企業(yè)安全遭受攻擊的15個(gè)跡象

下面是企業(yè)應(yīng)該關(guān)注的15個(gè)跡象，這些跡象可能表明潛在的攻擊活動(dòng)：

1、不尋常的出站網(wǎng)絡(luò)流量

也許最大的跡象就是不尋常的出站網(wǎng)絡(luò)流量?！俺Ｒ姷恼`解是網(wǎng)絡(luò)內(nèi)部的流量都是安全的，”AlgoSec公司高級安全戰(zhàn)略家Sam Erdheim表示，“查看離開網(wǎng)絡(luò)的可疑的流量，我們不僅要關(guān)注進(jìn)入網(wǎng)絡(luò)的流量，而且還要注意出站流量?！睂τ诂F(xiàn)代攻擊，企業(yè)很難阻止攻擊者進(jìn)入網(wǎng)絡(luò)，因此，企業(yè)更應(yīng)該關(guān)注出站流量。NetIQ公司解決方案戰(zhàn)略主管Geoff Webb表示：“所以，最好的辦法是檢查網(wǎng)絡(luò)內(nèi)部的活動(dòng)，以及檢查離開網(wǎng)絡(luò)的流量。受攻擊的系統(tǒng)通常會(huì)呼叫命令控制服務(wù)器，你可以密切關(guān)注這種流量，以阻止攻擊。”

2、特權(quán)用戶賬戶活動(dòng)異常

在精心策劃的攻擊中，攻擊者要么提升他們已經(jīng)攻擊的賬戶的權(quán)限，要么使用攻擊的賬戶進(jìn)入更高權(quán)限的其他賬戶。從特權(quán)賬戶查看不尋常的賬戶行為不僅能夠發(fā)現(xiàn)內(nèi)部攻擊，而且還可以發(fā)現(xiàn)賬戶被控制。Webb表示，“特權(quán)用戶行為的變化可能表明其他人正在使用該賬戶來攻擊你的網(wǎng)絡(luò)，企業(yè)應(yīng)該關(guān)注賬戶變化，例如活動(dòng)時(shí)間、訪問的系統(tǒng)，訪問的信息的類型或數(shù)量?！?/p>

3、地理異常

無論是否是通過特權(quán)賬戶，登錄和訪問中的地理異常也可以表明攻擊者正在試圖從很遠(yuǎn)的地方進(jìn)行攻擊。例如，企業(yè)發(fā)現(xiàn)正在與沒有業(yè)務(wù)往來的國家之間的流量往來時(shí)，應(yīng)該進(jìn)行調(diào)查。ThreatTrack Security公司安全內(nèi)容管理主管Dodi Glenn表示，同時(shí)，當(dāng)賬戶在短時(shí)間內(nèi)從世界各地不同IP登錄，這可能是攻擊的跡象。

4、登錄異常和失敗

登錄異常和失敗可以提供很好的線索來發(fā)現(xiàn)攻擊者對網(wǎng)絡(luò)和系統(tǒng)的探測。Beachhead Solutions公司產(chǎn)品專家Scott Pierson表示，多次登錄失敗也可能標(biāo)志著攻擊的發(fā)生，檢查使用不存在的用戶賬戶的登錄，這通常表明有人試圖猜測用戶的賬戶信息以及獲得身份驗(yàn)證。同樣的，在下班時(shí)間嘗試獲得登錄也可能表明，這不是真正的員工在訪問數(shù)據(jù)。企業(yè)應(yīng)該對此進(jìn)行調(diào)查。

5、數(shù)據(jù)庫讀取量激增

當(dāng)攻擊者入侵企業(yè)并試圖滲出信息時(shí)，你可能會(huì)發(fā)現(xiàn)數(shù)據(jù)存儲(chǔ)中的變化。其中之一就是數(shù)據(jù)庫讀取量激增。瞻博網(wǎng)絡(luò)首席軟件架構(gòu)師Kyle Adams表示：“當(dāng)攻擊者試圖提取完整的信用卡數(shù)據(jù)時(shí)，他會(huì)產(chǎn)生巨大的讀取量，這肯恩比你通常看到的信用卡讀取高出很多。”

6、HTML響應(yīng)大小

Adams還表示，如果攻擊者使用SQL注入來通過web應(yīng)用程序提取數(shù)據(jù)的話，攻擊者發(fā)出的請求通常會(huì)包含比正常請求更大的HTML響應(yīng)。他表示：“例如，如果攻擊者提取全部的信用卡數(shù)據(jù)庫，那么，對攻擊者的單個(gè)響應(yīng)可能會(huì)是20MB到50MB，而正常響應(yīng)是200KB?！?/p>

7、大量對相同文件的請求

攻擊者需要進(jìn)行大量的試驗(yàn)和犯錯(cuò)才能發(fā)動(dòng)攻擊，他們需要嘗試不同的漏洞利用來找到一個(gè)入口。當(dāng)他們發(fā)現(xiàn)某個(gè)漏洞利用可能會(huì)成功時(shí)，他們通常會(huì)使用不同的排列組合來啟動(dòng)它。Adams表示，“因此，他們攻擊的URL可能在每個(gè)請求上會(huì)有所改變，但實(shí)際的文件名部分可能會(huì)保持不變，你可能會(huì)看到單個(gè)用戶或 IP對‘join.php’進(jìn)行500次請求，而正常情況下，單個(gè)IP或用戶最多只會(huì)請求幾次?！?/p>

8、不匹配的端口應(yīng)用流量

攻擊者經(jīng)常利用模糊的端口來繞過更簡單的web過濾技術(shù)。所以，當(dāng)應(yīng)用程序使用不尋常的端口時(shí)，這可能表明命令控制流量正在偽裝成“正?！钡膽?yīng)用程序行為。Rook Consulting公司SOC分析師Tom Gorup表示，“我們可能會(huì)發(fā)現(xiàn)受感染的主機(jī)發(fā)送命令控制通信到端口80，它們偽裝成DNS請求，乍一看，這些請求可能像是標(biāo)準(zhǔn)DNS查詢;然而，你仔細(xì)看的話，你會(huì)發(fā)現(xiàn)這些流量通過非標(biāo)準(zhǔn)的端口?！?/p>

9、可疑的注冊表或系統(tǒng)文件的更改

惡意軟件編寫者在受感染主機(jī)內(nèi)保持長期存在的方法之一是通過注冊表的更改。當(dāng)應(yīng)對基于注冊表的IOC時(shí)，創(chuàng)建基線是最重要的部分，Gorup表示，“定義正常的注冊表應(yīng)該包含的內(nèi)容，這基本上創(chuàng)建了一個(gè)過濾器。監(jiān)測和警報(bào)偏離正常模板的變更，將提高安全團(tuán)隊(duì)的響應(yīng)時(shí)間?！蓖瑯拥?，很多攻擊者可能會(huì)留下跡象表明，他們已經(jīng)篡改了主機(jī)的系統(tǒng)文件和配置，企業(yè)可以通過查看這些變化來快速發(fā)現(xiàn)受感染系統(tǒng)。他表示，“可能發(fā)生的情況是，攻擊者將安裝數(shù)據(jù)包嗅探軟件來獲取信用卡數(shù)據(jù)，攻擊者會(huì)瞄準(zhǔn)可以查看網(wǎng)絡(luò)流量的系統(tǒng)，然后安裝這種工具。雖然捕捉這種攻擊的機(jī)會(huì)很渺茫 (因?yàn)樗鼈兎浅＞哂嗅槍π?，可能以前沒有見到過)，但企業(yè)可以發(fā)現(xiàn)系統(tǒng)的變更?！?/p>

10、DNS請求異常

根據(jù)Palo Alto公司高級安全分析師Wade Williamson表示，企業(yè)應(yīng)該查看的最有效的攻擊跡象是，惡意DNS請求留下的告密者模式。他表示，“命令控制流量通常對于攻擊者是最重要的流量，因?yàn)樗试S他們持續(xù)管理攻擊，并且，他們需要保護(hù)這種流量，以確保安全專家不會(huì)輕易發(fā)現(xiàn)，企業(yè)應(yīng)該識(shí)別這種流量的獨(dú)特模式，因?yàn)樗軌蛴脕戆l(fā)現(xiàn)攻擊活動(dòng)。”他表示，“當(dāng)來自特定主機(jī)的DNS請求明顯增加時(shí)，這可能表明潛在的可疑行為，查看到外部主機(jī)的DNS請求模式，將其與地理IP和聲譽(yù)數(shù)據(jù)對照，并不熟適當(dāng)?shù)倪^濾，可以幫助緩解通過DNS的命令控制?！?/p>

11、莫名其妙的系統(tǒng)漏洞修復(fù)

系統(tǒng)修復(fù)通常是好事情，但如果系統(tǒng)突然毫無征兆地進(jìn)行修復(fù)，這可能表明攻擊者正在鎖定系統(tǒng)，使其他攻擊者不能使用它來進(jìn)行其他犯罪活動(dòng)。大多數(shù)攻擊者試圖利用你的數(shù)據(jù)來賺錢，他們當(dāng)然不希望與其他人分享勝利果實(shí)。

12、移動(dòng)設(shè)備配置文件變更

隨著攻擊者轉(zhuǎn)移到移動(dòng)平臺(tái)，企業(yè)應(yīng)該關(guān)注移動(dòng)用戶的設(shè)備配置中的不尋常的變更。他們還應(yīng)該查看正常應(yīng)用程序的變更，更換成可能攜帶中間人攻擊或者誘使用戶泄露其登陸憑證的程序。Marble Security公司創(chuàng)始人兼首席信息官Dave Jevans表示，“如果托管移動(dòng)設(shè)備獲得一個(gè)新的配置文件，而不是由企業(yè)提供的，這可能表明用戶的設(shè)備以及其企業(yè)登陸憑證受到感染，這些配置文件可能通過釣魚攻擊或者魚叉式釣魚攻擊被安裝在移動(dòng)設(shè)備上?！?/p>

13、數(shù)據(jù)位于錯(cuò)誤的位置

根據(jù)EventTracker的Ananth表示，攻擊者通常在嘗試滲出之前，會(huì)將數(shù)據(jù)放在系統(tǒng)的收集點(diǎn)。如果你突然看到千兆級信息和數(shù)據(jù)位于錯(cuò)誤的位置，并且以你們公司沒有使用的壓縮格式，這就表明攻擊的存在。通常情況下，當(dāng)文件位于不尋常的位置時(shí)，企業(yè)應(yīng)該進(jìn)行嚴(yán)格審查，因?yàn)檫@可能表明即將發(fā)生數(shù)據(jù)泄露事故。HBGary公司威脅情報(bào)主管Matthew Standart表示：“在奇怪位置的文件，例如回收站的根文件夾內(nèi)，很難通過Windows發(fā)現(xiàn)，但這些可以通過精心制作的指示器來查找?！?/p>

14、非人類行為的web流量

Blue Coat公司威脅研究主管Andrew Brandt表示，與正常人類行為不匹配的web流量不應(yīng)該通過嗅探測試。他表示，“你在什么情況下會(huì)同時(shí)打開不同網(wǎng)站的20個(gè)或者30個(gè)瀏覽器窗口?感染了不同點(diǎn)擊欺詐惡意軟件的計(jì)算機(jī)可能會(huì)在短時(shí)間內(nèi)產(chǎn)生大量Web流量。例如，在具有鎖定軟件政策的企業(yè)網(wǎng)絡(luò)中，每個(gè)人都只能使用一種瀏覽器類型，分析師可能會(huì)發(fā)現(xiàn)這樣的web會(huì)話，用戶代理字符顯示用戶在使用企業(yè)不允許的瀏覽器類型，或者甚至不存在的版本?！?/p>

15、DDoS攻擊活動(dòng)的跡象

分布式拒絕服務(wù)攻擊(DDoS)經(jīng)常被攻擊者用作煙霧彈來掩飾其他更惡劣的攻擊。如果企業(yè)發(fā)現(xiàn)DDoS的跡象，例如緩慢的網(wǎng)絡(luò)性能、無法使用網(wǎng)站、防火墻故障轉(zhuǎn)移或者后端系統(tǒng)莫名其妙地以最大容量運(yùn)行，他們不應(yīng)該只是擔(dān)心這些表面的問題。Corero Network Security公司首席執(zhí)行官Ashley Stephenson表示，“除了超負(fù)荷主流服務(wù)外，DDoS攻擊通常還會(huì)‘壓垮’安全報(bào)告系統(tǒng)，例如IPS/IDS或者SIEM解決方案，這可以讓攻擊者植入惡意軟件或竊取敏感數(shù)據(jù)。因此，任何DDoS攻擊都應(yīng)該被視為相關(guān)數(shù)據(jù)泄露活動(dòng)的跡象?！?/p>