来自 数据 2021-12-14 22:09 的文章

高防IP_网站防护方案_如何解决

高防IP_网站防护方案_如何解决

你知道吗,57%的恶意软件是没有被Endpoint Protection Platform(EPP)发现的?*出现这种情况有两个原因,包括:基于签名的方法评估已知的错误文件(EPP无法捕获它不知道的内容)将错过零日攻击无文件恶意软件变得越来越普遍,这对EPP来说很难检测(EPP通常与文件匹配)为了降低这些风险,组织部署并监控额外的安全控制,如IDS/IPS和web过滤(深入防御)。虽然监视IDS/IPS警报提供了广泛、强大的覆盖范围,但安全团队需要意识到一些具体的挑战。例如,网络ID/IP:部署通常配置错误或根本没有更新网络传感器也被极大地调低以支持人类的监控,从而降低了检测的有效性将错过零日攻击,ddos防御隐藏,因为它们使用基于特征的方法(类似于上面的项目符号中提到的EPP风险)当加密到位(通常是HTTPS web通信)时无效,因为签名会评估和触发网络数据包的未加密有效负载通过监视web过滤日志,安全团队可以暴露感染了恶意软件的资产,而其他安全控制措施无法检测到这些资产。通过评估web过滤日志中可疑通信的模式,团队可以识别"无文件"、通过加密通道(HTTPS)通信或以前未知(也称为零日)的恶意软件—所有这些都不需要依赖攻击签名或试探法。然而,直到现在,安全团队还无法实时识别这些威胁,因为web过滤解决方案生成的事件量太大,无法监控在Respond Analyst的最新版本中,Respond Software宣布支持许多顶级的web过滤解决方案,包括Palo Alto Networks、Symantec、McAfee、Cisco、Forcepoint,炭黑和ZScaler。监控这些数据将使响应分析员能够撒下一个更广泛的网络,以识别与指挥和控制服务器通信的受损资产以及数据过滤尝试。通过识别这些通信,响应分析员可以帮助组织显著减少攻击驻留时间为了说明这一点,在响应分析员监控的真实客户环境中,该解决方案能够检测并升级涉及多个恶意域和内部系统的事件最初的漏洞涉及一个主机,该主机正在向已知的恶意域发送信标流量。响应分析员还检查了域的年龄,并将此信息作为其决策过程的一部分。在本例中,这些域是两个月前才注册的,这使得企业用户不太可能在那里导航。在监视从web过滤器摄取的数据时,响应分析员创建了一个"严重程度为4"的事件,供客户调查。当时,网络过滤系统阻止了信标的尝试,由于客户有其他优先权,快速防御ddos攻击服务器,事件仍然没有解决。然而,越来越多的主机很快表现出相同的行为,快速防御ddos攻击服务器,因此这些事件被划分为原始事件,并由响应分析员升级到"严重级别3"状态。此外,Respond分析师知道web过滤供应商已经将这些域标识为恶意的出站僵尸网络,但仅此行为不足以保证升级。然而,随着通信量的持续,以及响应分析员持续监控活动的时间,这是由软件驱动的恶意活动而不是人类点击鼠标的概率显著增加由于响应分析员能够在更宽的网络中实时检测这些信标尝试,安全团队通过阻止流向恶意域的流量来解决该问题,从而减少了攻击的驻留时间。如果您有兴趣构建更广阔的网络,ddos防御方法,并从web过滤系统生成的日志中获取更多价值,多服务器防御ddos,Respond Analyst就是您的解决方案。有关Respond Analyst支持web过滤系统的更多信息,请参阅:Respond Software的Web过滤调查和发现提供了前所未有的对手检测方法新闻稿挖掘网络数据流量发现威胁博客挖掘Web数据流量以发现威胁视频使用Web筛选数据网络广播查找事件响应分析员在网页过滤数据视频中发现恶意事件*来源:2018年端点安全风险状况,Ponemon Institute,2018年10月