Qual è una buona metrica per il rilevamento dell'estrazione dei dati sul canale nascosto?

3

Considerazione dello scenario in cui l'utente malintenzionato è in grado di estrapolare dati sensibili da un sistema compromesso a una rete esterna o Internet, ma esistono solo modi limitati per ottenere ciò poiché la connessione in uscita è configurata per non consentire la connessione su qualsiasi protocollo di livello applicazione basato su TCP, quindi l'attaccante ha deciso di estrarre i dati tramite DNS che sono consentiti dalla configurazione (Sì, questo è l'errore).

Secondo me, ci sono due modi per rilevare questo tipo di exfiltration:

  • Basato sul contenuto : il contenuto dei dati trasferiti deve essere ispezionato per trovare dati sensibili o qualsiasi cosa come la firma del file, l'intestazione o le proprietà del file.
  • Basato sul volume : la quantità di dati deve essere confrontata con baseline di utilizzo dei dati . Se il volume attuale dei dati (in un certo periodo di tempo) è più grande della baseline di utilizzo dei dati, allora w00t w00t!

Queste sono le mie domande:

  • C'è qualche altra soluzione efficace per rilevare l'estrazione di dati nello scenario come questo?
  • Per il rilevamento basato sul volume, esistono dei consigli per calcolare la base di utilizzo dei dati ? L'utilizzo medio di dati per un mese è sufficiente?
posta pe3z 22.11.2017 - 14:45
fonte

1 risposta

4

DNS e ICMP non sono buoni esempi, perché in una configurazione bene , l'accesso alla rete è limitato dall'uso di un proxy per contrastare DNS e ICMP fin dall'inizio.

Ma c'è HTTP (S) ancora disponibile attraverso il proxy.

Di solito, i siti web non sono autorizzati in un proxy, quindi dovrebbe funzionare abbastanza bene.

Per quanto riguarda l'ispezione del contenuto:

Non puoi farlo in generale. Anche se disponi di un proxy HTTPS che sta eseguendo un MITM, il carico utile della richiesta potrebbe ancora essere crittografato nell'ambito del trasporto di HTTPS che non può essere scansionato per le parole chiave.

Inoltre, potrebbe non essere consentito al MITM, ad esempio siti bancari per ispezione a causa di normative normative.

Puoi comunque provare a trovare flussi di carico utile crittografati nel traffico HTTP (S) e analizzarli, nel frattempo aggiungere nella blacklist gli host di destinazione.

Mentre il rilevamento dell'estrazione del volume basato sul volume sembra un buon piano per DNS e ICMP, per HTTPS non è come potrebbe esserci traffico legittimo che supera la soglia risultante in un gran numero di falsi positivi e, eventualmente, interruzione dell'attività.

Un approccio combinato potrebbe funzionare, forse con una lista bianca di domini che sono sicuri di caricare i dati: se trovi una quantità significativa di dati inviati attraverso il proxy, potresti inserire la destinazione nella blacklist se non è sul bianco elenca e analizza il traffico manualmente. Se i dati exfiltrati sono di piccole dimensioni, potresti ancora non averlo.

Tutto sommato: questo è il problema dell'estrazione segreta: è nascosto bene.

    
risposta data 22.11.2017 - 17:03
fonte

Leggi altre domande sui tag