恶意的内部人员和外部网络犯罪分子越来越狡猾。他们能更好地融入,而不会触发任何警告。他们跳过了触发标准安全系统的工具和技术。那么除了当天合法登录到网络所产生的噪音之外,一家公司怎么能告诉他们呢?
答案就在于环境。监控和记录整个网络中的活动是不够的,各组织需要能够组合多种数据来源来发现在工作中隐形攻击者的微妙迹象。
[[275209]]
逃避机动
高级攻击者可以使用各种策略和工具来对抗既定的安全措施。攻击者通常也会通过HTTPS和DNS路由他们的通信,这使得隐藏起来非常容易。普通用户每天最多可以生成2万个DNS查询,这就产生了令人难以置信的大量数据需要进行分析,以便有机会检测到某些内容,特别是如果通信本身没有明显的恶意内容。
如果没有任何上下文来丰富这些数据,分析师将花费太长时间浏览日志来确定警报是真正的威胁还是虚警。
此外,诸如在工作时间登录有效设备,专注于邮箱中的数据和每次只提取少量数据等活动都不会给人留下什么印象。创建具有更多权限的影子帐户并根据需要授予和删除权限,这也有助于他们保持低调。
如何捕获规避威胁的行动者?
即使是最熟练和最细致的入侵者也无法完全掩盖他们在网络中的存在。在检测它们时,最重要的因素是对组织的人员,过程和技术有一个全面的了解。
检测隐藏威胁参与者的关键行动包括:
- 识别敏感数据和文件访问:第一步是定义敏感数据的位置,优先考虑个人身份信息(PII)和受监管要求约束的其他数据,以及“所有者”及其可以访问的帐户。应该存档不再主动使用的任何数据,以减少任何不必要的威胁载体。
- 管理用户权限:应该清楚地查看系统上的所有帐户,包括普通用户以及服务和特权帐户,以及他们拥有的权限和访问权限。监控权限更改可以成为发现可疑行为的宝贵信息的金矿。应使用最小权限方法来确保所有用户只能访问对其工作角色至关重要的文件:应根据“需要知道”确定信息访问权限。
- 启动高价值用户分析:将用户活动与特定设备相关联将有助于检测入侵者登录到不同机器但不做任何明显恶意攻击的微妙迹象。了解公共设备和个人设备的使用方式之间的差异也有助于减少噪音和误报。
相关性是关键
最重要的一步是将所有这些数据关联起来。如果单独查看数据集,那么回避入侵者的迹象通常会过于微妙,而且许多可疑行为模式只有统一的观点才会明显。考虑到在任何一天流过组织的大量数据,这只能通过机器学习驱动的自动化方法来实现。
通过彻底了解正常行为的外观以及对网络上所有活动的统一视图,组织将能够进行高价值关联,以识别一些最难以捉摸的恶意活动迹象。例如,访问科学然后登录其他员工设备的用户将不会触发标准安全系统。但是这种行为对于合法用户来说是非常不寻常的,并且是一个明显的迹象表明某人的凭据已经被破坏。
利用足够的数据,组织可以超越个人用户并将同伴关系构建到他们的行为分析中。这将允许他们快速发现与同行相比显示异常文件活动的用户,从而显着减少事件响应时间。一旦组织能够可靠地检测到这些迹象,即使是最躲避的攻击者也只有很少的地方可以隐藏在网络中。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/140251.html<
