CSO应该知晓15个潜在威胁迹象

4、登录异常和失败

登录异常和失败可以提供很好的线索来发现攻击者对网络和系统的探测。

Beachhead Solutions公司产品专家Scott Pierson表示，多次登录失败也可能标志着攻击的发生，检查使用不存在的用户账户的登录，这通常表明有人试图猜测用户的账户信息以及获得身份验证。

同样的，在下班时间尝试获得成功登录也可能表明，这不是真正的员工在访问数据。企业应该对此进行调查。

5、数据库读取量激增

当攻击者入侵企业并试图渗出信息时，你可能会发现数据存储中的变化。其中之一就是数据库读取量激增。瞻博网络首席软件架构师Kyle Adams表示：“当攻击者试图提取完整的信用卡数据时，他会产生巨大的读取量，这肯恩比你通常看到的信用卡读取高出很多。”

6、HTML响应大小

Adams还表示，如果攻击者使用SQL注入来通过web应用程序提取数据的话，攻击者发出的请求通常会包含比正常请求更大的HTML响应。

他表示：“例如，如果攻击者提取全部的信用卡数据库，那么，对攻击者的单个响应可能会是20MB到50MB，而正常响应是200KB。”

7、大量对相同文件的请求

攻击者需要进行大量的试验和犯错才能发动攻击，他们需要尝试不同的漏洞利用来找到一个入口。当他们发现某个漏洞利用可能会成功时，他们通常会使用不同的排列组合来启动它。

Adams表示，“因此，他们攻击的URL可能在每个请求上会有所改变，但实际的文件名部分可能会保持不变，你可能会看到单个用户或IP对‘join.php’进行500次请求，而正常情况下，单个IP或用户最多只会请求几次。”

8、不匹配的端口应用流量

攻击者经常利用模糊的端口来绕过更简单的web过滤技术。所以，当应用程序使用不寻常的端口时，这可能表明命令控制流量正在伪装成“正常”的应用程序行为。

Rook Consulting公司SOC分析师Tom Gorup表示，“我们可能会发现受感染的主机发送命令控制通信到端口80，它们伪装成DNS请求，乍一看，这些请求可能像是标准DNS查询;然而，你仔细看的话，你会发现这些流量通过非标准的端口。”

9、可疑的注册表或系统文件的更改

恶意软件编写者在受感染主机内保持长期存在的方法之一是通过注册表的更改。

当应对基于注册表的IOC时，创建基线是最重要的部分，Gorup表示，“定义正常的注册表应该包含的内容，这基本上创建了一个过滤器。监测和警报偏离正常模板的变更，将提高安全团队的响应时间。”

同样地，很多攻击者可能会留下迹象表明，他们已经篡改了主机的系统文件和配置，企业可以通过查看这些变化来快速发现受感染系统。

他表示，“可能发生的情况是，攻击者将安装数据包嗅探软件来获取信用卡数据，攻击者会瞄准可以查看网络流量的系统，然后安装这种工具。虽然捕捉这种攻击的机会很渺茫(因为它们非常具有针对性，可能以前没有见到过)，但企业可以发现系统的变更。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友