2002年,时任美国国防部长的唐纳德·拉姆斯菲尔德说:“我们不知道自己不知道的事情。如今还有很多不知道的未知因素。”
而在网络安全领域中,也同样有很多未知的知识和因素。
网络威胁的发展历史
世界第一种网络威胁是臭名昭著的软件病毒。这是一个创新的计算机程序,可以创建自身的副本,并从一台计算机“转移”到另一台计算机。当时,网络攻击者通过在其他的电脑上使用软盘进行攻击,但随着时间的推移,他们开始使用计算机网络和互联网进行攻击。
第一个防病毒软件创建了签名数据库,其中包含许多不同病毒的二进制代码,并将系统上的每个文件与该数据库进行比较和识别。在那时,采用这种安全策略就足够了,因为开发应用程序很复杂,也很耗时,特别是使用C/C++/Assembly等语言。
从那时起,出现了诸如Python之类的动态语言,它们通过允许用户更轻松地协作和重用代码部分来促进软件开发过程。这些与加密货币相结合,增加了网络攻击者的勒索动机,使此类签名数据库的使用变得不可行。这种已知签名的数量及其列表的增长速度令人震惊。
即使在当今,许多安全解决方案仍在尝试使用各种类型的签名来检测恶意文件、网络流量、攻击者行为等。即使是试图利用大型用户社区的巨大力量来创建包含数万个不同签名的庞大数据库的工具,也只能在一定程度上有效。总体而言,这种策略不足以提供针对已知威胁的良好保护。
即使它在防御已知威胁方面是有效的,仍然无法针对已知未知提供任何保护——当然也不能针对未知因素提供任何保护。这些网络攻击类型目前正在某个地方由网络攻击者构思和开发。
阻止未知威胁的斗争
如上所述,随着新计算机语言的兴起,行业厂商创建庞大的IOC数据库(例如IP、域名、用户)的基于签名的防御策略如今变得不再那么有效。
使这种方法不太有效的另一个趋势是使用域生成算法(DGA)。使用这种技术,网络攻击者在恶意软件中嵌入一段代码,该代码使用网络攻击者和恶意软件已知的变量(例如当前日期),这将定期和动态地创建一个域名并访问它。
如果成功,它将被使用;如果不成功,它将恢复为最近使用的有效域名。此类技术使基于域名和IP的签名基本上毫无用处,因为网络攻击者可以随时轻松更改这些签名。
人们看到的另一种技术包括几种类型的网络分段和隔离。这种方法通过各种防火墙将网络溢出到几个子网络中。然后,访问互联网不是直接实现的,而是通过代理或某种终端服务器实现的,它接收击键和鼠标移动并返回图像(即屏幕截图)。
这可以有效地防范某些类型的网络威胁,但不能保护企业免受所有类型的攻击。此外,此类方法不会为企业提供任何工具来帮助检测攻击,或对这些设备或服务使用规避机制。而且它们并没有提高企业的整体可观察性。
另一种非常有效但出于实际原因很少使用的技术是白名单。使用这种方法,企业将创建和维护允许的可执行文件、网站、证书颁发者、文件哈希等的签名数据库。其缺点很明显:企业需要收集的数据量和所需的人工维护提供了这样的解决方案,这对大多数企业来说是不可行的。
结合先进技术来阻止威胁
与技术中的许多其他情况一样,当面临在两个选项之间进行选择时,最好的办法通常是将两者结合起来,同时获得两个选项的优点,并最大限度地减少缺点。
在这里同样有效。建议维护并继续改进其当前的网络隔离措施和防火墙。但添加一个被动网络监控解决方案,将持续监控企业网络上计算机之间的流量以及企业与外部世界之间的流量。此外,使用所谓的蜜标令牌可以极大地帮助提高被动监控解决方案的检测能力。
企业使用从所有这些解决方案收集的数据,可以创建警报,只要新值出现在选定字段(选定事件中)就会触发,这将很好地检测恶意活动。
这些字段将包括:
●目的地和来源地。
●由root/Administrator用户启动的进程。
●非内部DNS服务器的内部机器访问的外部DNS服务器。
●RDP/VNC用户。
●SSH服务器应用程序。
●应用类型。
●外部主机使用的内部托管服务。
人们可能仍然无法阻止各种的未知因素,但至少会采用目前拥有的最佳技术和措施。
参考文章链接:https://www.eweek.com/security/detecting-cyber-security-threats/
而在网络安全领域中,也同样有很多未知的知识和因素。
网络威胁的发展历史
世界第一种网络威胁是臭名昭著的软件病毒。这是一个创新的计算机程序,可以创建自身的副本,并从一台计算机“转移”到另一台计算机。当时,网络攻击者通过在其他的电脑上使用软盘进行攻击,但随着时间的推移,他们开始使用计算机网络和互联网进行攻击。
第一个防病毒软件创建了签名数据库,其中包含许多不同病毒的二进制代码,并将系统上的每个文件与该数据库进行比较和识别。在那时,采用这种安全策略就足够了,因为开发应用程序很复杂,也很耗时,特别是使用C/C++/Assembly等语言。
从那时起,出现了诸如Python之类的动态语言,它们通过允许用户更轻松地协作和重用代码部分来促进软件开发过程。这些与加密货币相结合,增加了网络攻击者的勒索动机,使此类签名数据库的使用变得不可行。这种已知签名的数量及其列表的增长速度令人震惊。
即使在当今,许多安全解决方案仍在尝试使用各种类型的签名来检测恶意文件、网络流量、攻击者行为等。即使是试图利用大型用户社区的巨大力量来创建包含数万个不同签名的庞大数据库的工具,也只能在一定程度上有效。总体而言,这种策略不足以提供针对已知威胁的良好保护。
即使它在防御已知威胁方面是有效的,仍然无法针对已知未知提供任何保护——当然也不能针对未知因素提供任何保护。这些网络攻击类型目前正在某个地方由网络攻击者构思和开发。
阻止未知威胁的斗争
如上所述,随着新计算机语言的兴起,行业厂商创建庞大的IOC数据库(例如IP、域名、用户)的基于签名的防御策略如今变得不再那么有效。
使这种方法不太有效的另一个趋势是使用域生成算法(DGA)。使用这种技术,网络攻击者在恶意软件中嵌入一段代码,该代码使用网络攻击者和恶意软件已知的变量(例如当前日期),这将定期和动态地创建一个域名并访问它。
如果成功,它将被使用;如果不成功,它将恢复为最近使用的有效域名。此类技术使基于域名和IP的签名基本上毫无用处,因为网络攻击者可以随时轻松更改这些签名。
人们看到的另一种技术包括几种类型的网络分段和隔离。这种方法通过各种防火墙将网络溢出到几个子网络中。然后,访问互联网不是直接实现的,而是通过代理或某种终端服务器实现的,它接收击键和鼠标移动并返回图像(即屏幕截图)。
这可以有效地防范某些类型的网络威胁,但不能保护企业免受所有类型的攻击。此外,此类方法不会为企业提供任何工具来帮助检测攻击,或对这些设备或服务使用规避机制。而且它们并没有提高企业的整体可观察性。
另一种非常有效但出于实际原因很少使用的技术是白名单。使用这种方法,企业将创建和维护允许的可执行文件、网站、证书颁发者、文件哈希等的签名数据库。其缺点很明显:企业需要收集的数据量和所需的人工维护提供了这样的解决方案,这对大多数企业来说是不可行的。
结合先进技术来阻止威胁
与技术中的许多其他情况一样,当面临在两个选项之间进行选择时,最好的办法通常是将两者结合起来,同时获得两个选项的优点,并最大限度地减少缺点。
在这里同样有效。建议维护并继续改进其当前的网络隔离措施和防火墙。但添加一个被动网络监控解决方案,将持续监控企业网络上计算机之间的流量以及企业与外部世界之间的流量。此外,使用所谓的蜜标令牌可以极大地帮助提高被动监控解决方案的检测能力。
企业使用从所有这些解决方案收集的数据,可以创建警报,只要新值出现在选定字段(选定事件中)就会触发,这将很好地检测恶意活动。
这些字段将包括:
●目的地和来源地。
●由root/Administrator用户启动的进程。
●非内部DNS服务器的内部机器访问的外部DNS服务器。
●RDP/VNC用户。
●SSH服务器应用程序。
●应用类型。
●外部主机使用的内部托管服务。
人们可能仍然无法阻止各种的未知因素,但至少会采用目前拥有的最佳技术和措施。
参考文章链接:https://www.eweek.com/security/detecting-cyber-security-threats/
文章来源: e-works
- 还没有人评论,欢迎说说您的想法!