加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 建站 > 正文

内部可见性——网络数据包捕获和欺骗的重要性

发布时间:2019-11-12 19:25:23 所属栏目:建站 来源:佚名
导读:【线上直播】11月21日晚8点贝壳技术总监侯圣文《数据安全之数据库安全黄金法则》 如果说攻击者所依赖的是什么,那就是进入组织内部并避免发现。在网络内部发现恶意活动类似于在针堆中找到特定的针。组织努力获取对内部东西向流量的可见性以进行威胁检测。有
【线上直播】11月21日晚8点贝壳技术总监侯圣文《数据安全之数据库安全黄金法则》

如果说攻击者所依赖的是什么,那就是进入组织内部并避免发现。在网络内部发现恶意活动类似于在针堆中找到特定的针。组织努力获取对内部“东西向”流量的可见性以进行威胁检测。有些开始于在网络内部部署IDS以检测恶意流量,而另一些则使用内部防火墙阻止它。诸如UEBA之类的解决方案尝试分析收集的数据并识别可疑或恶意活动,而EDR解决方案则锁定端点以获取可见性并拒绝攻击者立足。这些方法存在错误性警报问题,并且无需进行任何调整即可消除它们。

内部可见性——网络数据包捕获和欺骗的重要性

此外,这些解决方案还可以从直接分析中提取实际的网络流量,使用其内部机制输出结果。如果目标是内部可见性,为什么不直接查看网络流量进行数据包捕获并进行分析?

几种安全解决方案捕获和分析网络流量以进行检测,分析和回放。这不仅使人们可以了解正在穿越网络的内容,而且还提供了巨大的取证价值,例如完整的标头信息和封装的有效载荷。熟练的凭证检查员可以提取具有足够的数据包捕获(pcap)文件的二进制文件,命令和其他数据。这些解决方案中的许多解决方案都可以即时读取和标记pcap,并通过匹配预加载或自定义签名来警告何时检测到潜在的恶意流量。

尽管它们还存在误报警报问题,但它们提供的功能使分析人员可以搜索Packet Captures数据存储区和模式匹配以查找特定的IoC,或重播流量以检查发生了什么。例如,分析人员可以重播会话数据,并观察攻击者在通过RDP访问的受感染系统上的操作。我将这种工具用作司法鉴定的一部分,并发现它非常有用。但是,它需要经验和完善的分析技能来查找和解释pcap数据并提取相关信息以进行调查。

此外,就像大数据分析一样,这些解决方案需要大量的存储功能来容纳足够的pcap文件,以占据足够长的调查时间。如果考虑到在任何给定时刻有多少流量通过网络,并且这些解决方案必须捕获足够的pcap以最有效地覆盖调查,那么很快就会意识到存储是限制因素。希望重播两周之久的流量的分析人员必须希望该解决方案具有可用的Packet Captures。尽管SOC可以设计解决方案以使其丢弃不相关的数据,但过滤量限制了分析人员可以使用的保真度。例如,过滤掉OT网络段上的流量可以节省存储空间,但是SOC失去了那些精明的攻击者可以长时间隐藏的那些段的可见性。

人们总是可以花更多的钱在存储容量上或将其卸载到云上,但是增加收益只是为了为pcap存储增加更多的SAN容量,而将数千兆字节的数据转储到云中则需要下载它进行分析。它给SOC提供的可见性非常出色毕竟,人们正在查看实际的网络流量以发现可疑活动,但是其技能和存储要求使其非常占用资源。

在完整的网络流量和分析都依赖分析人员积极地寻找威胁的情况下,才能找到不良行为者,而欺骗平台则采用为他们设置陷阱的方法。想象一下,通过一个诱饵和其他欺骗性资产(与生产端点,服务器,设备,应用程序,服务或数据相匹配)创建一个“暮光区域”网络。诱饵环境的价值在于这样一个事实,因为它没有生产价值,并且对于常规操作是不可见的,因此没有人可以与之互动。与诱饵的任何交互都是配置错误,违反策略或未经授权的发现活动的结果,因此无需担心误报。有了足够的真实诱饵资产,

一旦攻击者使用诱饵系统,服务,应用程序或数据片段,欺骗平台就会提醒其存在并记录其活动。诱饵捕获攻击者在诱饵的磁盘,内存空间和网络接口上的所有活动,以捕获丢弃的文件,识别内存中的临时网络连接和进程并生成pcap。该平台使这些可用于脱机分析,这意味着分析人员可以利用SOC使用的相同分析工具来分析欺骗平台中的取证工件和数据包捕获。此外,由于欺骗平台提供的是恶意活动的积极记录,因此无需梳理无关的pcap。

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读