香港服务器租用(http://www.VeVb.com/hkzy)或香港服务器托管(http://www.VeVb.com/hktg)安全专家为企业提供了五个方法来找出网络中的异常行为:
1. 了解网络
在收集数据之前,企业需要知道“正常”行为是什么样的。Larsen只从Blue Coat的K9网络获取了5%的数据,因为
这些是表现异常的行为。
托管安全供应商Dell Secureworks安全战略主管Jeff Williams表示,企业也需要这样做,通过分析其网络,企业
就可以知道哪些行为属于异常行为,找出他们需要注意的5%的数据。
“如果你了解你的网络,知道哪些系统应该和哪些其他系统通信,以及它们之间的通信情况,应该发生的频率等,
都能够帮助了解何为‘正常行为’,”他表示,“只有你了解何为正常行为,才能够找出异常行为。”
2. 收集所有数据
企业还需要配置其防火墙和其他设备来收集正确的数据。在很多情况下,企业只会存储丢弃的流量,因为他们认为
这些数据是最有趣的。但防火墙管理公司FireMon首席技术官Jody Brazil表示,最严重的攻击往往能够穿过防火墙。
他表示,企业通常会禁用最常用的防火墙规则上的日志,很多时候因为防火墙负担过重。
Brazil表示:“如果防火墙在做自己的工作以及丢弃流量,而你信任你购买的这个技术,那我们为什么要将重点放
在被丢弃的流量,而不是通过防火墙的流量?”
3. 找出愚蠢的异常行为
很多安全团队试图找出每个进入其网络的威胁,他们很快就会不堪重负。事实上,企业应该从简单的入手,找出那
些看似愚蠢的异常行为,首先弄清楚是怎么回事。
Blue Coat的Larsen只注重那些最“招摇”的异常流量来减少其团队的工作量。在其RSA大会的展示中,他查看了访
问了被列为“可疑网站”的用户,随后设置了更高的标准,检查点击超过30个可疑网站的10名用户,其中一名用户访问
了37次包含35个x的。com顶级域名。他试图找出异常行为中的异常行为,这往往可能是真正的目标。
4. 结合威胁情报
很多时候,安全团队并不需要大量流量来发现恶意活动,而是流量的来向或去向。免费的黑名单和威胁数据源,再
结合企业的防火墙日志,往往就能够找出恶意攻击。
Brazil表示,现在有很多像样的威胁情报源,以及廉价的工具,企业可以结合这两者与其防火墙数据来找出恶意活
动。
5.回过头来检查
Blue Coat的Larsen表示,收集关于攻击的情报能够暴露攻击者的动机,并同时帮助训练安全团队和事件响应者。
然而,即使在系统被清理和调查结束后,检查被感染的用户仍然会有所收获。
