Noticias de productos: información de tráfico cifrada con Corelight

La NSA emitió recientemente un aviso a las empresas que adoptan tecnologías de ‘romper e inspeccionar’ para ganar visibilidad sobre el tráfico cifrado, advirtiéndoles de los riesgos potenciales de tal enfoque. De hecho, descifrar y volver a cifrar el tráfico a través de un dispositivo proxy, un firewall, sistemas de detección o prevención de intrusiones (IDS / IPS) que no validan adecuadamente los certificados de seguridad de la capa de transporte (TLS), por ejemplo, debilitarán el final. protección de extremo proporcionada por el cifrado TLS a los usuarios finales, lo que aumenta drásticamente la probabilidad de que los actores de amenazas los apunten en ataques de hombre en el medio (MiTMP), Bleeping Computer informó.

«Esta es la razón por la que empresas como Corelight invierten en funciones como SSH Inference para informar a los defensores y al mismo tiempo proteger la privacidad», explicó Richard Bejtlich, estratega principal de seguridad de Corelight. “Nuestra nueva función de sensor perfila el tráfico de Secure Shell para identificar el acceso a la cuenta, las transferencias de archivos, la escritura de pulsaciones de teclas y otras actividades, todo mientras se conserva el cifrado predeterminado y sin modificar ningún software de punto final. Creo que los equipos de seguridad tendrán que incorporar cada vez más este tipo de soluciones, en lugar de degradar o romper el tráfico cifrado ”, continuó.

Corelight, de hecho, ha presentado recientemente las nuevas capacidades de sus soluciones de análisis de tráfico de red (NTA) para ciberseguridad, Corelight Encrypted Traffic Collection (ETC). ETC permitirá a los cazadores de amenazas y a los analistas de seguridad con información valiosa y procesable para el tráfico cifrado, sin la necesidad de «romper e inspeccionar».

Con capacidad para leer el ‘lenguaje corporal’ de la red, la herramienta identificará el comportamiento de la actividad maliciosa incluso cuando el descifrado no sea una opción. En lugar de simplemente detectar amenazas, los datos que ETC puede proporcionar permitirán a las empresas tomar decisiones de seguridad críticas e informadas.

Capacidades

Aprovechando ambos Corelight‘s Paquetes del equipo de investigación y paquetes seleccionados del código abierto Zeek comunidad, ETC proporcionará:

● Detección de fuerza bruta del cliente SSH – admite la búsqueda de amenazas para las técnicas de acceso al revelar cuándo un cliente realiza intentos de autenticación excesivos.

● Detección de omisión de autenticación SSH – revela cuando un cliente y un servidor cambian a un protocolo que no es SSH, una táctica utilizada en los intentos de acceso.

● Detección de pulsaciones de teclas del cliente SSH – revela una sesión interactiva en la que un cliente envía pulsaciones de teclas controladas por el usuario al servidor, lo que puede ser una indicación de la actividad de comando y control.

● Detección de actividad de archivos de cliente SSH – revela una transferencia de archivo que se produce durante la sesión en la que el cliente envió una secuencia de bytes al servidor o viceversa, lo que podría indicar una actividad de preparación o de exfiltración.

● Detección de escaneo SSH – acelera la búsqueda de amenazas para las técnicas de acceso al inferir la actividad de análisis en función de la frecuencia con la que se analiza un único servicio.

● Monitoreo de certificados SSL – Extienda las capacidades de monitoreo de certificados existentes de Zeek para ayudar a los defensores a limitar la superficie de ataque, encontrar vulnerabilidades y hacer cumplir la política interna.

● Detección de cifrado – Acelere la búsqueda de amenazas al encontrar tráfico no encriptado a través de puertos / protocolos comúnmente encriptados, así como sesiones personalizadas / prenegociadas.

Para obtener más información técnica, puede leer Corelight’s Blog detallando las nuevas capacidades.