos de NetFlow sean más útiles para determinar dónde su red podría beneficiarse de una capacidad adicional, aunque los datos de MRTG son mucho más baratos de recopilar y probablemente puedan servir para ese propósito. Pero las clasificaciones de su pregunta aquí hacen que parezca que está mirando los datos por motivos de seguridad. Me parece que es demasiado fácil para un adversario razonablemente inteligente ocultar su tráfico en el ruido del tráfico “típico” hacia y desde su red. Pero realmente no has dicho lo que estamos buscando. Un adversario apurado podría no tener tiempo para ocultar su actividad. ¿O tal vez te gustaría atrapar al menos a los adversarios no inteligentes?
