¿Cuál es la buena métrica para detectar la exfiltración de datos en un canal secreto?

3

Teniendo en cuenta el escenario en el que el atacante es capaz de filtrar datos confidenciales del sistema comprometido a una red externa o Internet, pero solo hay formas limitadas de lograrlo porque la conexión de salida está configurada para no permitir la conexión en ningún protocolo de capa de aplicación basado en TCP, por lo que el atacante decidió exfiltrar los datos a través de DNS que están permitidos por la configuración (Sí, este es el error).

En mi opinión, hay dos formas de detectar este tipo de exfiltración:

  • Basado en el contenido : se debe inspeccionar el contenido de los datos transferidos para encontrar datos confidenciales o cualquier cosa, como la firma del archivo, el encabezado o las propiedades del archivo.
  • Volumen basado : la cantidad de datos debe compararse con línea de base de uso de datos . Si el volumen actual de datos (en un período de tiempo) es mayor que la línea de base de uso de datos, ¡entonces w00t w00t!

Estas son mis preguntas:

  • ¿Existe alguna otra solución efectiva para detectar la exfiltración de datos en un escenario como este?
  • Para la detección basada en el volumen, ¿hay recomendaciones para calcular línea de base de uso de datos ? ¿Solo el uso de datos promedio durante un mes es lo suficientemente bueno?
pregunta pe3z 22.11.2017 - 14:45
fuente

1 respuesta

4

DNS e ICMP no son buenos ejemplos, porque en una configuración well , el acceso a la red está restringido por el uso de un proxy para frustrar el DNS y el ICMP desde el principio.

Pero todavía hay HTTP (S) disponible a través del proxy.

Por lo general, los sitios web no están incluidos en una lista blanca en un proxy, por lo que esto debería funcionar bastante bien.

En cuanto a la inspección de contenido:

No puedes hacer eso en general. Incluso si tiene un proxy HTTPS que está realizando un MITM, la carga útil de la solicitud aún podría estar cifrada dentro del transporte de HTTPS que no se puede analizar en busca de palabras clave.

Además, es posible que no se le permita ingresar a MITM, por ejemplo, sitios bancarios para inspección debido a regulaciones normativas.

Sin embargo, puede intentar encontrar flujos de carga cifrados en el tráfico HTTP (S) y analizarlos, mientras tanto, en la lista negra de los hosts de destino.

Si bien la detección de exfiltración basada en el volumen parece ser un buen plan para DNS e ICMP, para HTTPS no es que pueda haber tráfico legítimo que exceda su umbral, lo que da como resultado un gran número de falsos positivos y posiblemente interrupciones comerciales.

Un enfoque combinado podría funcionar, tal vez con una lista blanca de dominios en los que es seguro cargar datos: si encuentra que se envía una cantidad significativa de datos a través del proxy, podría incluir en la lista negra el destino si no está en blanco. Listar y analizar el tráfico manualmente. Si los datos exfiltrados son pequeños en tamaño, es posible que aún no los obtenga.

En general: ese es el problema con la exfiltración encubierta: está bien escondido.

    
respondido por el Tobi Nary 22.11.2017 - 17:03
fuente

Lea otras preguntas en las etiquetas