Prednáška o sieťovej analýze na UPJŠ
Pred dvomi týždňami som mal opäť príležitosť stráviť piatkové popoludnie so študentmi informatiky na UPJŠ. Tentoraz sme sa venovali analýze sieťovej komunikácie. Na úvod sme si povedali niečo o motivácií a využití pri riešení incidentov a threat huntingu. Priblížili sme si možnosti implementácie a čo vlastne potrebujeme k tomu, aby sme vôbec mohli analyzovať, čo sa nám deje v počitačovej sieti.
Mal som pripravené aj niektoré pokročilejšie veci s nástrojmi v príkazovom riadku, nfdump, tcpdump a BPF (Berkeley Packet Filters), tshark s display filtrami, suricata, zeek a ďalšie vychytávky. Ukázalo sa však, že približne polovica študentov ešte nemala počítačové siete, a tak sme pri praktických úlohách viac používali Wireshark než tieto “sparťanské” nástroje.
Analyzovali sme záznam komunikácie počítača infikovaného malvérom - podarilo sa nám odhaliť spojenia spôsobené týmto malvérom a následne aj identifikovať, o aký malvér ide. Taktiež sme sa pozreli na počiatočnú infekciu počítača, pri ktorej sa stiahol škodlivý Office dokument s makrami. Prakticky sme tak videli aj niečo, čo sme okrajovo spomenuli na predchádzajucom stretnutí.
V záverečnej časti sme si dali ukážku sieťového monitoringu s detekciou hrozieb v reálnom čase na základe signatúr a detekčných pravidiel. Je to akási obdoba antimalvéru (antivíru) na počítači so skenovaním súborov na základe aktuálnej databázy malvérov.
Po predchádzajúcich skúsenostiach s reštriktívnymi pravidlami v univerzitnej sieti, kde je toho celkom dosť blokované, sme tento rok využívali infraštruktúru v cloude. Pre študentov boli pripravené virtuálky dostupné cez webový prehliadač. Komunikácia medzi týmito virtuálkami bola monitorovaná pomocou IDS Suricata (intrusion detection system) a detegované udalosti a hrozby šli takmer hneď do odľahčeného SIEM systému (security information and event management) podobnému Elastic Searchu a Kibane.
Užitočné odkazy: