UEBA案例分析系列之检测失陷凭证

最新推荐文章于 2023-05-24 22:29:31 发布
最新推荐文章于 2023-05-24 22:29:31 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: UEBA系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DBappSecurity_/article/details/106187693
版权
本文分析了失陷凭证攻击的常见手段和企业防护难点,阐述了UEBA(用户和实体行为分析)在检测此类攻击中的价值。通过监控用户行为特征和业务数据,UEBA能有效识别异常行为,加速安全调查,满足合规要求,并提供更精准的用户行为洞察,助力企业提升网络安全防御能力。
摘要由CSDN通过智能技术生成

UEBA案例分析系列之检测失陷凭证

概述

近日万豪透漏其公司再次遭遇大规模数据泄露,可能涉及520万名客户的详细信息。此次事件攻击者使用万豪特许经营酒店两名员工的登录凭证进行数据访问。

利用合法凭证访问企业资源已成为攻击者规避边界防护等安全措施的重要手段。2019年Verizon发布的《数据泄露调查报告》对各行业数据泄露事件中泄露数据类型进行统计,其中教育行业、技术科学服务行业、制造业的凭证泄露事件占数据泄露事件比例最高,分别为53%、50%、49%。在多数情况下,攻击者采用钓鱼邮件、社会工程学、恶意软件等手段窃取企业员工的凭证。一旦攻击者获得了这些凭证,就可以冒充具有合法访问权限的用户,进行内部侦查、提升特权等操作以获取有价值的数据(例如电子邮件、知识产权、财务信息等),并在很长一段时间内安全的潜伏在网络中。实际上,超过75%的攻击需要几周甚至更长时间才能被检测出。

攻击链映射

利用合法凭证的攻击通常涉及多个步骤,在攻击链中具体涉及到的活动如图所示。监测攻击链中每一项活动需要使用不同的安全技术和不同的条件集,这可能导致大量的告警及误报。而且通常企业存在IT运维孤岛,一些由员工自己上报的可能是攻击线索(例如,光标自己移动了一点、摄像头自发开启并关闭、CPU使用率突增或死机)的信息被搁置,导致威胁的持续驻留。
在这里插入图片描述

攻击者和合法用户的目标差距

最低0.47元/天 解锁文章
DBappSecurity_
关注
专栏目录
UEBA的用户上网异常行为分析方案总结
herosunly的博客
01-18 2万+
1. 赛题背景 2. 算法方案整体流程 3. 特征分析与选择 3.1 数据量基本描述 3.2 类别特征编码 3.3 移除均匀分布变量 3.4 移除取值过多的干扰变量 3.5 最终变量 4. 模型构建 4.1 算法原理 4.2 孤立森林算法效果 4.3 全局异常值模型建立 4.4 用户内部异常值模型建立 4.5 部门内部异常值模型建立 5. 模型应用效果评估 5.1 赛题评估指标 5.2 模型集成效果对比......
UEBA案例分析系列之数据泄露检测
DBappSecurity_的博客
05-14 2350
UEBA案例分析系列之数据泄露检测 近日全球最大的域名注册商GoDaddy被披露出一起数据泄露事件。GoDaddy拥有超过1900万的用户,管理7700万域名,托管数百万个网站,因此,此次事件可能引起巨大影响。据悉,该事件发生在2019年10月19日,但直到2020年4月23号GoDaddy才在一些服务器上发现可疑活动。在一封由GoDaddy CISO和工程副总裁Demetrius Comes发送给客户的电子邮件中确认,此次事件是未经授权的个人访问托管用户用来连接SSH的登录信息。 在国内也不乏此类数据泄露
浅析企业安全中的失陷主机检测
云翼说安全
03-09 7524
随着目前信息技术的迅猛发展,企业内部网络威胁形式呈现了多样化、复杂化的特点,也面临着如APT攻击等新一代威胁的挑战,这一类威胁不仅传播速度更快,其利用的攻击面也越来越宽广,在这种威胁的常态下仅仅依靠传统的防火墙、入侵检测等安全防护设备已经不能完全满足企业用户的网络安全防护需要。以网络安全PDR模型来看,传统网络安全还是以“防护(P)”为主,但是随着攻击技术的发展,原有的防御手段不能...
UEBA例子
安全解决方案
05-24 519
异常登录检测UEBA可以监控用户登录行为,例如登录时间、地点、设备等,当发现异常的登录行为时,就会发出警报。例如,如果一个员工在周末不在公司的情况下,使用他从未使用过的设备登录企业内部系统,UEBA就会发出警报。数据泄露检测UEBA可以监控用户在企业网络中的数据访问和传输行为,当发现异常的数据访问或传输行为时,就会发出警报。恶意行为检测UEBA可以监控用户在企业网络中的所有行为,当发现异常的行为时,就会发出警报。这些是UEBA的一些例子,它可以帮助企业实时监测员工的行为并及时发现潜在的威胁。
【安全攻防知识-4】CTF之MISC
热门推荐
qq_26579613的博客
03-24 3万+
1、MISC介绍 MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。 2、隐写术 隐写术包括图片、音频、视频等文件隐写,在处理这类问题时,应优先确认该文件的实际类型,可参考下图,查看其文件头信息。 常用以下工具: 1、010editor 查看文件类型 2、Binwalk 合并文件 3、Notepad++ 进行
buuctf-内涵的软件
qq_48274326的博客
01-17 256
ida进入主要函数 感觉这一串DBAPP{49d3c93df25caad81232130f3d2ebfad}像flag 但提交错误,看题目用flag{}, 出flag:flag{49d3c93df25caad81232130f3d2ebfad}
基于UEBA思想,使用GAN检测异常网络行为.zip
最新发布
04-12
本项目是异常检测算法内含源码以及说明,希望能帮助你快速解决问题。
基于UEBA的用户上网异常行为分析的数据集
01-18
UEBA是一种先进的网络安全技术,其核心在于通过分析用户和实体的行为模式来检测潜在的威胁和异常活动。它结合了大数据、机器学习以及人工智能,对网络环境中的用户行为进行深入理解和监控,以此来识别不寻常的、可能...
CTF比赛中的常见题型
11-13
CTF比赛中的常见题型目录,给初学者提供学习方向。CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
【转】APT情报IOCs处理须知
tpriwwq的专栏
08-20 1936
APT情报IOCs处理须知
网络安全先进技术与应用发展系列报告 用户实体行为分析技术(UEBA
一智哇的博客
11-15 8771
网络安全先进技术与应用发展系列报告 用户实体行为分析技术(UEBA) 来源:中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司” 1.当今不同组织面临的严峻网络安全挑战来自四个方面: 越来越多的外部攻击,包括被利益驱动或国家驱动的难以察 觉的高级攻击; 心怀恶意的内鬼、疏忽大意的员工、失陷账号与失陷主机导 致的各种内部威胁; 数字化基础设施的脆弱性和风险暴露面越来越多,业务需求 多变持续加剧的问题; 安全团队人员不足或能力有限,深陷不对称的“安全战争” 之中。 传统安全产品、技术、方案,
【转载】UEBA架构设计之路
颹蕭蕭
06-30 914
UEBA 架构设计支路》 本文作者:VSRC 本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/95668.html
UEBA中的行为基线分析
ckbbird的博客
09-11 6550
一、前言 UEBA(User Entity Behavior Analytics)作为一种异常行为分析的方法,在安全领域已经有了较为深入的应用,早在 2016 年Gartner就已经将其作为当年十大信息安全技术之一。在SOC、SIEM等产品中集成UEBA能力已经成为时下热门的趋势。 国内主流的厂商的技术及方案不尽相同,但主要集中在企业安全这一方向,这或许是因为在企业安全的威胁场景中,UEBA分析效果更明显。企业安全中有两个关键的要素:资产与人。在传统的解决方案(如SOC类)中更加关注资产面临的风险往.
UEBA架构设计之路3:复杂事件处理引擎
gt9000的博客
03-01 911
文章内容 上篇引言 UEBA通过机器学习对用户、实体进行分析,不管这种威胁是不是已知,也包括了实时和离线的检测方式,能得到一个直观的风险评级和证据分析,让安全人员能够响应异常和威胁。 到底是怎样的整体架构呢?我就不再介绍了,没看过前面篇章的朋友,可以点击下面链接,去看看: UEBA架构设计之路1:UEBA框架 UEBA架构设计之路2:数据接入和准备 已经看过的朋友,咱继续。 后面的章节则会介绍各种...
厉害了!数据安全智能守护神UEBA(用户实际行为分析
ManageEngine的博客
08-14 3893
用户身份信息容易伪造,但行为活动却不行。密切监视一个人的行为活动可以揭露出他的真实意图。同样,密切监视机器的行为活动也能暴露出潜在的安全问题。将安全信息、事件管理(SIEM)与用户的实际行为分析(UEBA)相结合,可以监视企业的大量用户和设备。UEBA利用机器学习来识别用户活动中的异常,然后以可视化形式向管理员展示这些情况,使这些异常行为出现时可以及时解决。接下来,我们一起来了解UEBA如何保护您...
CTF-安恒19年一月月赛部分writeup
weixin_34117211的博客
01-27 1725
CTF-安恒19年一月月赛部分writeup MISC1-赢战2019 是一道图片隐写题 linux下可以正常打开图片,首先到binwalk分析一下。 里面有东西,foremost分离一下 有一张二维码,扫一下看看 好吧 不是flag,继续分析图片,在winhex没有发现异常,那么上神器StegSolve分析一下 第一次翻了一遍图层没发现,眼瞎第二次才看见 ...
AppScan安全扫描工具-IBM Security App Scan Standard
qq_40952352的博客
10-24 1376
1、AppScan是什么?  AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。  AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)  工作原理:  1)通过探索了解整个web页面结果  2)通过分析,使用扫描规则库对修改的H...
UEBA技术详解:2020年中国信通院网络安全报告
用户实体行为分析技术(UEBA)是一种先进的安全防护方法,它通过监测和分析用户和实体的行为模式,来检测潜在的网络威胁和异常活动。这份2020年的报告详细阐述了UEBA在网络安全新范式中的作用,以及如何应对数字化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值