一.攻击者采用的一般步骤
首先 ,我们要对网络攻击进行检测,得知道入侵活动中,攻击者往往采取的步骤有哪些,攻击者往往采取以下几个经典步骤:
阶段一:侦查
第一阶段在于确定潜在目标满足攻击者实施入侵的条件(例如具备理想的经济效益、有针对性地获取敏感信息或者造成对品牌的伤害)。一旦确定了现有的防御机制之后,攻击者将依据此 选择自己的攻击武器--具体包括利用零日安全漏洞,实施鱼叉式网络钓鱼活动或者收买贿赂内部员工等。
阶段二:初步入侵
在初步入侵当中,攻击者通常会绕过边界防御机制并通过存在安全漏洞的系统或者用户账户访问机制渗透到内部的网络当中去。
阶段三:命令与控制
已经遭入侵的设备随后会作为接入组织内部的跳板。一般来讲,攻击者会利用其下载
并安装远程访问木马(简称RAT),以便建立针对目标环境的持久性长期远程的访问能力。
阶段四:横向移动
一旦攻击者与内部网络建立起连接,其即会试图危害其他系统及用户账户。攻击者通常会冒充授权用户,因此安全方案将很难发现系统遭到入侵的证据。
阶段五:目标达成
在这一阶段当中,攻击者通常已经建立起多个远程访问的入口点,并可能已经成功入侵了数百(甚至数千)套内部系统及用户账户。他们深入了解了IT环境中的各方面的情况,并能够顺利实现自己的恶意目标。
阶段六:渗透、破坏与中断
如果未能有效扼制恶意活动,企业将在最终阶段中遭受严重的经济损失。在此阶段中,攻击者将逐步实现其任务的终极目标,包括窃取知识产权或者其他敏感数据、破坏关键性任务系统并常常会中断你的正常业务运营。
二.Awake Security Platform (翻译)
该平台的DetectIQ™检测引擎还将每个设备与环境中的其他实体进行比较,对相似的实体进行分组,然后识别从对等设备中脱颖而出的行为。 此外,Awake还提供QueryIQ™,一种行为查询语言,使安全团队能够发现攻击者的策略,技术和程序(TTPs),如短暂的命令和控制基础设施。通过网络数据,QueryIQ™可以通过简单但功能强大的界面精确地找到值得注意的模式和行为,同时查询图形和结构化数据源以及原始底层数据包。 与SIEM等现有系统不同,QueryIQ™即使对于非常大的数据集也能提供交互式响应。
Awake的优点:
1.跟踪设备、用户和其他实体,不使用日志或者端点代理,即使它们在网络中移动,ip地址改变。
2.及时访问提供相关设备或用户、业务功能、电子邮件地址、访问的域、访问的文件、关系等的ML驱动的EntyIQ 环境配置文件
3.通过结束典型的现有解决方案的“咖啡休息”查询体验,用QueryIQ™ 来解决警报或者在几分钟而不是几小时内寻找新的威胁。
4.使初级分析员能够有效地区分和分析复杂的活动,并加强现有的投资,如SIEM或威胁智能平台。
5.不需要复杂的积分、训练周期或调整的情况下立即导出值。
通过远程服务创建进行横向移动检测
威胁行为者使用非恶意工具在客户环境中移动。 这包括用于在远程主机上创建服务的标准操作系统管理实用程序。 由于没有使用恶意软件,此客户部署的传统检测机制错过了此活动。
在部署Awake的几分钟内,我们发现此活动具有可疑性和趣味性,优先考虑安全分析师进行调查。
Awake通过以下方式检测到此无文件恶意软件威胁:
- 突出显示使用SMB控制命令进行服务创建。
- 表示在一般用户群中没有看到这些命令。
- 识别具有与目标功能类似的功能的设备。
- 指出正在访问比平均值更多的系统的用户账户。
鱼叉网络钓鱼响应和广告系列调查
客户收到一条警告,其中一位用户点击了网上诱骗电子邮件中的链接。 受害者正在与一个跨部门团队合作,为该组织进行一些专有工作。调查人员对更广泛的运动感到担忧。
仅从受害者的电子邮件地址开始,Awake能够揭示这是一个持续的活动,过去曾使用过多个诱饵,并针对项目团队的多名成员。 使用Awake的整个分析在大约半小时内完成。
Awake 通过以下方式快速有效的进行响应:
- 根据受害者电子邮件地址中一个单击枢轴,在SIEM中列出受影响的设备(注:SIEM安全信息与事件管理)
- 标出与受害者有类似的工作功能的设备以及使用这些设备的用户。
- 确定这个活动的其他受害者和时间线。
- 标出具有具有相同攻击者的TTPS的其他诱惑,例如使用域名注册人信息。
- 实现对目标用户和设备的实时监控以进行实时保护。
发现网络中的恶意硬件植入
Awake,网络中的所有设备都是可见的。Awake 发现一个恶意的硬件植入物正在嗅探当地网络流量,然后会向外部散发信息。Awake 将具有最有趣行为的实体置顶,在这种情况下突出的显示硬件植入物。
Awake对托管和非托管设备的全面可见性检测到该恶意设备:
- 标注具有区别于其他设备独特的SSL客户端特性的硬件植入物
- 标记独特的SSL指纹识别目的域。
- 标出具有不寻常的流量模式的设备:每天只进行一次通信,并数据输出量明显多于数据输入量。
- 提供植入物首次出现在网络上的时间线
awake的体系结构
awake在搜索引擎上
- Awake的查询引擎使用自定义索引和工作共享技术来支持低延迟、交互式查询。该引擎支持持续运行分析,以获得集成图形和预先关联的批量数据的视图。
- Awake专门构建的多模型数据存储支持集成的图形,结构化和非结构化数据,并针对列式存储和时间序列进行了优化。 该数据结构允许Awake将信息与相关实体预先关联。
- Awake以100倍于典型SIEM的速率摄取原始数据。 然后,它提取专家调查员使用的全套信号,以推断出属性,包括软件版本,用户行为,硬件特征,业务功能等等。
目前不理解(我也记录一下)
(1)awake产品涉及到Artifacts ,这个究竟指的是什么。我目前自己认为的是整个过程中,awake所作出的行为之类的吧。:0
(2)awake响应中,电子邮件地址中一个单击枢轴 (非常不理解)
734
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
