感谢DJ提供的原始资料,看了后感触很深,大致翻译式的解读了一下,不到位的地方欢迎沟通。
外部攻击者发起APT攻击,其中的大部分环节Delivery、Exploitation、Installation、Command and Control (C2)、Actions on Objectives都需要通过”内部行走”才能实施破坏,接触到敏感数据达到盗取或破坏的目的。
Vectra是一款基于网络流量的行为分析侦测威胁系统,主要对核心资产进行实时的监控,应对外部的定向攻击和内部的威胁。
Vectra的异常行为分析主要通过以下几个过程实现,基于网络流量检测、注重可视化是该平台非常明显的一个特色。Vectra平台的异常行为检测主要有下面三个过程:
1、关键资产的识别和标识:
通过分析内部网络流量,采用机器学习的方式自动化的识别组织内的安全资产(设备),同时将组织内的设备或资产显示在一张逻辑图上,很便利的看到设备之间的互联关系。
关键资产的识别主要基于几个要素:可根据资产上存放的数据的重要性(数据的分类分级很重要),同时考虑资产的使用者的重要性来确定是否是关键资产。比如关键员工和高管的笔记本就可以被标记为关键资产,在Vectra的产品界面上很容易进行资产标记。
2、异常行为的发现:
大多数用户的日常行为是可预测的,每天的日常活动都差不多。恶意的内部人员在偷盗数据或搞破坏前一定有异常的行为。对于可疑的员工连接关键资产一定要引起足够重视。这种异常通常未必是一个确定的违规行为,但它可以作为重要的调查信息。
除了行为上的变化,该系统也可以检测或识别出内部用户执行的端口扫描、暗网扫描、暴力破解等攻击行为,如果是针对组织的关键资产所发起的攻击行为,这就可以当作一个内部威胁的重要标识。比如一般内部用户不会直接访问c&c服务器,如果出现这些行为都代表内部用户确实除了问题。其产品针对不同的恶意行为通过不同的告警颜色进行标识。
3、数据盗取的追踪:
数据科学是非常适合这种类型的分析, vectra采用数据科学技术自动化的检测网络内部用户的数据的打包、偷取等行为,机器学习能主动发现在堆积如山的数据中恶意的内部人员。大部分内部人员可能通过物理介质比如USB设备偷取数据,另外常见的是通过网络来来偷取数据,后一种可以通过分析一个主机的流入和流出数据流,可以通过检测网络流量中是否存在隐藏TUNNELS、TOR活动、staged hop等,如果存在这些情况基本可以判定发生了内部的数据盗取威胁,通过关联分析,可以发现内部人员数据偷取的整体行为视图。
内部异常行为(Insider Threats)可分为基于终端的、基于网络流量的异常行为分析侦测,后面再谈谈基于终端的分析系统。