美食健康数码游戏家居教育娱乐生活时尚旅游社会情感汽车健身育儿科技自然历史文化国际宠物财经星座体育

网络活动进程怎么判断异常?

|2024-12-03 18:55:02|浏览:79

    1. 了解网络

    在收集数据之前,企业需要知道“正常”行为是什么样的。Larsen只从Blue Coat的K9网络获取了5%的数据,因为这些是表现异常的行为。

托管安全供应商Dell Secureworks安全战略主管Jeff Williams表示,企业也需要这样做,通过分析其网络,企业就可以知道哪些行为属于异常行为,找出他们需要注意的5%的数据。

    “如果你了解你的网络,知道哪些系统应该和哪些其他系统通信,以及它们之间的通信情况,应该发生的频率等,都能够帮助了解何为‘正常行为’,”他表示,“只有你了解何为正常行为,才能够找出异常行为。”

    2. 收集所有数据

    企业还需要配置其防火墙和其他设备来收集正确的数据。在很多情况下,企业只会存储丢弃的流量,因为他们认为这些数据是最有趣的。但防火墙管理公司FireMon首席技术官Jody Brazil表示,最严重的攻击往往能够穿过防火墙。

    他表示,企业通常会禁用最常用的防火墙规则上的日志,很多时候因为防火墙负担过重。

    Brazil表示:“如果防火墙在做自己的工作以及丢弃流量,而你信任你购买的这个技术,那我们为什么要将重点放在被丢弃的流量,而不是通过防火墙的流量?”

    3. 找出愚蠢的异常行为

    很多安全团队试图找出每个进入其网络的威胁,他们很快就会不堪重负。事实上,企业应该从简单的入手,找出那些看似愚蠢的异常行为,首先弄清楚是怎么回事。

    Blue Coat的Larsen只注重那些最“招摇”的异常流量来减少其团队的工作量。在其RSA大会的展示中,他查看了访问了被列为“可疑网站”的用户,随后设置了更高的标准,检查点击超过30个可疑网站的10名用户,其中一名用户访问了37次包含35个x的.com顶级域名。他试图找出异常行为中的异常行为,这往往可能是真正的目标。

    4. 结合威胁情报

    很多时候,安全团队并不需要大量流量来发现恶意活动,而是流量的来向或去向。免费的黑名单和威胁数据源,再结合企业的防火墙日志,往往就能够找出恶意攻击。

    Brazil表示,现在有很多像样的威胁情报源,以及廉价的工具,企业可以结合这两者与其防火墙数据来找出恶意活动。

    5.回过头来检查

    Blue Coat的Larsen表示,收集

zhongyao00-1
12-03 18:55优质作者
关注

猜你喜欢

为你推荐