安全是有分量的

cdn防御cc_安全狗ddos防火墙_无缝切换

2022-01-14 10:20栏目:动态

cdn防御cc_安全狗ddos防火墙_无缝切换

毫不奇怪,网络威胁检测是识别可能存在于IT环境中的网络威胁(如恶意软件或未经授权的访问)的一门学科。从威胁搜寻的角度来看,我们特别感兴趣的是所有太聪明的攻击,这些攻击无法被常见的安全解决方案(如防病毒、防火墙、应用程序白名单等)检测和阻止,并且通常需要以其他方式暴露。

威胁活动通常可以签名,因此可以自动检测,只需最少的人工参与。传统签名用于检测先前观察到的已知恶意活动,并设计用于检测David Bianco痛苦金字塔较低层次分类的危害指标(IOC):散列值、IP地址、域名和网络/主机人工制品。

但是,最有可能对组织造成重大影响的威胁(如人为勒索软件攻击)通常具有专门设计的方面,以规避检测特征,并与网络上的正常系统/管理活动相融合。依赖基于特征码的检测将有助于识别绝大多数威胁,但往往无助于减轻人类有意规避这些威胁的创造性风险。在这方面,威胁搜寻越来越成为安全监控计划的重要组成部分。

在对客户端环境进行了多年的威胁搜寻之后,我们不得不想出大量创造性的技术来搜寻通常难以捉摸的"未知威胁"。下图总结了我们认为有效的威胁搜寻计划应如何与更广泛的威胁探测一起运作。

本博客的其余部分将简要概述我们认为的威胁搜寻计划的九个最重要组成部分,通过代理服务器防御ddos,以最大限度地提高主动识别网络威胁的成功机会威胁

1.从丰富的数据源获取遥测数据

数据是任何威胁搜寻计划的基本要求。为了能够进行威胁搜寻,第一步是识别并配置具有适当日志记录或审核级别的相关数据源,以便生成足够详细的事件。应根据您狩猎计划的数据要求,不断从这些数据源收集一套完善的遥测数据,win7系统防御ddos,以确保无间隙覆盖您的环境和活动的完全可视性。

应从广泛的来源收集数据,包括基于主机的人工制品、网络流量、防火墙、,代理和DNS日志。这些来源的丰富性是至关重要的——例如,基于主机的人工制品不应仅限于Windows事件日志。这些日志中没有足够的信息来识别所有可疑活动。记录实时系统活动的端点代理将更广泛地覆盖流程关系以及与文件系统和注册表的交互。

2.环境意识

确保威胁搜寻计划使用的数据质量的关键步骤是建立环境正常活动的基线,该基线用于细化生成并随后提交给分析师的事件。这通常不是一件容易的事,但从数据集中调出已知的良好活动可以避免浪费分析人员的大量精力来调查已验证的事件(例如,显示可疑行为的管理脚本)。随着IT环境意识的发展,该基线应不断更新,并对收集的遥测或数据管道的其他相关阶段进行适当调整。

威胁情报对该基线化过程至关重要。例如,端点威胁搜寻者可以利用文件信誉服务来确认持续执行的二进制文件的合法性,并获得将其添加到基线的信心。另一方面,网络威胁搜寻者可能会利用GreyNoise等服务来屏蔽好演员和坏演员进行的大规模互联网扫描。

3.威胁情报

既然你对自己的环境非常了解,你搜寻什么?在渗透到一个组织后,老练的攻击者实际上会做什么?收集威胁情报(来自第三方或您组织自己的威胁情报团队)将让您深入了解威胁参与者当前使用的技术,以及为了检测这些技术应收集哪些遥测数据。保持对攻击者工具、技术和程序(TTP)的相关理解对您的威胁搜寻计划的成功至关重要。

SUNBURST战役背后的威胁参与者最近使用的Golden SAML攻击就是这样一个例子,其中,威胁情报可以影响收集的遥测数据和用于检测滥用Active Directory联合服务(ADF)的搜寻方法。防御者现在可能会利用SAML从他们的ADFS服务器和服务提供商那里收集更多的安全事件,并探索这些事件之间的关联如何绕过ADFS服务器进行异常SAML身份验证。

4.行为检测

下一步是将从良好威胁情报中获得的知识转化为可在遥测数据中搜寻的指标。有效的狩猎应该基于技术或指标,这对于攻击者来说是不平凡的——胡说,这种攻击的行为正在显现。VBScript和DLL被后门丢弃;然后执行VBScript,然后使用rundll32运行恶意DLL。检测此类活动的一种方法是将重点放在寻找已知文件名和路径的签名上,但攻击者很容易更改这些文件名和路径。相反,一种更有效的方法是寻找不寻常的Windows脚本主机与rundll32进程关系的证据。

5.高级分析和机器学习

高级分析可用于揭示整个企业中真正异常的活动或行为。这可以采取复杂聚合或机器学习模型的形式,旨在发现人类可能错过的环境中的异常值或全球罕见事件(例如,一个端点在其历史上首次表现出特定行为)。

6.自动浓缩和关联