来自 资讯 2021-10-14 01:01 的文章

海外高防_国内高防bgp服务器_如何解决

海外高防_国内高防bgp服务器_如何解决

今年早些时候,当我在RSA工作时,云左的高防cdn,我接受了各种各样的媒体采访和产品演示,介绍了一些可行的解决方案。我演示了Nessus检测恶意进程和被动漏洞扫描程序(PVS)提供了导致感染的所有网络活动的审计跟踪。我还展示了日志相关引擎(LCE)如何将PVS记录的DNS查询关联到已知的僵尸网络。在这些演示之后,我经常被问到,"那么,这是一个IDS吗?"在一次采访中(我希望他们能打印出来),我的回答是,在Tenable,我们把重点放在泄露检测上,作为我们持续漏洞分析的一部分。作为市场上领先的漏洞管理供应商,我真正想强调的是,在已知软件中查找漏洞和配置问题与查找恶意软件和恶意用户一样重要。检测受损系统与检测受到攻击的系统非常不同。大多数入侵检测系统检测攻击,而不是实际的危害。Tenable的监控文件、系统设置、日志、应用程序进程和网络流量的方法是我们持续漏洞检测的一部分,它是一个很好的平台,可以搜索恶意软件、受损系统帐户和僵尸网络。下面是"指示器"仪表板的屏幕截图示例,它实时显示各种被动和主动攻击以及危害数据:被动漏洞扫描程序不是网络入侵检测系统。它没有常见的或最近发现的攻击模式的列表,也没有识别探测和扫描。相反,重点是实时审核您的网络。PVS创建两种类型的数据:所有移动、IPv4和IPv6漏洞、开放端口、浏览端口、边界遍历和应用程序的实时报告,就像您在网络上的每个系统上使用完整凭据实时运行Nessus一样。所有网络流量的实时日志,类似于NetFlow的增强版,记录SSL证书名、共享Windows文件名、查询的域名和浏览的HTTP网站等工件。被动漏洞数据可用于审核网络上的活动,并识别具有可疑应用程序和网络连接的系统,包括:比较所有的互联网浏览和服务端口。虽然这不能检测到100%发生在常见网络流量流(如HTTP)上的攻击,但是在诸如IRC、DNS或high端口等"不常见"端口上通信的攻击很容易被识别出来,ddos可以这么防御,而不管它们是基于客户端还是基于服务器的。现有web服务器上托管的新网站。我个人曾与一些组织合作,通过检测添加到Apache和Windows服务中的新网站来检测恶意软件和危害web服务器。审核正在使用的web用户代理。虽然恶意软件完全模仿Firefox和其他常见浏览器是非常有可能的,但仍有大量的恶意软件声称是仍然容易识别的东西。PVS在一个位置记录观察到的每个主机的所有用户代理字符串,这使得该审计非常容易报告。识别唯一的客户端网络活动。PVS记录所有客户端网络应用程序的使用情况,如SNMP、NFS、FTP、IRC和Telnet。在很少使用这些协议的环境中,ddos防御模拟,此活动是可疑活动的指示器。识别唯一的网络服务。PVS还记录每个端口上运行的所有服务。不管被破坏的系统是实现端口敲门还是只接受来自已知恶意IP地址的连接,nginx防御ddos模块,PVS都会记录该服务。例如,如果一个系统遭到破坏,一个入侵者将一个web服务器放在31000端口上,国内高防cdn节点,该端口只应答来自中国或密西西比州某个网络块的IP地址,那么PVS会报告那里的HTTP会话协议。标识正在使用的活动DNS服务器。通常,受损系统将利用组织外部的DNS服务器。这可以通过直接重新配置底层操作系统或简单地对已知的DNS服务器执行DNS查询来完成。信任关系的变化。PVS跟踪哪些客户机连接到哪些服务器和哪些端口。不同端口上客户机-服务器信任计数的巨大变化可能表明存在蠕虫、扫描和手动探测。例如,下面是PVS在2869端口找到的web服务器的屏幕截图:pv检测到的许多其他"被动漏洞"项目表明存在漏洞,数量太多,无法在此识别和列出。与我交谈的许多PVS的客户和用户告诉我,他们通过PVS识别恶意软件、受感染的系统和入侵者安装的软件,因为在被动分析的其他系统中,有一些东西非常突出。下面是一个显示基于SSL、VNC、RDP和SSH流量的实时网络活动的仪表板屏幕截图。PVS的实时日志是检测入侵和受损系统的另一个很好的资源。我曾与许多组织合作过,他们将pv实时日志发送到Splunk等应用程序。我们还有一些组织部署了Tenable日志关联引擎来处理PVS实时日志。LCE中的PV有很多内置的关联,因此我们最近宣布,所有Tenable SecurityCenter ContinuousView许可证现在都将包括一个5 TB的LCE许可证。将所有的web、文件共享、网络协议和SSL通信与高质量僵尸网络IP地址的实时列表关联起来。将所有web和DNS查询与已知为僵尸网络的DNS名称和URL关联起来。跟踪基于SSH、VNC和windowsrdp协议执行代理和跳转攻击的系统。跟踪记录的所有类型的PVS网络会话中的异常和峰值,包括SSL、DNS、NFS、web查询,尤其是失败的DNS查询中的峰值。汇总每天下载的所有可执行文件。汇总每小时和每天查询的所有DNS域。通过学习用户ID跟踪所有网络流量。这有助于分析和报告任何特定用户的网络流量。跟踪客户端网络浏览活动,包括web、VNC、SSH和windowsrdp。下面是一个僵尸网络仪表板的屏幕截图,它是通过利用PVS日志和LCE日志搜索来创建特定僵尸网络的图形和趋势线而创建的。LCE在PVS实时日志上执行的关联有很多种。还有各种各样的取证审计,可以用来对系统行为和网络流量进行取证调查。当与来自防火墙、操作系统、入侵检测系统和其他来源的Nessus主动扫描和日志相结合时,来自PVS的实时数据成为一个绑定数据源,提供实时上下文,从而使入侵检测成为可能。Tenable的Continuous View产品允许组织部署多个Nessus扫描仪和被动漏洞扫描仪,以及单个SecurityCenter和单个日志关联引擎。要了解如何利用此平台进行无与伦比的漏洞发现和追捕恶意软件和入侵者的能力,请单击此处阅读更多。