ddos防攻击_抗ddos设备部署位置_免费试用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > ddos防攻击_抗ddos设备部署位置_免费试用

ddos防攻击_抗ddos设备部署位置_免费试用

小墨安全管家 2021-05-02 14:34 高防服务器 89 ℃
DDoS防御
Capital One几周前报道的利用云端漏洞的数据泄露事件是有史以来最大的银行数据盗窃案之一。据称,亚马逊云计算部门的一名前雇员应对盗窃Capital One Financial Corp.的1.06亿份记录负责这项对Capital One数据泄露的技术分析是基于大量的公开信息。发动攻击所使用的11种技术提供了11次被发觉的机遇。这些技术被映射到MITRE ATT&CK框架。接着,我们来看看怎么使用Exabeam UEBA技术来防止它以下所提供的资料是依照嫌疑犯佩吉·汤普森在庭审期间提交给法庭的法律文件数据泄露的阻碍据恐怕,有1亿美国客户受到这一违规行为的阻碍,防DDoS,另有600万在加拿大受到阻碍。阻碍的其他关键细节包括:个人身份信息(PII)包括社会保险号码、银行账户信息和信用卡号码、电话号码和出生日期被窃取攻击者还可以获得一些客户的信用历史信息,包括信用评分和信用额度。违约背景攻击者利用开源web应用程序firewall Capital One使用的错误配置,并从amazons3实例中过滤数据采取的措施:2015-2019年的信用卡申请记录中的信息类型:姓名、地址、邮政编码/邮政编码、电话号码、电子邮件地址、出生日期和自报收入、14万个社会保障号码和8万个关联银行账号其他数据:2016年、2017年和2018年共23天的部分交易数据摘要攻击者在Capital One上的漏洞利用了防火墙漏洞。所有要紧的云服务都有自个儿的web应用防火墙(WAF)。CapitalOne使用的Amazon S3实例包括AWS WAF攻击者首先在WAF中执行命令,以猎取治理员帐户的凭据。一旦攻击者获得访咨询权限,她就在服务器上执行一系列命令,列出亚马逊元数据服务中的文件夹和名目。接下来,攻击者编写命令提取数据并将其过滤到本地32TB驱动器中。最终,所有被盗数据都上传到了攻击者的GitHub配置文件中。所有的活动都被一位安全研究员记录下来并报告给Capital One对突击怎么展开的分析依照该文件,防火墙错误配置允许命令到达受阻碍的服务器并由其执行,这使攻击者可以访咨询Capital One云存储中的文件夹或数据桶。以下是攻击时刻表的详细讲明和攻击中使用的不同技术的分析:攻击者获得了一具帐户(ISRM WAF Role)的安全凭据,DDoS防御,DDoS防御,从而允许访咨询Capital One的AWS实例中的某些文件夹。接下来,攻击者使用ISRM WAF角色帐户列出文件夹或数据桶的名称。Capital One证实了700多个文件夹中的数据这些文件夹中的数据是使用ISRM WAF角色帐户的必需权限提取的。依照文件,CapitalOne的日志显示了从TOR出口节点到其服务器的很多连接或尝试连接。从46.246.*.**开始的IP地址也有一些连接,所有这些都与同一具人举行的活动有关。这次突击持续了几个月,在突击前一具月发生了一次相关活动。从Capital One文件夹复制的其中一具文件具有特定的文件名,ISRM WAF角色首次访咨询该文件名依照图1开头的"ISR-M"中的两个项目,来源为"ISR-M"https://krebsonsecurity.com/2019/07/capital-one-data-theft-impacts-106m-people/#更多-48393)将攻击映射到MITRE ATT&CK框架MITRE ATT&CK框架中概述的攻击-杀伤链的几个时期在Capital One数据泄露中有所体现——初始访咨询、持久性、发觉、过滤和指挥与操纵。其实,关于某些战术,攻击利用多种技术来完成杀戮链的这一时期,如下所述图2:Capital One攻击中使用的战术和技术怎么映射到MITRE ATT&CK框架。初始访咨询利用面向公共的应用程序(T1190)–攻击者利用应用程序中的故障或漏洞获得对服务器的初始访咨询。坚持不懈外部远程服务(T1133)–攻击者使用远程服务(如VPN)从外部位置连接到内部企业网络资源。发觉系统时刻发觉(T1124)–对手能够从本地或远程系统中找到系统时刻和/或时区。此信息可用于打算任务,以便在系统启动时或按打算执行程序、执行远程执行、猎取系统权限或在指定帐户的上下文下运行进程。系统信息发觉(T1082)–攻击者使用枚举技术访咨询系统详细信息,如版本、修补程序、修补程序、服务包和体系结构。密码策略发觉(T1201)–攻击者大概会尝试寻找组织中强制执行的策略,以列出密码列表,以尝试暴力或任何其他类型的攻击权限组发觉(T1069)–攻击者使用发觉来检查本地级别的组和权限设置。指挥与操纵多跳代理(T1188)–攻击者使用TOR网络举行通信。远程文件拷贝(T1105)–大量文件经过未使用的端口下载和传输。渗出Data Compressed(T1002)或/和Data Encrypted(T1022)–从报告中不清晰用于压缩文件的命令类型,但攻击者真的压缩了数据以便于传输文件。经过命令和操纵通道(T1041)举行过滤–攻击者在上传到GitHub帐户之前,使用后门将文件传输到本地系统。可是,法律文件并没有指明确切的命令和操纵或IP,但她会查询一具未知的DNS服务器来猎取数据。在掌握了战术和技术的基础上,咨询题仍然存在:怎么才干防止如此的突破?攻击者发觉了攻击链中的几个漏洞,如错误配置的WAF、宽松的访咨询策略、未被检测到的命令和操纵活动以及命令执行。这些活动中有很多是使用遗留安全工具无法检测到的。他们需要一种行为想法来检测威胁本文的以下部分将介绍当今企业怎么使用Exabeam用户和实体行为分析(UEBA)技术实现更强大的安全态势。我们将查看Capital One攻击链中使用的策略和技术的挑选,并展示怎么使用Exabeam来检测它。使用Exabeam高级分析检测攻击Exabeam Advanced Analytics是Exabeam安全治理平台的一部分,旨在执行用户和实体行为分析(UEBA)举行威胁检测。高级分析预处理所有日志,并将它们与其他数据源组合,以建立正常用户和资产活动的基线。经过这种方式,系统能够特别容易地识别任何异常行为,例如与攻击相关的行为高级分析将所有正常和异常事件联系在一起,并按时刻顺序显示它们,以便分析员很容易地确定异常行为。Exabeam智能时刻线为分析人员提供了事件调查和响应的新想法,在这种想法中,他们不需要事先了解攻击者的战术和技术检测初始访咨询对手使用各种技术来进入环境。技术大概包括有针对性的鱼叉钓鱼或利用面向公众的web服务器上的弱点。假如安全工具可以有效地检测到这些技术并使安全团队可以对这些技术做出响应,这么这种攻击就不太大概进展成数据泄露。Exabeam使用UEBA为用户和机器建模正常行为,DDoS防御,接着识别与这些特定技术相关的异常活动那个地点有一具如此的例子:图3:Exabeam检测到一种"经过妥协驱动"的技术,在受害者访咨询武器化网站后,对手能够访咨询系统。检测首次访咨询和外部远程服务Advanced Analytics具有预配置的规则和模型,可检测任何首次访咨询和外部远程服务。此活动作为时刻线的一部分显示,并分配了风险评分。基于机器学习的风险评分算法能够对组织产生阻碍。Exabeam处理各种数据源,如身份验证日志、文件和进程监控、电子邮件网关、web日志、防火墙日志、应用程序日志和云访咨询,以关联和构建行为模型,以检测对资产的首次访咨询、来自外部IP的连接,用户能够访咨询各种面向公众的应用程序或网站,并登录到公共云提供商,如AWS、Azure或GCP。以下是Exabeam怎么使用机器学习模型来关心检测异常行为,并将其标记为ATT&CK框架中概述的技术在图4中,Exabeam将活动标记为ATT&CK技术(外部远程服务),因为它是从外部位置连接到内部企业网络资源的访咨询机制。图4:VPN活动被标识为异常并给出风险评分,因为这是用户第一次从未知IP地址访咨询网络。图5显示了Exabeam怎么检测techniq

ddos防攻击_抗ddos设备部署位置_免费试用


DDoS防御

当前位置:主页 > 高防服务器 > ddos防攻击_抗ddos设备部署位置_免费试用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119