来自 资讯 2021-06-10 13:18 的文章

防cc_服务器高防怎么攻击_原理

将此共享按钮添加到FaceBookShare到TwitterTwitterShare到LinkedInLinkedInShare到电子邮件2017年9月21日出版作者:Securonix实验室数据和威胁的当前状态今天,我们看到企业面临着与信息安全相关的巨大挑战。由于大部分数据以数字形式存储和传输,因此需要对这些数据进行安全保护。不同类型的存储数据包括个人凭证、银行账户信息、信用卡交易和知识产权。然而,这些数字信息的完整性不断受到旨在窃取、暴露或操纵这些信息的攻击的挑战。这会影响到所有行业,从医疗保健到金融,再到零售业,如果不保护这些数据,可能会给企业带来巨大的财务和声誉损害。随着网络犯罪组织的兴起和民族国家秘密网络行动的扩大,我们看到了攻击的数量和复杂性不断增加。试图攻击一个组织的威胁行为体已经变得比以前更危险,使用了更复杂的技术。外部威胁通常试图穿透组织在外围设置的防御系统。随着设备使用量的增加,可能的端点范围和攻击面也显著增加。组织花费越来越多的资源来加强他们的周边安全以保护自己免受这些威胁。虽然我们看到了外部攻击的增加,但来自组织内部个人及其网络周边的内部威胁的增加一直是一个组织需要考虑的重要因素。内部人员受到雇主的信任,可以访问关键系统和机密信息,与外部攻击相比,内部攻击造成的风险通常更有害。此外,一旦外部攻击者突破边界并渗透到内部网络,他们会通过劫持凭证或创建新帐户来伪装成合法的内部人员。有效检测恶意内部人员的能力可以使组织在外围防御失败时阻止外部人员。为了应对内部和外部威胁,组织需要一个全面的安全分析解决方案,以补充其外围和网络安全。传统SIEM及其缺陷安全信息和事件管理(SIEM)一直是帮助组织满足其安全需求的一个长期存在的系统。Gartner将SIEM定义为"通过从各种事件和上下文数据源实时收集和历史分析安全事件来支持威胁检测和安全事件响应的技术。它还通过分析这些来源的历史数据来支持合规报告和事件调查。"传统上,SIEM侧重于从多个安全数据源收集日志,并使用安全专家创建的相关规则来实时执行。同时也着眼于对不同案件的侦查和预警。典型SIEM的分析能力仅限于与系统或应用程序相关的网络级信息的关联。它不了解人类活动以及如何适应他们行为的变化。随着内部威胁的增加,SIEM运营商发现使用该系统检测恶意用户行为极其困难。由于行为是动态的,由安全专家手动定义的规则是不适用的。例如,在处理特定帐户传输的数据量时,传统的SIEM通常会通过规则定义一个阈值,以确定可疑活动。然而,这种方法成功的机会很小,因为正常活动的阈值取决于用户类型(例如,市场营销与呼叫中心),高防cdn哪家好用,以及传输的时间(单个大传输与多个小传输在几天内传播),静态规则不能解释多个复杂的场景。提高阈值以容纳大量用户将使较小数量的恶意活动无法被检测到,而降低阈值以捕获所有这些活动将导致大量误报,并以过多的警报压倒分析师。复杂的威胁场景对传统的SIEM构成了另一个挑战。例如,在尝试检测高级持续威胁(APT)时,分析员必须考虑多种威胁指标:从异常来源或很少访问的系统登录、失败登录量增加、异常数据消耗、异常数据出口量、请求时间等。虽然这些活动本身对于发出警报来说可能无关紧要,但它们在关联账户和/或系统中的发生是潜在APT的强烈迹象。系统应能够动态量化与不同事件相关的风险,并沿着可能攻击的杀死链放大风险,以便进行适当的检测。检测恶意用户行为所需的数据源不仅限于与网络安全相关的数据源。商业交易、电子邮件和聊天、身份和访问管理,甚至HR数据都必须与身份相关,并与传统的安全日志相结合,以实现有效的内部威胁检测。附加的用户元数据对于理解组织内的对等组非常有用,例如客户服务代表、市场营销人员、服务器工程师等,他们具有不同的工作功能,因此会表现出不同的正常行为。将用户行为与其同龄人的行为进行比较,可以在可疑活动偏离对等组时检测到可疑活动,并在组范围内减少误报。传统的基于规则的系统无法扩展到威胁数量的增加、事务量的增加和数据源的多样性;也无法处理高级攻击的复杂性和用户行为的动态性。手动维护爆炸式的规则数量和不断增加的警报量的优先级,即使是最有能力的分析师团队也会不堪重负。为了应对这些挑战,需要自适应的自动化分析,将分析师的注意力集中在最危险的事件上,捕捉他的思维过程,并从中学习,最终应对计算机上的威胁,而不是人类时间。安全分析Gartner将安全分析定义为"对某些数据进行高级分析以获得有用的安全结果",其中"高级分析"指的是比简单规则和基本统计数据更好的任何方法。安全分析通过提供更好的上下文、最大限度地减少误报和减少警报数量,为检测威胁提供了更高效、更有效的方法。此外,它根据风险对警报进行优先级排序,以确保首先处理风险最大的事件,并缩短检测的平均时间。从分析员的反馈中学习,它可以自动响应最常见的事件,使分析员能够关注新出现的威胁。Securonix率先在安全领域使用用户行为分析(UBA),ddos防御品牌,在2009年推出了一种无特征码的解决方案,用于检测异常用户行为、识别访问异常值以及跨多个系统关联用户身份。这种以用户为中心的解决方案在安全分析的发展过程中带来了重大的质的飞跃,因为它现在能够解决内部威胁以及网络和端点安全问题。Securonix UBA履行了在大量安全数据中发现真实威胁指标的承诺,解决了广泛的内部威胁担忧:从风险访问到特权帐户滥用到数据过滤。通过开发一个安全分析平台,该平台可以处理多种数据,跨多个系统关联身份,利用对等组分析和跨域关联来减少误报,阿里最大防御ddos,并应用风险放大对警报进行优先级排序,ddos攻击防御与waf防御,以供分析师审查,Securonix将智能引入安全事件分析的泥潭,并将用户作为安全生态系统中最关键的端点。下一个合乎逻辑的步骤是将在以用户为中心的情况下证明非常成功的行为分析技术应用于任何其他可归因于安全事件的实体,例如计算机系统、应用程序,甚至是文档,扩展安全分析的维度,允许不同实体类型之间的异常事件关联-检测横向移动的关键功能。Gartner在2015年将这一功能扩展为用户和实体行为分析(UEBA):"UEBA成功地检测到恶意和滥用行为,而这些活动在其他情况下不会被发现,并有效地整合和优先处理从其他系统发送的安全警报。"扩展的用例包括网络威胁检测,网络和数据安全,以及云和应用程序安全。UEBA提供了关联来自任何类型实体的事件的能力,并创建适应动态行为的正常行为概要文件,同时允许实时异常检测。行为指标可以与直接威胁指标相结合,对特定威胁进行风险评分,多个威胁可以聚合到攻击杀死链中,放大风险,便于早期发现攻击。分析员可以使用功能强大的链接分析工具对上下文丰富的数据进行调查,并提供优先级警报。分析员的反馈与接收威胁指标一起被捕获,以训练机器学习模型,虚拟主机免费ddos防御,以编码分析员对类似案例的推理和自动解决,或为此类解决方案提供建议。SNYPR:NextGen安全分析平台Securonix的SNYPR是下一代安全分析平台,在一个模块化的软件包中提供了最好的:公开赛