433
CSO關注:企業安全遭受攻擊的15個跡象
本文講的是 : CSO關注:企業安全遭受攻擊的15個跡象 , 【IT168 編譯】不尋常的賬戶行為、奇怪的網絡模式、不明原因的配置更改等都可能表明潛在的攻擊。為了更快地發現數據泄露事故,安全專家可以檢查其IT環境中的異常活動。這些不尋常的活動通常可以幫助企業更快地發現係統上的攻擊活動,以防止最終的數據泄露事故的發生,或者至少在最初階段阻止攻擊。
下麵是企業應該關注的15個跡象,這些跡象可能表明潛在的攻擊活動:
1、不尋常的出站網絡流量
也許最大的跡象就是不尋常的出站網絡流量。
“常見的誤解是網絡內部的流量都是安全的,”AlgoSec公司高級安全戰略家Sam Erdheim表示,“查看離開網絡的可疑的流量,我們不僅要關注進入網絡的流量,而且還要注意出站流量。”
對於現代攻擊,企業很難阻止攻擊者進入網絡,因此,企業更應該關注出站流量。NetIQ公司解決方案戰略主管Geoff Webb表示:“所以,最好的辦法是檢查網絡內部的活動,以及檢查離開網絡的流量。受攻擊的係統通常會唿叫命令控製服務器,你可以密切關注這種流量,以阻止攻擊。”
2、特權用戶賬戶活動異常
在精心策劃的攻擊中,攻擊者要麼提升他們已經攻擊的賬戶的權限,要麼使用攻擊的賬戶進入更高權限的其他賬戶。從特權賬戶查看不尋常的賬戶行為不僅能夠發現內部攻擊,而且還可以發現賬戶被控製。
Webb表示,“特權用戶行為的變化可能表明其他人正在使用該賬戶來攻擊你的網絡,企業應該關注賬戶變化,例如活動時間、訪問的係統,訪問的信息的類型或數量。”
3、地理異常
無論是否是通過特權賬戶,登錄和訪問中的地理異常也可以表明攻擊者正在試圖從很遠的地方進行攻擊。例如,企業發現正在與沒有業務往來的國家之間的流量往來時,應該進行調查。
ThreatTrack Security公司安全內容管理主管Dodi Glenn表示,同時,當賬戶在短時間內從世界各地不同IP登錄,這可能是攻擊的跡象。
4、登錄異常和失敗
登錄異常和失敗可以提供很好的線索來發現攻擊者對網絡和係統的探測。
Beachhead Solutions公司產品專家Scott Pierson表示,多次登錄失敗也可能標誌著攻擊的發生,檢查使用不存在的用戶賬戶的登錄,這通常表明有人試圖猜測用戶的賬戶信息以及獲得身份驗證。
同樣的,在下班時間嚐試獲得成功登錄也可能表明,這不是真正的員工在訪問數據。企業應該對此進行調查。
5、數據庫讀取量激增
當攻擊者入侵企業並試圖滲出信息時,你可能會發現數據存儲中的變化。其中之一就是數據庫讀取量激增。瞻博網絡首席軟件架構師Kyle Adams表示:“當攻擊者試圖提取完整的信用卡數據時,他會產生巨大的讀取量,這肯恩比你通常看到的信用卡讀取高出很多。”
6、HTML響應大小
Adams還表示,如果攻擊者使用SQL注入來通過web應用程序提取數據的話,攻擊者發出的請求通常會包含比正常請求更大的HTML響應。
他表示:“例如,如果攻擊者提取全部的信用卡數據庫,那麼,對攻擊者的單個響應可能會是20MB到50MB,而正常響應是200KB。”
7、大量對相同文件的請求
攻擊者需要進行大量的試驗和犯錯才能發動攻擊,他們需要嚐試不同的漏洞利用來找到一個入口。當他們發現某個漏洞利用可能會成功時,他們通常會使用不同的排列組合來啟動它。
Adams表示,“因此,他們攻擊的URL可能在每個請求上會有所改變,但實際的文件名部分可能會保持不變,你可能會看到單個用戶或IP對‘join.php’進行500次請求,而正常情況下,單個IP或用戶最多隻會請求幾次。”
最後更新:2017-10-11 15:04:35