企業(yè)安全遭受攻擊的15個跡象

　　1、不尋常的出站網(wǎng)絡(luò)流量

　　也許最大的跡象就是不尋常的出站網(wǎng)絡(luò)流量。“常見的誤解是網(wǎng)絡(luò)內(nèi)部的流量都是安全的，”AlgoSec公司高級安全戰(zhàn)略家Sam Erdheim表示，“查看離開網(wǎng)絡(luò)的可疑的流量，我們不僅要關(guān)注進(jìn)入網(wǎng)絡(luò)的流量，而且還要注意出站流量。”對于現(xiàn)代攻擊，企業(yè)很難阻止攻擊者進(jìn)入網(wǎng)絡(luò)，因此，企業(yè)更應(yīng)該關(guān)注出站流量。NetIQ公司解決方案戰(zhàn)略主管Geoff Webb表示：“所以，最好的辦法是檢查網(wǎng)絡(luò)內(nèi)部的活動，以及檢查離開網(wǎng)絡(luò)的流量。受攻擊的系統(tǒng)通常會呼叫命令控制服務(wù)器，你可以密切關(guān)注這種流量，以阻止攻擊。”

　　2、特權(quán)用戶賬戶活動異常

　　在精心策劃的攻擊中，攻擊者要么提升他們已經(jīng)攻擊的賬戶的權(quán)限，要么使用攻擊的賬戶進(jìn)入更高權(quán)限的其他賬戶。從特權(quán)賬戶查看不尋常的賬戶行為不僅能夠發(fā)現(xiàn)內(nèi)部攻擊，而且還可以發(fā)現(xiàn)賬戶被控制。Webb表示，“特權(quán)用戶行為的變化可能表明其他人正在使用該賬戶來攻擊你的網(wǎng)絡(luò)，企業(yè)應(yīng)該關(guān)注賬戶變化，例如活動時間、訪問的系統(tǒng)，訪問的信息的類型或數(shù)量。”

　　3、地理異常

　　無論是否是通過特權(quán)賬戶，登錄和訪問中的地理異常也可以表明攻擊者正在試圖從很遠(yuǎn)的地方進(jìn)行攻擊。例如，企業(yè)發(fā)現(xiàn)正在與沒有業(yè)務(wù)往來的國家之間的流量往來時，應(yīng)該進(jìn)行調(diào)查。ThreatTrack Security公司安全內(nèi)容管理主管Dodi Glenn表示，同時，當(dāng)賬戶在短時間內(nèi)從世界各地不同IP登錄，這可能是攻擊的跡象。

　　4、登錄異常和失敗

　　登錄異常和失敗可以提供很好的線索來發(fā)現(xiàn)攻擊者對網(wǎng)絡(luò)和系統(tǒng)的探測。Beachhead Solutions公司產(chǎn)品專家Scott Pierson表示，多次登錄失敗也可能標(biāo)志著攻擊的發(fā)生，檢查使用不存在的用戶賬戶的登錄，這通常表明有人試圖猜測用戶的賬戶信息以及獲得身份驗(yàn)證。同樣的，在下班時間嘗試獲得成功登錄也可能表明，這不是真正的員工在訪問數(shù)據(jù)。企業(yè)應(yīng)該對此進(jìn)行調(diào)查。

　　5、數(shù)據(jù)庫讀取量激增

　　當(dāng)攻擊者入侵企業(yè)并試圖滲出信息時，你可能會發(fā)現(xiàn)數(shù)據(jù)存儲中的變化。其中之一就是數(shù)據(jù)庫讀取量激增。瞻博網(wǎng)絡(luò)首席軟件架構(gòu)師Kyle Adams表示：“當(dāng)攻擊者試圖提取完整的信用卡數(shù)據(jù)時，他會產(chǎn)生巨大的讀取量，這肯恩比你通�？吹降男庞每ㄗx取高出很多。”

　　6、HTML響應(yīng)大小

　　Adams還表示，如果攻擊者使用SQL注入來通過web應(yīng)用程序提取數(shù)據(jù)的話，攻擊者發(fā)出的請求通常會包含比正常請求更大的HTML響應(yīng)。他表示：“例如，如果攻擊者提取全部的信用卡數(shù)據(jù)庫，那么，對攻擊者的單個響應(yīng)可能會是20MB到50MB，而正常響應(yīng)是200KB。”

　　7、大量對相同文件的請求

　　攻擊者需要進(jìn)行大量的試驗(yàn)和犯錯才能發(fā)動攻擊，他們需要嘗試不同的漏洞利用來找到一個入口。當(dāng)他們發(fā)現(xiàn)某個漏洞利用可能會成功時，他們通常會使用不同的排列組合來啟動它。Adams表示，“因此，他們攻擊的URL可能在每個請求上會有所改變，但實(shí)際的文件名部分可能會保持不變，你可能會看到單個用戶或IP對‘join.php’進(jìn)行500次請求，而正常情況下，單個IP或用戶最多只會請求幾次。”

　　8、不匹配的端口應(yīng)用流量

　　攻擊者經(jīng)常利用模糊的端口來繞過更簡單的web過濾技術(shù)。所以，當(dāng)應(yīng)用程序使用不尋常的端口時，這可能表明命令控制流量正在偽裝成“正常”的應(yīng)用程序行為。Rook Consulting公司SOC分析師Tom Gorup表示，“我們可能會發(fā)現(xiàn)受感染的主機(jī)發(fā)送命令控制通信到端口80，它們偽裝成DNS請求，乍一看，這些請求可能像是標(biāo)準(zhǔn)DNS查詢;然而，你仔細(xì)看的話，你會發(fā)現(xiàn)這些流量通過非標(biāo)準(zhǔn)的端口。”

　　9、可疑的注冊表或系統(tǒng)文件的更改

　　惡意軟件編寫者在受感染主機(jī)內(nèi)保持長期存在的方法之一是通過注冊表的更改。當(dāng)應(yīng)對基于注冊表的IOC時，創(chuàng)建基線是最重要的部分，Gorup表示，“定義正常的注冊表應(yīng)該包含的內(nèi)容，這基本上創(chuàng)建了一個過濾器。監(jiān)測和警報偏離正常模板的變更，將提高安全團(tuán)隊(duì)的響應(yīng)時間。”同樣地，很多攻擊者可能會留下跡象表明，他們已經(jīng)篡改了主機(jī)的系統(tǒng)文件和配置，企業(yè)可以通過查看這些變化來快速發(fā)現(xiàn)受感染系統(tǒng)。他表示，“可能發(fā)生的情況是，攻擊者將安裝數(shù)據(jù)包嗅探軟件來獲取信用卡數(shù)據(jù)，攻擊者會瞄準(zhǔn)可以查看網(wǎng)絡(luò)流量的系統(tǒng)，然后安裝這種工具。雖然捕捉這種攻擊的機(jī)會很渺茫(因?yàn)樗鼈兎浅＞哂嗅槍π裕�可能以前沒有見到過)，但企業(yè)可以發(fā)現(xiàn)系統(tǒng)的變更。”

　　10、DNS請求異常

　　根據(jù)Palo Alto公司高級安全分析師Wade Williamson表示，企業(yè)應(yīng)該查看的最有效的攻擊跡象是，惡意DNS請求留下的告密者模式。他表示，“命令控制流量通常對于攻擊者是最重要的.流量，因?yàn)樗�允許他們持續(xù)管理攻擊，并且，他們需要保護(hù)這種流量，以確保安全專家不會輕易發(fā)現(xiàn)，企業(yè)應(yīng)該識別這種流量的獨(dú)特模式，因?yàn)樗�能夠用來發(fā)現(xiàn)攻擊活動。”他表示，“當(dāng)來自特定主機(jī)的DNS請求明顯增加時，這可能表明潛在的可疑行為，查看到外部主機(jī)的DNS請求模式，將其與地理IP和聲譽(yù)數(shù)據(jù)對照，并不熟適當(dāng)?shù)倪^濾，可以幫助緩解通過DNS的命令控制。”

　　11、莫名其妙的系統(tǒng)漏洞修復(fù)

　　系統(tǒng)修復(fù)通常是好事情，但如果系統(tǒng)突然毫無征兆地進(jìn)行修復(fù)，這可能表明攻擊者正在鎖定系統(tǒng)，使其他攻擊者不能使用它來進(jìn)行其他犯罪活動。“大多數(shù)攻擊者試圖利用你的數(shù)據(jù)來賺錢，他們當(dāng)然不希望與其他人分享勝利果實(shí)，”Webb表示。

　　12、移動設(shè)備配置文件變更

　　隨著攻擊者轉(zhuǎn)移到移動平臺，企業(yè)應(yīng)該關(guān)注移動用戶的設(shè)備配置中的不尋常的變更。他們還應(yīng)該查看正常應(yīng)用程序的變更，更換成可能攜帶中間人攻擊或者誘使用戶泄露其登陸憑證的程序。Marble Security公司創(chuàng)始人兼首席信息官Dave Jevans表示，“如果托管移動設(shè)備獲得一個新的配置文件，而不是由企業(yè)提供的，這可能表明用戶的設(shè)備以及其企業(yè)登陸憑證受到感染，這些配置文件可能通過釣魚攻擊或者魚叉式釣魚攻擊被安裝在移動設(shè)備上。”

　　13、數(shù)據(jù)位于錯誤的位置

　　根據(jù)EventTracker的Ananth表示，攻擊者通常在嘗試滲出之前，會將數(shù)據(jù)放在系統(tǒng)的收集點(diǎn)。如果你突然看到千兆級信息和數(shù)據(jù)位于錯誤的位置，并且以你們公司沒有使用的壓縮格式，這就表明攻擊的存在。通常情況下，當(dāng)文件位于不尋常的位置時，企業(yè)應(yīng)該進(jìn)行嚴(yán)格審查，因?yàn)檫@可能表明即將發(fā)生數(shù)據(jù)泄露事故。HBGary公司威脅情報主管Matthew Standart表示：“在奇怪位置的文件，例如回收站的根文件夾內(nèi)，很難通過Windows發(fā)現(xiàn)，但這些可以通過精心制作的指示器來查找。”

　　14、非人類行為的web流量

　　Blue Coat公司威脅研究主管Andrew Brandt表示，與正常人類行為不匹配的web流量不應(yīng)該通過嗅探測試。他表示，“你在什么情況下會同時打開不同網(wǎng)站的20個或者30個瀏覽器窗口?感染了不同點(diǎn)擊欺詐惡意軟件的計算機(jī)可能會在短時間內(nèi)產(chǎn)生大量Web流量。例如，在具有鎖定軟件政策的企業(yè)網(wǎng)絡(luò)中，每個人都只能使用一種瀏覽器類型，分析師可能會發(fā)現(xiàn)這樣的web會話，用戶代理字符顯示用戶在使用企業(yè)不允許的瀏覽器類型，或者甚至不存在的版本。”

　　15、DDoS攻擊活動的跡象

　　分布式拒絕服務(wù)攻擊(DDoS)經(jīng)常被攻擊者用作煙霧彈來掩飾其他更惡劣的攻擊。如果企業(yè)發(fā)現(xiàn)DDoS的跡象，例如緩慢的網(wǎng)絡(luò)性能、無法使用網(wǎng)站、防火墻故障轉(zhuǎn)移或者后端系統(tǒng)莫名其妙地以最大容量運(yùn)行，他們不應(yīng)該只是擔(dān)心這些表面的問題。Corero Network Security公司首席執(zhí)行官Ashley Stephenson表示，“除了超負(fù)荷主流服務(wù)外，DDoS攻擊通常還會‘壓垮’安全報告系統(tǒng)，例如IPS/IDS或者SIEM解決方案，這可以讓攻擊者植入惡意軟件或竊取敏感數(shù)據(jù)。因此，任何DDoS攻擊都應(yīng)該被視為相關(guān)數(shù)據(jù)泄露活動的跡象。”

【企業(yè)安全遭受攻擊的15個跡象】相關(guān)文章：

HTML5劫持攻擊安全風(fēng)險詳解08-28

電腦安全設(shè)置減少黑客掃描與攻擊08-18

HTML5API攻擊安全風(fēng)險詳解08-26

如何防止arp的攻擊09-08

HTML5Web Storage攻擊安全風(fēng)險詳解09-01

HTML5Web Worker攻擊安全風(fēng)險詳解08-30

HTML5安全風(fēng)險之WebSQL攻擊詳解08-04

HTML5新標(biāo)簽攻擊安全攻防詳解08-25

對付DDoS攻擊的三大絕招11-09

如何防止arp攻擊電腦11-23