本文講的是 : <b>CSO關注:企業安全遭受攻擊的15個迹象</b> , 【IT168 編譯】不尋常的賬戶行為、奇怪的網絡模式、不明原因的配置更改等都可能表明潛在的攻擊。為了更快地發現資料洩露事故,安全專家可以檢查其IT環境中的異常活動。這些不尋常的活動通常可以幫助企業更快地發現系統上的攻擊活動,以防止最終的資料洩露事故的發生,或者至少在最初階段阻止攻擊。
<b> 下面是企業應該關注的15個迹象,這些迹象可能表明潛在的攻擊活動:</b>
<b> 1、不尋常的出站網絡流量</b>
也許最大的迹象就是不尋常的出站網絡流量。
“常見的誤解是網絡内部的流量都是安全的,”AlgoSec公司進階安全戰略家Sam Erdheim表示,“檢視離開網絡的可疑的流量,我們不僅要關注進入網絡的流量,而且還要注意出站流量。”
對于現代攻擊,企業很難阻止攻擊者進入網絡,是以,企業更應該關注出站流量。NetIQ公司解決方案戰略主管Geoff Webb表示:“是以,最好的辦法是檢查網絡内部的活動,以及檢查離開網絡的流量。受攻擊的系統通常會呼叫指令控制伺服器,你可以密切關注這種流量,以阻止攻擊。”
<b> 2、特權使用者賬戶活動異常</b>
在精心策劃的攻擊中,攻擊者要麼提升他們已經攻擊的賬戶的權限,要麼使用攻擊的賬戶進入更高權限的其他賬戶。從特權賬戶檢視不尋常的賬戶行為不僅能夠發現内部攻擊,而且還可以發現賬戶被控制。
Webb表示,“特權使用者行為的變化可能表明其他人正在使用該賬戶來攻擊你的網絡,企業應該關注賬戶變化,例如活動時間、通路的系統,通路的資訊的類型或數量。”
<b> 3、地理異常</b>
無論是否是通過特權賬戶,登入和通路中的地理異常也可以表明攻擊者正在試圖從很遠的地方進行攻擊。例如,企業發現正在與沒有業務往來的國家之間的流量往來時,應該進行調查。
ThreatTrack Security公司安全内容管理主管Dodi Glenn表示,同時,當賬戶在短時間内從世界各地不同IP登入,這可能是攻擊的迹象。
<b> 4、登入異常和失敗</b>
登入異常和失敗可以提供很好的線索來發現攻擊者對網絡和系統的探測。
Beachhead Solutions公司産品專家Scott Pierson表示,多次登入失敗也可能标志着攻擊的發生,檢查使用不存在的使用者賬戶的登入,這通常表明有人試圖猜測使用者的賬戶資訊以及獲得身份驗證。
同樣的,在下班時間嘗試獲得成功登入也可能表明,這不是真正的員工在通路資料。企業應該對此進行調查。
<b> 5、資料庫讀取量激增</b>
當攻擊者入侵企業并試圖滲出資訊時,你可能會發現資料存儲中的變化。其中之一就是資料庫讀取量激增。瞻博網絡首席軟體架構師Kyle Adams表示:“當攻擊者試圖提取完整的信用卡資料時,他會産生巨大的讀取量,這肯恩比你通常看到的信用卡讀取高出很多。”
<b> 6、HTML響應大小</b>
Adams還表示,如果攻擊者使用SQL注入來通過web應用程式提取資料的話,攻擊者發出的請求通常會包含比正常請求更大的HTML響應。
他表示:“例如,如果攻擊者提取全部的信用卡資料庫,那麼,對攻擊者的單個響應可能會是20MB到50MB,而正常響應是200KB。”
<b> 7、大量對相同檔案的請求</b>
攻擊者需要進行大量的試驗和犯錯才能發動攻擊,他們需要嘗試不同的漏洞利用來找到一個入口。當他們發現某個漏洞利用可能會成功時,他們通常會使用不同的排列組合來啟動它。
Adams表示,“是以,他們攻擊的URL可能在每個請求上會有所改變,但實際的檔案名部分可能會保持不變,你可能會看到單個使用者或IP對‘join.php’進行500次請求,而正常情況下,單個IP或使用者最多隻會請求幾次。”
原文釋出時間為:2015年7月6日
本文作者:佚名
本文來自雲栖社群合作夥伴IT168,了解相關資訊可以關注IT168
原文标題 :CSO關注:企業安全遭受攻擊的15個迹象
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)