如何利用安全分析技術(shù)來檢測高級惡意軟件?(二)
責(zé)編:admin |2015-02-09 16:34:01威脅檢測安全分析的另一個(gè)重要部分是日志管理。我們的想法是把所有系統(tǒng)的日志信息保存在集中的安全位置,以備將來使用。當(dāng)攻擊者侵入系統(tǒng)時(shí),他或她通常會(huì)通過編輯或刪除系統(tǒng)日志來刪除侵入的證據(jù)。轉(zhuǎn)移這些日志到中央存儲(chǔ)庫可以增加攻擊者篡改日志的難度。此外,通過集中日志記錄,企業(yè)可以更容易地在系統(tǒng)和應(yīng)用上搜索和運(yùn)行報(bào)告。
在你的日志中你應(yīng)該檢查這些事件:成功登錄之前經(jīng)過多次失敗登錄嘗試;通常從某個(gè)IP或位置登錄的用戶突然從其他位置登錄;沒有進(jìn)行DNS查詢連接到網(wǎng)絡(luò)IP地址的機(jī)器,或者具有大量出口流量的連接。這些事件中的任何一個(gè)都可能或者可能不會(huì)構(gòu)成問題,但任何兩個(gè)或以上的問題同時(shí)出現(xiàn)就可能意味著攻擊。
另外,如果無法選擇商業(yè)日志管理或安全信息和事件管理產(chǎn)品,還有很多免費(fèi)的SIEM工具。Splunk可作為你的日志搜索引擎,你每天可以免費(fèi)使用它來處理高達(dá)500MB的日志。我從沒用過其他工具,但我知道還有一個(gè)不錯(cuò)的免費(fèi)開源日志管理工具,即LogStash。
對于安全分析程序,我強(qiáng)烈推薦的最后一個(gè)工具是網(wǎng)絡(luò)分析工具,這種工具能夠捕捉和分析來自不同網(wǎng)絡(luò)的流量數(shù)據(jù)。這些流量數(shù)據(jù)包括IP地址、端口、協(xié)議和穿越網(wǎng)絡(luò)的流量的數(shù)據(jù)大小。基本上,這就是數(shù)據(jù)本身。
你的網(wǎng)絡(luò)分析工具將允許你搜索先前隱藏的流量中的模式。例如,早在去年,HD Moore發(fā)布了一篇關(guān)于漏洞利用統(tǒng)一即插即用(或UPnP)和簡單服務(wù)發(fā)現(xiàn)協(xié)議設(shè)備的博客文章。通過利用我的網(wǎng)絡(luò)分析工具,我對外部源IP地址進(jìn)行了模式查詢–針對我的公網(wǎng)IP地址之一,使用端口1900的用戶數(shù)據(jù)報(bào)文協(xié)議。在24小時(shí)內(nèi),出現(xiàn)539個(gè)匹配模式。這表明攻擊者確實(shí)存在。
因?yàn)檗D(zhuǎn)發(fā)流量數(shù)據(jù)只是一些路由器和交換機(jī)的一個(gè)功能,你需要找到一種方法來捕捉和查看這些數(shù)據(jù)。你可以使用來自SolarWinds、NetScout或Lancope等公司的專有網(wǎng)絡(luò)分析工具,或者利用上述提到的日志管理工具。我選擇了21CT的LYNXeon的工具,因?yàn)樗粌H能夠?qū)α髁繑?shù)據(jù)進(jìn)行模式分析,還包括其他數(shù)據(jù)類型。下面讓我詳細(xì)介紹。
去年我在名為The Magic of Symbiotic Security的會(huì)議上做了一個(gè)演講,其中我介紹了促進(jìn)融合的安全生態(tài)系統(tǒng)—突破工具孤島,讓它們一起運(yùn)作以獲得最大效率。我們安全分析的終極目標(biāo)是讓上述提到的每個(gè)組件一起運(yùn)作,以獲得對所面臨威脅的清晰視圖。我們從惡意軟件以及入侵防御系統(tǒng)收集警報(bào)數(shù)據(jù)–其中包含關(guān)于惡意類型、目標(biāo)和來源的信息;我們還會(huì)收集關(guān)于文件簽名突然發(fā)生改變的系統(tǒng)的信息;我們收集環(huán)境中不同系統(tǒng)存在的漏洞信息;然后,我們收集日志文件生成的信息,例如失敗登錄嘗試或賬戶鎖定。我們利用供應(yīng)商為我們提供的訪問數(shù)據(jù)的工具來實(shí)現(xiàn)這些數(shù)據(jù)收集工作。這可以是通過API調(diào)用,簡單網(wǎng)絡(luò)管理協(xié)議警報(bào)或者直接的數(shù)據(jù)庫查詢。最后,所有這些數(shù)據(jù)都被整合到LYNXeon。接下來,我們使用模式查詢語言來尋找所有數(shù)據(jù)集的潛在惡意模式。
下面是一些報(bào)告例子,它們讓我們更好地了解網(wǎng)絡(luò)安全狀況:
連接到http://www.malwaredomainlist.com服務(wù)器的內(nèi)部系統(tǒng)
在很短的時(shí)間內(nèi),連接到很多其他內(nèi)部系統(tǒng)的內(nèi)部系統(tǒng)
連接到惡意軟件或入侵檢測平臺(tái)已經(jīng)觸發(fā)警報(bào)的外部系統(tǒng)的內(nèi)部系統(tǒng)
使用不屬于企業(yè)基礎(chǔ)設(shè)施的DNS服務(wù)器的內(nèi)部系統(tǒng)
此外,在我的公司整合流量數(shù)據(jù)與其他數(shù)據(jù)類型的好處之一是,我們能夠根據(jù)一個(gè)位置發(fā)生事件來創(chuàng)建模式,并利用這些模式來尋找其他位置的類似問題,這些其他位置可能沒有部署完全相同的檢測機(jī)制。
上述建議是我自己的經(jīng)驗(yàn),并不是全面的工具或工具類別清單,但這為你提供了一個(gè)基礎(chǔ),讓你可以開始利用威脅檢測安全分析。在你的公司建立一個(gè)安全分析程序可能不會(huì)在一夜之間發(fā)生,但這肯定可以實(shí)現(xiàn),并能夠幫助你提高檢測惡意軟件的能力。在這個(gè)過程中,不要忘了保持良好的數(shù)據(jù)指標(biāo),這樣你就可以向高管展示投資回報(bào)率。
下一篇:破解rhel6 root密碼
- 360助力“奧運(yùn)冠軍之城”七臺(tái)河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財(cái)報(bào)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書