
Даже HTTPS выдает атакующего. Артефакты для поиска хакера на каждом этапе атаки
Привет, Хабр!На связи Александр Уваров, я ведущий архитектор систем информационной безопасности в «Гарде».Еще несколько лет назад шифрованный трафик был скорее исключением. Сейчас весь внешний трафик компании идет по зашифрованным каналам. Например, через HTTPS на уровне приложений или VPN на уровне сети. Внутри корпоративной сети, по нашим оценкам, зашифровано 70–80% трафика. Пользователям это удобно и безопасно, а для ИБ-команд это означает, что анализировать содержимое трафика напрямую уже не представляется возможным.Расшифровать весь TLS-трафик звучит как очевидное решение проблемы, но на практике это дорого и технически болезненно. Хорошая новость — зашифрованный трафик оставляет след. На каждом этапе атаки в сетевом трафике появляется узнаваемый паттерн, который видно в метаданных сессий даже без расшифровки.Под катом — метрики для детектирования четырех типичных этапов атаки. В статье я разобрал, на что смотреть и где чаще всего могут возникать ложные срабатывания. Читать далее