首页 电商 正文

全流分析取证:高级威胁哪里跑

2024-03-22 07:07
admin

网络安全的趋势和技术选择

网络空间安全涉及的安全响应,是指在安全事件发生后,通过人工或者自动化的方式,能采取相应的措施,降低安全事件带来的危害和影响;从启明星辰发布的近几年安全态势观察报告来看,安全响应都作为重要的一个技术领域被提及。在安全防御体系的演进中,从PPDR模型,到NIST(美国国家标准组织)定义的比较权威的IPDRR模型,都强调了安全响应是在安全事件处理中的非常重要的能力。

启明星辰认为,在安全响应中,最主要的应用思路,是基于安全攻击链模型发掘完整的攻击过程,并针对此攻击过程中发现的系统薄弱点,进行针对性的加固。通过一个攻击线索,找到攻击的利用手段和系统薄弱环节,以及安全检测设备在此场景下的失效原因,需要全流程全维度的过程和行为追踪,而全流量分析取证往往成为了不二之选。

图1:恶意软件市场已经高度组织化(来源:启明星辰安全态势报告)

启明星辰认为,基于网络流量元数据和数据包的采集,进行流行为的安全威胁分析和取证,是未来最重要安全技术之一。Gartner的最新报告也指出:NTA(网络流量分析)和NFT(网络取证工具)正在逐步演变为通过采集和存储网络分析以外的更多数据,实现更大范围的威胁检测和攻击取证能力。

传统的“预防加检测”有其天然局限性,“持续检测与响应”才能应对今天不断变化的威胁局面。

全流量分析取证在安全中的价值

1:具备完整攻击链的全过程信息存储和展示

网络攻击的成功实施,通常是利用系统的薄弱环节,通过多种手段最终进入系统内部,造成系统破坏或者是获取所需信息。即使我们已经部署了防火墙、IDS、IPS、数据库防御、邮件防御系统等产品,貌似扎紧了防御的篱笆,但面对持续的、层出不穷的高级威胁攻击手法和样本变体,有时还是无法阻止各类攻击的发生,这足以说明当前攻击形势的复杂性和隐蔽性。通过对攻击过程的分析和分解,洛克希德·马丁公司提出了攻击链的概念,此概念一经推出就得到了广大安全厂商的认可;近两年非常火热的ATT&CK模型,也是在此技术上结合攻击链的各个阶段,提炼出常用的攻击手法和方式,成为了很多安全厂商设计安全检测设备的一个标尺。

图2:ATT&CK在GoogleTrends上过去一年多的趋势变化

然而,品类繁多复杂的安全检测设备,往往只能覆盖攻击链的几个过程,而无法完整的呈现出一个完整的攻击活动。这些相互重叠的安全设备的检测能力,往往会给攻击者带来可乘之机:每个设备只能展示部分相关的攻击信息,无法完整的展示攻击行为过程和前后的串联关系,那么在后续的响应环节就做不到毫发无遗,只会导致同类型的攻击让我们疲于应付,安全事件层出不穷了。

全流量分析取证,通过存储网络中所有的流量(可过滤掉一些低价值的视频流量等),实现完整的攻击过程在网络数据传输中的快照,依据一定的自动查询规则或者是手工查询的方式,展示出整个攻击链的所有相关信息。

同时对于全流量分析取证产品,通过和传统安全检测设备、流量分析设备系统联动,能实现一点检测,全攻击链还原取证的能力,实现100%准确的攻击有效性判断和关键证据的获取,是构建攻击活动的完整证据链的数据基座。

2:协助识别网络攻击的有效性,可实现网络攻击超低误报

因为网络业务的低时延要求,自动化攻击行为的发生,和每年大幅增长的系统漏洞,对安全检测设备的快速响应能力提出了更高的要求。另一方面,因为需要降低漏报率的因素,大量的攻击误报就成为了网络攻击检测中的常态。

通过传统安全检测设备和全流量分析取证设备的联动,通过对一条流的客户端行为,服务器的行为,以及同一个客户端&服务器端的多条流的行为的验证,能快速准确的分析出是否是一个成功的攻击行为:

图3:启明星辰全流量分析取证设备和检测设备联动

近年来各大安全厂商不停的在SIEM/SOAR上进行能力布局,是类似的分析取证的思路,但此类分析取证还是基于已有的网络安全设备的日志信息等,完整性和准确性上存在一定的不足。而全流分析取证设备上有完整的攻击过程信息,有攻击前和攻击后的客户端/服务器行为,这些都能较容易的帮助安全检测设备快速准确甄别误报信息,真正发挥安全检测设备的快速检测优势和实时的安全响应处置策略。

3:实现基于多种复杂流量组合的攻击过程分析

全流分析取证产品在pcap原始数据、协议元数据、流统计信息等全维度信息的基础上,可以实现在线/实时,离线/批量的安全模型分析,弥补当前网络安全设备检测能力的不足。

图4:启明星辰全流取证方案的多场景安全分析能力

基于全流分析取证产品的完整数据,可以实现由最简单的统计分析,到最复杂的人工智能等多种场景的安全威胁分析,验证攻击是否成功,分析模型是否准确,能良好的解决传统的基于特征、指纹和用户网络行为的攻击检测方式带来的误报和漏报的问题,此种自证能力是全流分析取证产品独特且难以被其他产品取代的优秀能力。

相关文章

  • 周鸿祎:离开场景谈5G是虚,离开安全谈5G是空

    周鸿祎:离开场景谈5G是虚,离开安全谈5G是空 5G时代,不仅万物互联,一切还可编程,这给了黑客渗透、攻击的手段。,但5G+带来的整个数字化建立在软件基础之上,接入软件本身复杂度增加,例如代码行数更多,逻辑结构更加复杂,未知漏洞也会越来越多。,“黑客发送攻击前,总会出现异动,我们通过大数据、人工智能驱动的分析引擎,在浩如烟海的数据中去寻找和研制网络异常行为,进行实时分析,认定确实有问题后,进行实时阻拦。

    2024-03-22 09:18

  • 趣谈美伊信息战

    趣谈美伊信息战 回来说“震网”病毒,其最终结果已经有许多报道,伊朗人发现,离心机莫名其妙地出现故障,而参数显示一切正常,怎么也查不出原因。,当时美军研制出6米长的设备,以潜艇拖放到苏联海底电缆附近收集信息,每一个月左右,由潜水员进行更换。,“猎杀巨人”项目一直在悄悄进行,直到2013年,德国《明镜》周刊和美国《纽约时报》根据斯诺登的文件,报道了该项目的细节,它才被公众知晓。

    2024-03-22 08:55

  • 360:捕获用肺炎疫情投递攻击案例 来自印度黑客组织

    360:捕获用肺炎疫情投递攻击案例 来自印度黑客组织 新浪科技讯2月5日上午消息,360公司今日表示,360安全大脑近日捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。,据悉,该攻击组织使用采用鱼叉式钓鱼攻击方式,通过邮件进行投递。,该组织的攻击目标主要为:中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。

    2024-03-22 08:49

  • 信息安全又现漏洞,传感器竟成“窃听器”

    信息安全又现漏洞,传感器竟成“窃听器” 来源:科技日报本报记者马爱平加速度计,又称加速度传感器,目前在智能手机上被广泛地应用,可以通过测量手机在各个方向上的“应力”来得出加速度,像手机中的计步器、“摇一摇”等许多功能都基于这些传感器来实现。,以往业界普遍认为其和个人隐私信息无关,因此在功能设置上,手机App可以“无门槛”调用加速度计读数或是获取相应权限。,此外,任奎还补充道:“我们应当从法律法规上细化对敏感信息的定义和使用规范。

    2024-03-22 08:24

  • 玩游戏为啥老掉线?网络黑产:一千元瘫痪网站9小时

    玩游戏为啥老掉线?网络黑产:一千元瘫痪网站9小时 但这类案件往往需要将上下游行为串在一起,才能还原事实、查明真相,这也是打击网络犯罪的特点和难点。,新京报记者了解到,DDoS攻击的原理是攻击者控制多台机器在同一时间集中访问一个IP地址,造成访问流量飙升,最终导致该地址网页无法打开,服务崩溃,其原理类似于一家餐厅突然涌入了极多“霸王客”导致正常顾客无法进入。,不过,新京报记者在黑灰产平台中同一些黑客交谈时发现,由于手游App无法像页游一样直观的显示

    2024-03-22 08:10

  • 世卫组织:约450个邮箱信息被泄露 网络攻击增加五倍

    世卫组织:约450个邮箱信息被泄露 网络攻击增加五倍 记者朱赫当地时间4月23日晚,世卫组织发表声明,自新冠肺炎大流行以来,世卫组织员工遭受的网络攻击,以及针对公众的电子邮件欺诈数量急剧增加。,本周约有450个世卫组织电子邮箱地址及密码被泄露,还有数以千计的其他研究新冠肺炎病毒的人员邮箱信息遭泄露。,世卫组织将建立更坚固的内部系统并加强安全措施,并就网络安全风险对员工进行教育。

    2024-03-22 08:08

  • 360:越南黑客窃取抗疫情报 利用新冠题材引诱用户

    360:越南黑客窃取抗疫情报 利用新冠题材引诱用户 新浪科技讯5月7日上午消息,360公司今日表示,近期发现有黑客组织在不断尝试窃取我国医疗卫生行业的相关机密,通过安全大脑多次监测、追踪到的证据分析证明,该组织确为越南黑客组织APT32(海莲花OceanLotus)。,据介绍,海莲花是高度组织化、专业化的境外国家级黑客组织。,从2012年4月起,就针对中国多个实体机构,开展了精密组织的网络攻击。

    2024-03-22 08:04

  • 360回应被美列"实体清单":坚决反对这一不负责任的指责

    360回应被美列"实体清单":坚决反对这一不负责任的指责 360安全大脑累计帮助苹果、谷歌、微软发现数千个安全漏洞,间接保护全球网民,并得到这些公司的高度评价和多次感谢。,360安全大脑也曾多次帮助美国执法机构破获全球网络犯罪攻击案件,在国际上得到广泛认可。,360认为网络攻击和犯罪才是全人类共同的敌人,需要全球网络安全力量更好地开展合作。

    2024-03-22 07:54

  • Twitter大规模黑客攻击或将演变成全球安全危机

    Twitter大规模黑客攻击或将演变成全球安全危机 无论公司最终怎么讲述这次事件,有一点必须承认,危机早在几年前就已经开始酝酿。,黑客似乎已经消停,但认证账号从东部时间下午四点开始陆续发布新的诈骗推文,一直持续两个多小时。,这次事件后,不难想象,如果有人控制了某个世界领导人的账户然后试图发动核战争,也未尝没有可能。

    2024-03-22 07:29

  • 美参议员要求Twitter CEO杰克·多西配合调查黑客入侵

    美参议员要求Twitter CEO杰克·多西配合调查黑客入侵 新浪科技讯北京时间7月16日上午消息,据外媒报道,Twitter的黑客攻击事件发生后,参议员乔什·霍利(JoshHawley)在周三给该科技巨头发送了一封信,呼吁Twitter与联邦政府的执法部门合作。,”疑似比特币诈骗者在7月15日傍晚控制许多账户超过两小时,至少有数百人上当受骗。,一条黑客攻击的典型推文写道:“人人都在呼吁我回馈大家,那么就现在吧。

    2024-03-22 07:29

热门标签