数智资源网
首页 首页 大数据 查看内容

定位高级威胁和内部威胁的新趋势——持续监测

木马童年 2019-4-13 21:25 186 0

在网络规模迅速膨胀的今天,经常会有这样的消息传来,某家公司或机构被外部或内部的威胁攻击,信息被窃取。尽管恶意软件防御能力在近年已经显著提升,可以阻止大部分业余的、基础广泛的攻击,然而善于寻找针对性方式 ...

在网络规模迅速膨胀的今天,经常会有这样的消息传来,某家公司或机构被外部或内部的威胁攻击,信息被窃取。尽管恶意软件防御能力在近年已经显著提升,可以阻止大部分业余的、基础广泛的攻击,然而善于寻找针对性方式的软件行家所编写的现代高级威胁仍可攻陷防范严密的网络。

随着内部威胁的增加,形势变得更加复杂。在这个BYOD的时代,一些好心的员工很可能在不经意间就绕过了防线,将恶意代码带入核心网络。等待恶意代码自行现身无疑是老套的“城堡”法,而观察它的表现行为,若有安全隐患即把它封锁在防火墙外这样的方式正逐渐演化为普遍而主动的防御方式。

在今年六月Gartner发布的安全与威胁管理报告中,Gartner机构的副总裁、资深分析师Neil MacDonald,描述了网络安全的趋势和较佳范本。他主张完善的保护不仅需要阻止和预防,也需要检测和响应。若想做到这一点,Neil MacDonald推荐了一个新的、更加动态的防护方式,通过持续监测及分析防护网络核心安全。在这个模型中,安全系统不断监测内网发生的状况,从应用程序到最终用户设备。这明显优于传统的SEIM收日志再关联分析的方案。它将更多的情报直接放置到安全系统中,使他们能够在本地存储及处理状态信息,并应用大数据分析,以确定其趋势及是否出现异常。

不同于简单的阈值比较,这种方法可以找出那些为了更准确的洞察和防御而可能不被获取的信息,MacDonald称之为“情境感知智能”。这不仅仅是理论,各家安全厂商都在从台式机、服务器和网络收集到的数据上使用先进的行为分析,以寻找异常的用户和应用程序。举个例子,这种方式正被用在企业级防火墙上来更有效的将“好的信息”留下、除掉“坏的信息”。设备获取技能正在为不同的应用程序和用户动态地创建和完善一个关于 “正常”的基线。然后,用行为分析实时监测流量来识别出之前未知的高级威胁以及异常行为。

行为分析这样的技术在与高级威胁的斗争中变得日趋重要,因为现在专业编写的恶意软件经常使用组合方式来规避传统的、基于标识的扫描防御。尤其是,代码变形被黑客广泛使用,以确定任意给定的两个恶意软件样本间看起来没有相同之处。然而,许多这些差异只是他们的伪装。Verizon公司发现在其2015数据泄露调查报告中,70%的攻击来自20种恶意软件家族的变种。虽然大多数攻击表面上看起来不相同,但其实攻击表现是相同的。这些相似之处使得识别之前未被发现的威胁更加容易。全球范围内统计分析的恶意软件样本显示许多家族恶意软件的行为模式可以很快的表现并被识别。

这一新的网络安全设备对网络实时流量进行模式匹配,即使采用了之前从未被发现的模式,潜在的威胁也能被发现。除了可以观察应被锁定的潜在威胁,这样的网络安全设备还能够监测网络中与用户和应用程序有关联的流量的行为。这些系统通常检查流量中3—7层各种各样的参数,从并发连接数和带宽到URL格式和POST/ PUT比率。这能够帮助检测出不仅限于那些明显的异常行为,例如拒绝服务攻击和扫描等,还包括那些不易于发现的已成为攻击目标的非正常数据转移,不论是来自恶意撰写的程序还是人为。

网络安全 应用程序 大数据分析 感知智能 行为分析 数据泄露
0
为您推荐
HIVE数据仓库完美实战课程,资源教程下载

HIVE数据仓库完美实战课程,资源教程下载

课程名称【快速掌握HIVE视频教程】HIVE数据仓库完美实战课程课程目录├第一周:hive基…...

尚硅谷大数据Flink技术与实战,资源教程下载

尚硅谷大数据Flink技术与实战,资源教程下载

课程名称尚硅谷大数据Flink技术与实战课程目录理论_Flink基础 001__Flink理论_Flink…...

廖雪峰-2019大数据分析精品资料价值1980元,资源教程下载

廖雪峰-2019大数据分析精品资料价值1980元,资源教程

课程介绍:廖雪峰大神历时3个月打磨出来的《数据分析必备技能》的视频学习资料,由浅…...

尚硅谷-大数据项目之电商数仓教程下载

尚硅谷-大数据项目之电商数仓教程下载

课程介绍:本课程以国内电商巨头实际业务应用场景为依托,对电商数仓的常见实战指标以…...