安全是有分量的

游戏盾_美国高防云_打不死

2021-01-08 16:13栏目:安全

内省智慧_是什么让你的网络运转正常,是什么让它生病?

在我的上一篇博文中,我们回顾了最流行的检测策略以及如何最好地实现它们。这篇文章将深入了解如何利用攻击者行为分析和异常检测来捕获其他系统遗漏的内容检测。明白吗你的对手-攻击方法检测上下文情报源引入了更高的保真度和深入了解攻击者行为模式所需的细节。攻击者经常轮换工具和基础设施以避免被发现,但当涉及到战术和技术时,他们通常坚持有效的方法。它们在网络中传播恶意软件、执行侦察和横向移动的方法不会发生显著变化。对攻击者方法的透彻理解会导致基于方法的检测技术的创建和改进。通过了解攻击者针对的应用程序,可以更集中地监控这些应用程序的可疑行为,20g每秒ddos防御,从而优化组织检测程序的有效性和效率。基于应用程序异常检测的一个例子是IIS上的webshell系统:是的IIS异常生成命令提示符,并执行"whoami.exe"和"net.exe文件"表示可能的侦察活动。通过了解攻击者使用的方法,我们可以生成检测,从而在不依赖哈希或IP等静态指标的情况下识别活动。在本例中,nginxcc攻击防御,我们使用IIS运行CMD的可能性很低,并且很少出现CMD执行"whoami"和"net[command]"来检测潜在的攻击者活动。另外,攻击者必须从内部和外部侦察网络以识别目标系统和用户。查看日志以了解异常的用户到系统身份验证事件、可疑进程(例如,"dsquery"、"net dom"、"ping–n1"和"whoami"),尤其是在较短的时间段内,可以提供调查线索来识别内部侦察。甚至如果没有来自端点的实时数据流,我们可以根据一组端点上某项的频率来建模行为并识别异常。例如,阿里云防御ddos攻击,通过收集网络上持久性可执行文件的数据,我们可以执行频率分析并确定稀有或唯一的条目以供进一步分析。像频率分析这样的简单技术通常会从先前(甚至现在)的妥协中发现调查线索,可应用于各种网络和端点数据。扩展除了主要依赖于传统的基于静态指示器的检测和对攻击者行为的关注之外,增加了检测先前未知恶意软件和熟练攻击者的可能性。多个检测策略的组合对于全面覆盖和可视性是必要的:主动检测技术成功地阻止已知的不良行为,上下文智能有助于识别不太常见的恶意软件和攻击者,而基于方法论的证据从彻底的观察中收集,可以洞察 妥协。使用您所掌握的IT和安全人员比其他任何人都更了解他们组织的用户和系统。他们每天都在网络上努力工作,确保关键组件的正常运行时间,支持用户操作,并方便地解决问题。他们对环境的固有知识提供了令人难以置信的深度探测能力。事实上,无论问题是不是由攻击者活动引起的,IT支持人员通常是最先知道问题出在哪里的。受损的系统通常会出现异常症状,并对向IT支持人员报告问题的用户造成问题员工。环境-特定威胁检测是Rapid7的专长。我们的InsightIDR平台持续监控用户活动、身份验证模式和流程活动,以发现可疑行为。通过跟踪用户身份验证历史,我们可以识别用户何时通过新协议和新IP向新系统进行身份验证。通过跟踪每个系统上执行的进程,我们可以识别用户是否运行了偏离其正常模式的应用程序,或者是否在运行可疑的命令(基于我们对攻击者方法学的了解)。将用户身份验证与进程执行历史相结合可以确保即使攻击者访问合法帐户,其工具和侦察技术也会将其泄露出去。最后,通过将这些数据与以前发现的威胁情报、行业反馈和攻击者配置文件相结合,我们可以确保我们优先考虑高保真调查线索,并减少总体检测时间,从而实现更快、更有效的目标回应。让一个例子:鲍勃的账户被泄露了最后妥协在系统中,低成本ddos防御海外高防,攻击者将执行与Bob的正常活动不同的侦察命令。Bob通常不会在命令行上运行"whoami"或执行psexec,Bob也从来没有执行过powershell命令–这些行为是调查性的元素,单独而言不足以引起警惕,但总体上呈现出可疑行为的踪迹,从而保证调查。知识你的环境和对于每个用户和每个系统来说,统计上的"正常值"可以为您的检测策略添加"无特征码"。不管您的传统检测技术提供了嘈杂且容易绕过的恶意软件哈希、域、IP、IDS警报、防火墙块和代理活动,维盟路由ddos防御,您都可以识别攻击者的活动,并确保不会因为过时或不准确而丢失事件情报。一次您已根据用户和系统异常确定了攻击检测,从你的调查中提取有用的指标数据,并建立你自己的"已知不良"威胁源。通过向传统的检测系统添加内部指示器,您可以获得更大的intel上下文,并且可以简化对整个环境中攻击者活动的检测。正确地组合检测策略可以显著地提高检测攻击的可能性,并为您提供区分"怪异"、"糟糕"和"我的周末过得好"的上下文。