与场景结合的威胁情报应用,是如何实践的?
时间:2022-04-23 12:09:01 | 来源:行业动态
时间:2022-04-23 12:09:01 来源:行业动态
我们以生产网场景下的威胁情报应用为例来探讨这一问题。生产网场景中有一个典型现象:服务器对外连接域名/主机和下载的行为,要比办公网中的同样行为可疑度更高一些。
比如,办公网中个人和公司的设备对外访问域名/网站是十分常规的操作,但是如果这种连接行为在严格控制互联网访问的机房或数据中心里出现,就很有必要查一查是不是被攻击者远程控制、变成了所谓的肉鸡。而微步在线的出站威胁情报正好可以帮助查验连接的域名/网站是否安全,这样,安全人员就能更快地定位出失陷的服务器。
再比如,生产网中的一台服务器突然开始下载不明程序,这很有可能是木马攻击,此时就要引入可疑URL检测来查看服务器是否访问了恶意网站,同时再根据TDP-S提供的黑客木马特征检测来进一步判定。据了解,微步在线的黑客狩猎系统追踪全球100余个黑客团伙,测试提取3000余条木马通信协议特征并将规则特征用于检测。
这些典型场景并不是拍脑袋想出来的,而是研究黑客攻击链的结果。黄雅芳举了一个很典型的例子:比如黑客利用WebLogic漏洞操纵服务器来挖矿,在这个过程中会有很多代表性的行为,首先黑客通过漏洞攻陷服务器,会访问恶意的IP下载挖矿的工具,这些访问行为和下载行为就会被TDP-S检测,而且服务器最终被用来挖矿的时候,会去连接矿池,这也是一种典型的会被TDP-S检测到的行为。这一连串的行为会被TDP-S完整呈现出来,企业安全人员就能对威胁看得更深、更远,能够快速了解黑产最新的进攻模式,从而更有效地进行防范。
在线咨询
