在使安全管理员感到焦头烂额的网络***中,高级持续威胁(APT)可能是最为棘手的。 APT是一种长期的,有针对性的***,涉及秘密监视组织的网络活动或收集敏感数据,而不是公开破坏或锁定网络资源。
您已经看到了最近的头条新闻:“某某巨头公司遭受漏洞***,泄露X千万用户数据。”这些故事一再证明APT倾向于针对来自政府或金融等高价值行业的知名公司部门。这是因为APT需要高水平的复杂性和资源 - 公司越大,数据越有价值,***者就能获得更多的回报。
这是否意味着如果您是一家小公司或在不同的行业中经营,您的业务是否安全?当然不是,没有公司能对APT完全安全。为避免将APT***您的网络,您需要灵活,强大的安全技术来保障网络安全,例如事件关联。
APT的各个阶段
打击APT需要了解它们的***原理。这些***采取多种形式并遵循各种***向量,但基本阶段保持不变:
进入网络:***者通过鱼叉式网络钓鱼电子邮件或通过引诱他们到受感染的网站来获取对网络中易受***的系统的访问权限。一旦系统感染了高级恶意软件,它就会受到***者的控制。许多***者将建立多个入口点,因此即使发现并关闭了***,他们也可以进行***。
横向移动和扩展网络控制:与任何好的罪犯一样,***者接下来进行一些侦察,在网络中移动并创建一系列后门和隧道。他们还使用漏洞利用程序,密码破解和其他机制来获取管理员权限。这使他们可以免费访问他们的目标网络。
数据泄露:***者最终通过将目标数据拷贝到他们自己的系统来执行实际***。通常对数据进行加密和压缩以掩盖***。***的这个阶段可以在很长一段时间内重复,直到发现***为止。
捕获APT的关键
鉴于其复杂性,检测APT并非易事。在从目标设备窃取大量数据之前,这些***会影响多个系统。这意味着捕获它们的关键是不断寻找网络上的妥协指标。事件关联 - 也称为日志关联 - 可以检测来自不同设备的不同事件类型的可疑活动模式。
一些明显的***行为包括:
创建可能的后门帐户。
安装可疑软件或服务。
对管理员帐户的暴力***。
网络流量进出已知的恶意服务器。
ManageEngine Log360是我们全面的SIEM解决方案,配备了强大的相关模块,其中包含预定义的规则,可帮助您检测上述所有内容。考虑到APT是高度针对性的***,您甚至可以自定义规则或构建新规则以查找特定于您的网络环境的指标。ManageEngine Log360是在Evenlog Analyzer-系统日志分析系统与ADAudit Plus-AD域审计工具的基础上推出的综合日志管理解决方案。
详细了解Log360中的事件关联如何工作,登录官网下载免费试用,并获得免费的技术支持。
转载于:https://blog.51cto.com/14093217/2329514
559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
