|
CSO应该知晓15个潜在威胁迹象不寻常的活动通常可以帮助企业更快地发现系统上的攻击活动,以防止最终的数据泄露事故的发生,或者至少在最初阶段阻止攻击。本文说明了企业应该关注的15个迹象,这些迹象可能表明潜在的攻击活动 10、DNS请求异常 根据Palo Alto公司高级安全分析师Wade Williamson表示,企业应该查看的最有效的攻击迹象是,恶意DNS请求留下的告密者模式。 他表示,“命令控制流量通常对于攻击者是最重要的流量,因为它允许他们持续管理攻击,并且,他们需要保护这种流量,以确保安全专家不会轻易发现,企业应该识别这种流量的独特模式,因为它能够用来发现攻击活动。” 他表示,“当来自特定主机的DNS请求明显增加时,这可能表明潜在的可疑行为,查看到外部主机的DNS请求模式,将其与地理IP和声誉数据对照,并不熟适当的过滤,可以帮助缓解通过DNS的命令控制。” 11、莫名其妙的系统漏洞修复 系统修复通常是好事情,但如果系统突然毫无征兆地进行修复,这可能表明攻击者正在锁定系统,使其他攻击者不能使用它来进行其他犯罪活动。 “大多数攻击者试图利用你的数据来赚钱,他们当然不希望与其他人分享胜利果实,”Webb表示。 12、移动设备配置文件变更 随着攻击者转移到移动平台,企业应该关注移动用户的设备配置中的不寻常的变更。他们还应该查看正常应用程序的变更,更换成可能携带中间人攻击或者诱使用户泄露其登陆凭证的程序。 Marble Security公司创始人兼首席信息官Dave Jevans表示,“如果托管移动设备获得一个新的配置文件,而不是由企业提供的,这可能表明用户的设备以及其企业登陆凭证受到感染,这些配置文件可能通过钓鱼攻击或者鱼叉式钓鱼攻击被安装在移动设备上。” 13、数据位于错误的位置 根据EventTracker的Ananth表示,攻击者通常在尝试渗出之前,会将数据放在系统的收集点。如果你突然看到千兆级信息和数据位于错误的位置,并且以你们公司没有使用的压缩格式,这就表明攻击的存在。 通常情况下,当文件位于不寻常的位置时,企业应该进行严格审查,因为这可能表明即将发生数据泄露事故。HBGary公司威胁情报主管Matthew Standart表示:“在奇怪位置的文件,例如回收站的根文件夹内,很难通过Windows发现,但这些可以通过精心制作的指示器来查找。” 14、非人类行为的web流量 Blue Coat公司威胁研究主管Andrew Brandt表示,与正常人类行为不匹配的web流量不应该通过嗅探测试。 他表示,“你在什么情况下会同时打开不同网站的20个或者30个浏览器窗口?感染了不同点击欺诈恶意软件的计算机可能会在短时间内产生大量Web流量。例如,在具有锁定软件政策的企业网络中,每个人都只能使用一种浏览器类型,分析师可能会发现这样的web会话,用户代理字符显示用户在使用企业不允许的浏览器类型,或者甚至不存在的版本。” 15、DDoS攻击活动的迹象 分布式拒绝服务攻击(DDoS)经常被攻击者用作烟雾弹来掩饰其他更恶劣的攻击。如果企业发现DDoS的迹象,例如缓慢的网络性能、无法使用网站、防火墙故障转移或者后端系统莫名其妙地以最大容量运行,他们不应该只是担心这些表面的问题。 Corero Network Security公司首席执行官Ashley Stephenson表示,“除了超负荷主流服务外,DDoS攻击通常还会‘压垮’安全报告系统,例如IPS/IDS或者SIEM解决方案,这可以让攻击者植入恶意软件或窃取敏感数据。因此,任何DDoS攻击都应该被视为相关数据泄露活动的迹象。” 责编:王雅京 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|