威胁检测 IOC只是基本 IOB才是王道
发布时间:2022-05-29 14:30:44 所属栏目:安全 来源:互联网
导读:基于入侵指标(IOC)的检测已经是业内常规,然而,基于行为的检测方法似乎才是未来。下面我们来比较一下这两种检测方法的不同,以判断强调其中一种是否会更具价值。 专业人士应该都知道痛苦金字塔,它显示了各种攻击指标与攻击(检测)难度之间的关系。金字塔
|
基于入侵指标(IOC)的检测已经是业内常规,然而,基于行为的检测方法似乎才是未来。下面我们来比较一下这两种检测方法的不同,以判断强调其中一种是否会更具价值。 专业人士应该都知道“痛苦金字塔”,它显示了各种攻击指标与攻击(检测)难度之间的关系。金字塔的下半部分由哈希值、IP地址和域名(这三者统称为IOC)组成,如果检测到它们,攻击难度并没有明显增加,或者说痛苦的程度很低。 IOC不仅仅包含哈希、IP地址和域名,还有很多可以作为取证的数据,帮助于安全分析师监测系统是否存在潜在恶意活动的迹象,如: HTML响应包大小 异常DNS请求 计划外系统补丁 突然的系统文件更改 数据库读取量增加 DDoS迹象(过度请求) 不匹配的端口应用程序流量 访问外网的异常流量 本不该存在的数据集 入侵指标有着危险信号的作用,辅助检测攻击的早期迹象。然而,仅仅有一个常见IOC的静态列表,并在此基础上定期运行检测规则是不够的。网络攻击的复杂性不断增长,因此必须跟踪新出现的指标,并确保适当的检测规则到位。 一个新的IOC既可能简单的像元数据中的某个元素,也可能复杂如一段注入的代码,而这些代码处于数以PB计且不断流动的日志数据中,可以想象它识别起来的困难程度。网络安全专业人员需要寻找各种IOC之间的关联性,分析并跟踪攻击前后的事件,以形成有效的检测策略。 基于行为的检测(IOB) 虽然IOC很适合进行回溯性分析,但这些指标的寿命很短,SOC分析人员希望依靠的不仅仅是之前的攻击证据,因为这些攻击在检测到后不久就会失效。而且,即使进行了回溯,高级威胁依然存在。这就是为什么需要基于行为的检测来发现不太明显的入侵迹象,或者说基于UEBA(用户和实体行为分析)的威胁追踪可明显增强对潜在风险的发现能力。行为一般包括: 文件类:下载、上传、创建、删除、保存、更改 帐户类:创建新帐户、更改密码、登录和注销 邮件类:发送或转发电子邮件、自动化电子邮件、发送附件 网站类:访问页面、发送请求、发送附件、发送消息、使用工具 系统管理:运行查询、访问存储的数据、执行代码、导出结果 所有基于行为的检测不仅应该被编写和收集,还应该在特定的上下文中进行分析,以确定行为的意图。并且要长期的跟踪通用的行为,以查看是否发生任何可疑的变化。除了实时监控系统外,IOB还有助于预测未来,并预测安全措施改变后的结果,例如,如果公司禁用USB等外部存储设备,会发生什么。 然而,在编写基于行为的检测规则时,安全分析师需要非常小心,以避免出现高误报率,因为行为规则往往更容易受到噪声的影响。这就需要经验丰富的分析人员,并往往需要采用不同的分析方法。原因非常简单,只有这样才能更好的检测未知威胁,这些威胁不会体现在情报来源中,更不用说IOC了。 (编辑:济南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐