香港服務(wù)器租用(http://www.survivalescaperooms.com/hkzy)或香港服務(wù)器托管(http://www.survivalescaperooms.com/hktg)安全專家為企業(yè)提供了五個方法來找出網(wǎng)絡(luò)中的異常行為:
1. 了解網(wǎng)絡(luò)
在收集數(shù)據(jù)之前��,企業(yè)需要知道“正常”行為是什么樣的���。Larsen只從Blue Coat的K9網(wǎng)絡(luò)獲取了5%的數(shù)據(jù)����,因為
這些是表現(xiàn)異常的行為�����。
托管安全供應(yīng)商Dell Secureworks安全戰(zhàn)略主管Jeff Williams表示�,企業(yè)也需要這樣做����,通過分析其網(wǎng)絡(luò),企業(yè)
就可以知道哪些行為屬于異常行為�,找出他們需要注意的5%的數(shù)據(jù)����。
“如果你了解你的網(wǎng)絡(luò)���,知道哪些系統(tǒng)應(yīng)該和哪些其他系統(tǒng)通信��,以及它們之間的通信情況,應(yīng)該發(fā)生的頻率等�����,
都能夠幫助了解何為‘正常行為’�,”他表示,“只有你了解何為正常行為����,才能夠找出異常行為�?����!?/FONT>
2. 收集所有數(shù)據(jù)
企業(yè)還需要配置其防火墻和其他設(shè)備來收集正確的數(shù)據(jù)�����。在很多情況下,企業(yè)只會存儲丟棄的流量��,因為他們認(rèn)為
這些數(shù)據(jù)是最有趣的����。但防火墻管理公司FireMon首席技術(shù)官Jody Brazil表示,最嚴(yán)重的攻擊往往能夠穿過防火墻����。
他表示���,企業(yè)通常會禁用最常用的防火墻規(guī)則上的日志�����,很多時候因為防火墻負(fù)擔(dān)過重����。
Brazil表示:“如果防火墻在做自己的工作以及丟棄流量,而你信任你購買的這個技術(shù),那我們?yōu)槭裁匆獙⒅攸c(diǎn)放
在被丟棄的流量�����,而不是通過防火墻的流量�����?”
3. 找出愚蠢的異常行為
很多安全團(tuán)隊試圖找出每個進(jìn)入其網(wǎng)絡(luò)的威脅����,他們很快就會不堪重負(fù)��。事實上���,企業(yè)應(yīng)該從簡單的入手�,找出那
些看似愚蠢的異常行為��,首先弄清楚是怎么回事�。
Blue Coat的Larsen只注重那些最“招搖”的異常流量來減少其團(tuán)隊的工作量�。在其RSA大會的展示中���,他查看了訪
問了被列為“可疑網(wǎng)站”的用戶���,隨后設(shè)置了更高的標(biāo)準(zhǔn)��,檢查點(diǎn)擊超過30個可疑網(wǎng)站的10名用戶,其中一名用戶訪問
了37次包含35個x的。com頂級域名��。他試圖找出異常行為中的異常行為����,這往往可能是真正的目標(biāo)�����。
4. 結(jié)合威脅情報
很多時候����,安全團(tuán)隊并不需要大量流量來發(fā)現(xiàn)惡意活動�,而是流量的來向或去向。免費(fèi)的黑名單和威脅數(shù)據(jù)源,再
結(jié)合企業(yè)的防火墻日志,往往就能夠找出惡意攻擊����。
Brazil表示��,現(xiàn)在有很多像樣的威脅情報源,以及廉價的工具����,企業(yè)可以結(jié)合這兩者與其防火墻數(shù)據(jù)來找出惡意活
動���。
5.回過頭來檢查
Blue Coat的Larsen表示���,收集關(guān)于攻擊的情報能夠暴露攻擊者的動機(jī)����,并同時幫助訓(xùn)練安全團(tuán)隊和事件響應(yīng)者���。
然而����,即使在系統(tǒng)被清理和調(diào)查結(jié)束后��,檢查被感染的用戶仍然會有所收獲���。
