国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　在日前剛剛結(jié)束的RSA2013(美國)大會上，Blue Coat惡意軟件研究人員Chris Larsen談?wù)摿司W(wǎng)絡(luò)中的異常行為，即員工及其電腦做出的奇怪的行為。安全部門需要保護員工及其電腦，但他們也應(yīng)該追蹤這些異常行為。

　　例如，有一天，Larsen看到超過700個用戶訪問了惡意。然后，他將重點放在點擊超過6次的9名用戶上，發(fā)現(xiàn)其中一名用戶的名稱超過50個字符，這就很可疑。Larsen表示：“這可能是很可怕的東西，這也是我們試圖尋找的，潛在的高級的有針對性的攻擊?！?/P>

　　Larsen的數(shù)據(jù)來自于從Blue Coat的K9 Web保護插件收集的異常行為，該插件會警告用戶惡意網(wǎng)站，并執(zhí)行控制。不過，企業(yè)也可以從日志來挖掘這些信息，將大量的日志數(shù)據(jù)轉(zhuǎn)變成關(guān)于潛在危險的情報信息。

　　防火墻和托管安全專家為企業(yè)提供了幾個方法來找出網(wǎng)絡(luò)中的異常行為：

　　1. 了解網(wǎng)絡(luò)

　　在收集數(shù)據(jù)之前，企業(yè)需要知道“正?！毙袨槭鞘裁礃拥?。Larsen只從Blue Coat的K9網(wǎng)絡(luò)獲取了5%的數(shù)據(jù)，因為這些是表現(xiàn)異常的行為。

　　托管安全供應(yīng)商Dell Secureworks安全戰(zhàn)略主管Jeff Williams表示，企業(yè)也需要這樣做，通過分析其網(wǎng)絡(luò)，企業(yè)就可以知道哪些行為屬于異常行為，找出他們需要注意的5%的數(shù)據(jù)。

　　“如果你了解你的網(wǎng)絡(luò)，知道哪些系統(tǒng)應(yīng)該和哪些其他系統(tǒng)，以及它們之間的通信情況，應(yīng)該發(fā)生的頻率等，都能夠幫助了解何為‘正常行為’，”他表示，“只有你了解何為正常行為，才能夠找出異常行為?！?/P>

　　2. 收集所有數(shù)據(jù)

　　企業(yè)還需要配置其防火墻和其他設(shè)備來收集正確的數(shù)據(jù)。在很多情況下，企業(yè)只會丟棄的流量，因為他們認為這些數(shù)據(jù)是最有趣的。但防火墻管理公司FireMon首席技術(shù)官Jody Brazil表示，最嚴重的攻擊往往能夠穿過防火墻。

　　他表示，企業(yè)通常會禁用最常用的防火墻規(guī)則上的日志，很多時候因為防火墻負擔過重。

　　Brazil表示：“如果防火墻在做自己的工作以及丟棄流量，而你信任你購買的這個技術(shù)，那我們?yōu)槭裁匆獙⒅攸c放在被丟棄的流量，而不是通過防火墻的流量?”

　　3. 找出愚蠢的異常行為

　　很多安全團隊試圖找出每個進入其網(wǎng)絡(luò)的威脅，他們很快就會不堪重負。事實上，企業(yè)應(yīng)該從簡單的入手，找出那些看似愚蠢的異常行為，首先弄清楚是怎么回事。

　　Blue Coat的Larsen只注重那些最“招搖”的異常流量來減少其團隊的工作量。在其RSA大會的展示中，他查看了訪問了被列為“可疑網(wǎng)站”的用戶，隨后設(shè)置了更高的標準，檢查點擊超過30個可疑網(wǎng)站的10名用戶，其中一名用戶訪問了37次包含35個x的.com頂級域名。他試圖找出異常行為中的異常行為，這往往可能是真正的目標。

　　4. 結(jié)合威脅情報

　　很多時候，安全團隊并不需要大量流量來發(fā)現(xiàn)惡意活動，而是流量的來向或去向。免費的黑名單和威脅數(shù)據(jù)源，再結(jié)合企業(yè)的防火墻日志，往往就能夠找出惡意攻擊。

　　Brazil表示，現(xiàn)在有很多像樣的威脅情報源，以及廉價的工具，企業(yè)可以結(jié)合這兩者與其防火墻數(shù)據(jù)來找出惡意活動。

　　5.回過頭來檢查

　　Blue Coat的Larsen表示，收集關(guān)于攻擊的情報能夠暴露攻擊者的動機，并同時幫助訓練安全團隊和事件響應(yīng)者。然而，即使在系統(tǒng)被清理和調(diào)查結(jié)束后，檢查被感染的用戶仍然會有所收獲。