香港服務器租用(http://www.49028c.com/hkzy)或香港服務器托管(http://www.49028c.com/hktg)安全專家為企業提供了五個方法來找出網絡中的異常行為:
1. 了解網絡
在收集數據之前���,企業需要知道“正?���!毙袨槭鞘裁礃拥摹arsen只從Blue Coat的K9網絡獲取了5%的數據�����,因為
這些是表現異常的行為��。
托管安全供應商Dell Secureworks安全戰略主管Jeff Williams表示�����,企業也需要這樣做�����,通過分析其網絡�,企業
就可以知道哪些行為屬于異常行為���,找出他們需要注意的5%的數據。
“如果你了解你的網絡�,知道哪些系統應該和哪些其他系統通信,以及它們之間的通信情況����,應該發生的頻率等,
都能夠幫助了解何為‘正常行為’�����,”他表示����,“只有你了解何為正常行為,才能夠找出異常行為�����?���!?/FONT>
2. 收集所有數據
企業還需要配置其防火墻和其他設備來收集正確的數據���。在很多情況下���,企業只會存儲丟棄的流量�,因為他們認為
這些數據是最有趣的���。但防火墻管理公司FireMon首席技術官Jody Brazil表示���,最嚴重的攻擊往往能夠穿過防火墻。
他表示�,企業通常會禁用最常用的防火墻規則上的日志,很多時候因為防火墻負擔過重��。
Brazil表示:“如果防火墻在做自己的工作以及丟棄流量��,而你信任你購買的這個技術�,那我們為什么要將重點放
在被丟棄的流量,而不是通過防火墻的流量����?”
3. 找出愚蠢的異常行為
很多安全團隊試圖找出每個進入其網絡的威脅,他們很快就會不堪重負���。事實上��,企業應該從簡單的入手��,找出那
些看似愚蠢的異常行為���,首先弄清楚是怎么回事�。
Blue Coat的Larsen只注重那些最“招搖”的異常流量來減少其團隊的工作量�。在其RSA大會的展示中,他查看了訪
問了被列為“可疑網站”的用戶�����,隨后設置了更高的標準�����,檢查點擊超過30個可疑網站的10名用戶��,其中一名用戶訪問
了37次包含35個x的�����。com頂級域名��。他試圖找出異常行為中的異常行為�,這往往可能是真正的目標。
4. 結合威脅情報
很多時候���,安全團隊并不需要大量流量來發現惡意活動�����,而是流量的來向或去向�����。免費的黑名單和威脅數據源����,再
結合企業的防火墻日志��,往往就能夠找出惡意攻擊�����。
Brazil表示��,現在有很多像樣的威脅情報源����,以及廉價的工具����,企業可以結合這兩者與其防火墻數據來找出惡意活
動��。
5.回過頭來檢查
Blue Coat的Larsen表示��,收集關于攻擊的情報能夠暴露攻擊者的動機�����,并同時幫助訓練安全團隊和事件響應者�。
然而,即使在系統被清理和調查結束后��,檢查被感染的用戶仍然會有所收獲��。
