2014年大量企业受到的入侵、攻击和其他多种数据袭击已经清楚地表明,原始的、开盒即用式的安全软件已经不足以保护企业了。但是由于高持续性威胁(APT)以及其他恶意软件类型的本质,使我们很难“买到”一种不让下一次威胁进化为漏洞的方案。
对于任何安防状况来说,缩短从侦测到防护的时间都是在(黑客)攻击中生存下来的关键。通过利用安全信息与事件管理(SIEM)解决方案并找到通常的攻击指标(IoA),企业可以在威胁转化为全面侵袭前为侦测和防护的转换压缩相当多的时间。
攻击指标(IoA)正如其名:常规的行为模式可能隐藏着攻击的预兆。正确识别和应对攻击指标的目的就在于不要让它成为感染指标(IoC)。一旦攻击指标未被检测出而变成感染指标,相关的业务就面临着成为尴尬头条的风险。
那么,各企业该怎么寻找这些指标呢?英特尔安全旗下的迈克菲,为大家列出了八种最常见的攻击指标及其对应的警示信号,帮助大家从各种事件中分辨出此类信号。
通过这些攻击指标,你可以发现威胁的来源、形式、时间、目标,以及如何在其演变为感染指标,并最终形成破坏之前将之消灭。
1.内部主机与无业务往来的已知恶意目标或外国目标通讯。
当电脑或其他设备连接到网络时,来自内部主机的可疑通讯是攻击的极佳警示。原因就是:有一些恶意程序需要连接到指挥与控制服务器,而这些服务器通常位于不同国家,用来中继信息和接收指令。
2.内部主机与外部主机使用非标准端口进行通讯,或协议/端口不配对
诸如使用默认网络端口 — 80端口发送指令壳(SSH)而不是HTTP通讯这样的事件,意味着受感染的主机在与指挥控制服务器通讯,或有攻击者企图提取数据。
3.可公开访问区或隔离区主机与内部主机通讯
来自外部主机或你的隔离区主机对你的内部网络的通讯可能意味着你正受到攻击。这样的行为可以让外部人士进入你的网络并返回数据,进行数据窃取或是远程访问你的资源。
4.非工作时间的恶意软件检测
在非工作时间的网络活动不一定代表受到攻击,但是在奇怪的时间来自特定设备的通讯有可能是一种警示。设置你的安全信息与事件管理器来侦测这些可疑通讯可以防范主机被入侵。
5.短时间内由内部主机与多个主机进行网络扫描通讯
由内部主机向其他主机发起的连续通讯和网络扫描可能代表着攻击者想要在网络中有所行动。
6.24小时内同一子网络下多台设备对单一主机或重复事件的多次警报事件
在短时间内来自单一主机的多次警报事件,或是多个主机的重复事件,可能代表着攻击者想要入侵网络或者计算机。
7.系统在恶意软件被清除后5分钟内再次被感染
虽然感染属于“明枪”式的攻击,在清除感染后几分钟内主机再次被感染那就说明有高持续性威胁存在——这就远不止是单纯的恶意软件那么简单了。
8.用户账户在几分钟内由多个不同区域尝试登录不同资源
用户快速尝试访问多种资源,只要来源或目标位于不同区域,就可能意味着攻击者正企图提取数据。
通过如此全面的分析,安全信息与事件管理方案能防止攻击指标演变为感染指标甚至爆发危机——这样的事件可能只需要几分钟就会发生,同时迅速演变为破坏事件。所以,拥有应对迅速的安全方案非常重要。有78%的公司能在几分钟内检测到攻击,这得益于实时、积极的安全信息与事件管理方案。有了这种威胁检测手段,你的公司就能利用它的自动功能在公共范围下防止入侵:
使用威胁情报 — 根据用户调查显示,迈克菲全球威胁情报的用户的威胁阻止能力提升20%,威胁检测时间降低29%。这里所说的每一个百分点可都意味着企业信息的保护!
数据收集与汇总 — 记录和测量资源的特性 — 如何使用,谁在使用,可能被攻击的方式 — 可以帮助警示IT团队那些不寻常的行为,让他们快速识别,强化对公司重要数据的防护。
关联与丰富规则 — 实时安全信息与事件管理方案的关联可以帮助IT团队显著提升对各种网络犯罪活动的防范能力,通过自动检测可疑行为,立即将潜在威胁报送到他们眼前。
适当的自动化 — 自动化的安全信息与事件管理方案能帮助安全团队比以往更快地接收威胁数据并作出回应。同时,通过对工作流的手动和自动审批步骤,公司可以在重要决策者知情的前提下更持续有效地对威胁作出应对。
在这场分秒必争的战争里,你必须缩短由攻击指标到正确行动之间的每一秒钟。否则,就将面临被入侵的风险。
欲了解更多关于你的公司该如何进行实时防护和侦测的信息,可以点击这里下载我们的报告《分秒必争》。
(新闻稿 2015-07-07)