来自 防护 2021-12-14 20:18 的文章

游戏盾_国内高防cdn免费_超高防御

游戏盾_国内高防cdn免费_超高防御

在这个由两部分组成的系列文章的最后一部分,我们将介绍推理的概念以及影响(或数据源)在集成推理如何应用于网络安全中的作用。错过了第一部分?在这里可以找到"集成推理入门"。发生什么事了?描述攻击中发生的情况需要强大的基础网络安全领域专业知识以及对目标内部资产的洞察。像mitretatt&CK这样的框架是有帮助的,阿里的服务器能防御CC吗,但是并不是所有的安全产品都与它们的报告一致,这需要分析师仍然进行解释。观察到的技术、工具和过程(TTP)可以深入了解攻击者的复杂程度-这是商品恶意软件还是手拿键盘的对手?这次袭击有关系吗?如果警报与目标无关,则可以识别假阳性并将其丢弃,例如针对windows计算机的基于Linux的攻击。攻击成功了吗?在许多情况下,另一个安全控制可能阻止了访问,端口被关闭,文件或连接被阻止,所有这些都需要对其他"集成"数据源进行解释。模式分析是一个非常宝贵的工具,可以用来了解所观察到的活动是否正常和授权,而不是异常和潜在的恶意活动。观察到的活动有多广泛或普遍?是行政工作吗?用户或系统是否有执行观察到的操作的历史或反复感染的历史?这些系统过去有没有交流过?评估时间序列数据同样重要,因为攻击很少是单一事件。为了进行分类并获得全面的态势感知,分析员必须确定之前和之后发生了什么。为了突出一个非常重要的示例,当检测到恶意软件并从系统中删除时,便宜的ddos防御,endpoint protection agent将生成警报。但是恶意软件是如何到达那里的呢?endpoint protection代理是否清除了所有内容?很可能不会,鉴于endpoint protection平台只识别出57%的潜在恶意软件感染,这一趋势部分受无文件恶意软件增加的影响。分析员必须评估是否有其他危害迹象,以确认感染已得到补救。例如,可以通过持续观察网页过滤日志中识别的可疑网络信标行为来识别持续的感染迹象,端点检测和响应解决方案中发现的可疑过程活动,或通过面向东西向网络IDS/IPS设备识别的其他内部系统的横向攻击—所有这些都是响应分析员通过综合推理来执行的。最后,事件的严重程度如何?如果在分析结束时,维盟软路由ddos防御,抛开不确定性,分析员认为观察到的活动事实上是恶意的和可采取行动的–他们必须指定严重性,以启动事件响应程序。严重性通常与sla在响应时间上一致,响应时间可能从几分钟到几天不等,具体取决于组织。分配事件严重程度的一个重要因素是范围。有多少系统参与了这次攻击?这是一个单一的恶意软件感染还是更大规模的爆发?有多少系统被利用了?为了理解这个范围,分析员必须不断地意识到在他们的环境中观察到的威胁之间的关系。不幸的是,及时维护数千个实体之间的关系并不是人类一贯能够很好地执行的任务。此外,分析师轮班工作,因此对他们不在时发生的事情视而不见。例如,分析员1可能会不知所措,忽略系统的早期初始访问活动,而倾向于调查更严重的警报。分析员2轮班,观察到同一系统的横向移动,但由于分析员2没有意识到早期分析员1忽略的剥削迹象,所以将警报注销为假阳性或管理活动。范围不是分配严重性的唯一因素。响应分析员根据以下四个因素动态地为每个事件分配一到四个严重性,这些因素来自于当前事件范围内的事件和系统:进展最快的攻击阶段涉及的内部系统数量所涉及系统的最高资产关键性该活动是恶意的和可采取行动的可能性虽然我概述了安全分析员要求串联做出决策的问题,但是人类和响应分析师同时并行地提出这些问题。决策不是一个确定的或静态的过程,因为我们的不确定性会随着对决策的更多影响的及时揭示而变化。我在上面谈到了安全分析员通常是如何做出决策的,但我并没有太多地谈到分析师所使用的不同类型的分析和决策。分类和决策过程根据用例、攻击策略和涉及的遥测而有所不同。因此,由于决策的复杂性,以及某些影响对系统或账户受损的不确定性的具体影响方式,我们将响应分析师构建为一个专家系统,该系统开箱即用分析师在做出具体决策时需要提出的问题以及整合问题进行构建以及回答这些问题和减少不确定性的处理能力。摘要人类和机器都可以使用推理来做出决策。然而,当比较只能观察少数几个因素的人的能力和处理成千上万个因素的机器的能力时,很容易看出在大多数情况下哪个选项会产生更好的决策结果。此外,人类依赖经验和个人偏见来影响他们的决策,而机器没有这些限制,可以使用高级概率来代替。今天,许多组织认识到这种差异,cc攻击防御服务,并试图用传统的解决方案来解决这个问题,比如SIEM和SOAR系统,这些解决方案依赖于能够做出二元、真或假决策的剧本。当考虑到环境所产生的复杂性和巨大的数据量时,这可能是一个问题。SIEM和SOAR技术的设计根本不是为了评估这个数据量,cf防御ddos,更不用说它们可能需要数月或数年的时间来实现。随着公司的扩张,保持网络和端点安全的复杂性也在增加,唯一能跟上这种增长的方法就是整合能够适当扩展的软件和机器。为了解决这个问题,Respond Software为Respond Analyst提供了一个基于软件的解决方案,它通过复杂的决策推断出哪些系统在攻击中受到影响,这些系统的严重性,并确定事件的优先级以进行补救。看看它是如何工作的。参加10月15日的现场演示,并与我们的安全运营专家交谈。今天就注册!同时,我们汇集了各种资源,展示了如何将决策应用于您的网络安全计划。下载白皮书"连接点:我们如何做出决定"观看视频"什么是综合推理?"访问响应分析页面