暴露恶意内部威胁:使DDoS防御用基于行为的想法的优势-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 暴露恶意内部威胁:使DDoS防御用基于行为的想法的优势

暴露恶意内部威胁:使DDoS防御用基于行为的想法的优势

小墨安全管家 2020-11-22 11:37 行业资讯 89 ℃
DDoS防御

咨询专家博客系列波内蒙研究所(Ponemon Institute)2018年4月的一项研究显示,在美国,检测和解决内部威胁的年度成本平均为876万美元,而且还在上升。大型组织通常比小型组织花费更多的钞票来减轻内部事件,其中疏忽大意占了事件的三分之二粗心的职员或承包商通常是最严峻的违规者。Ponemon的报告还发觉,23%的事件实际上涉及有犯罪意图的内幕人士,13%的事件涉及盗用证件。这些是报告最少的事故类型,也是最具破坏性的。报告还解释讲,操纵事故的平均时刻是73天,其中惟独16%的事故在一具月内得到操纵。操纵成本与操纵事件所需的时刻成正比。Ponemon证实了你大概基本懂的所有类型的内部威胁的频率和成本正在迅速增加。可是,这项研究只披露了已知的内幕事件数据。在答应调查的159个组织中,有多少事件没有被发觉?没有办法确切地懂,但经常的网络威胁和事件没有被发觉和报告,有时长达数年。已知的是,你的组织特别大概面临内部威胁,而且大概比你预期的要大。定义内幕人士让我们首先定义内幕人士和内幕威胁,因为关于这些术语的含义还没有明确的共识。内部人员被合法授权访咨询组织的一具或多个网络资产。示例能够包括访咨询未被禁用的职员、承包商、供应商、合作伙伴和前职员。它还能够包括有后门访咨询权限的开辟人员,甚至包括来自合并或收购的成员,他们的现有系统正在转换以包含在您的网络中。内部威胁是指内部人员或外部人员冒充内部人员对组织资产实施的意外或有意行为。如此的威胁来自于一具或多个内幕事件。常见的内部威胁指标是啥?让我们首先关注一些更常见的内部威胁。以下是一些可预测的行为指标的列表:可疑的VPN活动-在不平常的时刻从不平常的地方或IP地址连接。职员被通知裁员或其他重大负面事件,阻碍直截了当受阻碍的职员和剩余职员(但如今士气下落)。刚发出通知的离职职员。通常在发出通知之前,创建新帐户以获得访咨询权限的事情并不常见。有人下载大量数据到外部驱动器,或使用未经授权的外部存储设备。访咨询与其角色无关的机密数据的人。经过电子邮件将敏感信息发送到个人帐户。有人试图绕过安全操纵。无实际需要而请求许可或更高级别访咨询的人。离职后然后访咨询敏感数据的前雇员。网络爬网、数据囤积或从内部存储库复制。一具人正常工作时刻模式的偏差。正如您所见,内部威胁不仅仅是一具事件,而是一系列最后来导致对组织的威胁的事件。关键是要主动识别此类惊险行为和模式,接着通知您的安全运营中心(SOC),以便它可以监控大概的内部威胁。阻挠内部威胁的常规想法在试图阻挠未经授权的数据传输(数据过滤)时,很多组织常常将重点放在数据丢失预防(DLP)上。可是,很多DLP解决方案产生的结果是时刻和资源密集型的。它们通常要求分析师为每个策略和违规行为创建单独的规则,CC防御,每天都会触发数百或数千个事件。像《发觉大海捞针》中所讲的那么,揭露事实的威胁。另一具传统的内部威胁检测咨询题是无法理解内部人的意图。如前所述,大多数内部威胁是由疏忽而非恶意造成的。假如您发觉这在您的组织中是正确的,这么您能够将培训视为一种纠正措施,而不是采取惩处措施。但为了采取这种适当的行动,你需要了解其意图。使用基于行为的想法主动检测内部威胁你的目标应该是在内部威胁成为事件之前阻挠它们。与外部威胁不同,内部威胁通常会在特别长一段时刻内演变。要发觉它们,CC防御,您必须可以监视不在正常范围内的用户行为,例如复制和暂存文件以便将来举行过滤,或者创建新帐户以供未来使用。"组织必须了解职员的正常差不多行为,并确保职员了解怎么将他们用作他人猎取信息的渠道。"打击内部威胁,美国国土安全部识别内部威胁行为的必要工具是用户和实体行为分析(UEBA)解决方案,它将数据科学应用于所有现有威胁情报和妥协指标(IOC)。它包含了往常已知攻击的策略、技术和过程(TTP)。Exabeam UEBA采纳基于行为的想法,经过分析网络上的用户行为,并应用高级分析来检测异常。它会自动将相关事件缝合在一起,以便更轻松、更快速地检测到内部威胁。Exabeam Threat Hunter允许分析员依照已识别的行为构件和用户上下文搜索威胁。知识产权盗窃案让我们回忆一具常见的场景,即一名职员马上离职,并打算窃取知识产权(IP)。使用高级分析仪表板,分析师能够经过简单地从"风险缘由"下拉列表中举行挑选来搜索显示可预测恶意行为的用户。这是猎取默认用户并将其列入观看列表的一种想法。这是一具例子,你能够举行很多不同的内部威胁调查。图1–使用Threat Hunter搜索过去90天内发送到个人帐户的电子邮件数量异常的用户在图2中,一具用户的风险评分为129,因为他们向其个人帐户发送了大量电子邮件。UEBA时刻轴位于他们的分数之下,它向分析师提供了相关事件和恶意指标,以暴露内部威胁(图3)。图2–Threat Hunter向一具用户显示了多个与发送到其个人帐户的异常电子邮件大小相关的事件点击用户的时刻线,分析师能够检查所有事件并追踪恶意指标。接下来,我们来看看UEBA时刻表怎么关心分析师揭露内幕威胁。在本例中,我们发觉一具风险评分为129的用户。接着我们能够查看一具时刻表来检查是否有其他的内部威胁指标。通常,DDoS防御,假如你在搜索一具指标,这么会有其他相关事件导致威胁,而不仅仅是一具事件。用户趋势允许分析员在一具时刻轴上追踪所有相关事件。您还能够按其他活动举行筛选,如按文件、web、网络等。图3–显示用户趋势的用户卡,其中包含按用户活动筛选选项的所有恶意活动。正如你所看到的,仅仅一具指标并不构成内部威胁。假如用户将一封异常大的电子邮件上传到一具个人帐户,仅此一项就不大概引起人们的关注。但当与其他异常行为相结合时,这一系列事件被标记为可疑和惊险。如今,假如我们研究一下那个用户的所有风险缘由,防DDoS,您会发觉有很多行为构件会导致内部威胁。图4显示了数据过滤(将公司数据发送到个人帐户)以及对其他系统的异常访咨询(横向挪移)。这暴露了一种威胁模式。Exabeam提供了很多模型来全面分析用户行为。它在检测未知行为伪影方面很有效。图4——各种恶意指标在时刻轴上拼凑在一起,作为内部威胁出如今调查人员面前基于Exabeam Advanced Analytics(AA)浮上的异常事件,分析师能够轻松地对用户举行监视,假如用户表现出额外的异常行为,就停止访咨询。高级分析提供了充脚的证据来面对可疑的用户,消除了任何对错误指控的恐怖。最重要的是,高级分析是一具强大的工具,使调查人员和SOC分析师可以操纵内部威胁。Exabeam从业人员培训系列中提供了更多内部威胁场景:Exabeam从业人员培训:内部威胁调查安全运营中心网络研讨会-怎么发觉恶意内部人员:使用行为指标应对内部威胁进一步阅读内部威胁:怎么阻挠您面临的最常见和最具破坏性的安全风险用数据科学对抗内部威胁加密挖掘:躲藏在网络中的潜在内部威胁


DDoS防御

当前位置:主页 > 行业资讯 > 暴露恶意内部威胁:使DDoS防御用基于行为的想法的优势

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119