CSO關注 企業安全遭受攻擊的15個跡象

2021-09-22 23:32:17 字數 1854 閱讀 2414

本文講的是 :cso關注:企業安全遭受攻擊的15個跡象, 【it168 編譯】不尋常的賬戶行為、奇怪的網路模式、不明原因的配置更改等都可能表明潛在的攻擊。為了更快地發現資料洩露事故,安全專家可以檢查其it環境中的異常活動。這些不尋常的活動通常可以幫助企業更快地發現系統上的攻擊活動,以防止最終的資料洩露事故的發生,或者至少在最初階段阻止攻擊。

下面是企業應該關注的15個跡象,這些跡象可能表明潛在的攻擊活動:

1、不尋常的出站網路流量

也許最大的跡象就是不尋常的出站網路流量。

「常見的誤解是網路內部的流量都是安全的,」algosec公司高階安全戰略家sam erdheim表示,「檢視離開網路的可疑的流量,我們不僅要關注進入網路的流量,而且還要注意出站流量。」

對於現代攻擊,企業很難阻止攻擊者進入網路,因此,企業更應該關注出站流量。netiq公司解決方案戰略主管geoff webb表示:「所以,最好的辦法是檢查網路內部的活動,以及檢查離開網路的流量。受攻擊的系統通常會呼叫命令控**務器,你可以密切關注這種流量,以阻止攻擊。」

2、特權使用者賬戶活動異常

在精心策劃的攻擊中,攻擊者要麼提公升他們已經攻擊的賬戶的許可權,要麼使用攻擊的賬戶進入更高許可權的其他賬戶。從特權賬戶檢視不尋常的賬戶行為不僅能夠發現內部攻擊,而且還可以發現賬戶被控制。

webb表示,「特權使用者行為的變化可能表明其他人正在使用該賬戶來攻擊你的網路,企業應該關注賬戶變化,例如活動時間、訪問的系統,訪問的資訊的型別或數量。」

3、地理異常

無論是否是通過特權賬戶,登入和訪問中的地理異常也可以表明攻擊者正在試圖從很遠的地方進行攻擊。例如,企業發現正在與沒有業務往來的國家之間的流量往來時,應該進行調查。

threattrack security公司安全內容管理主管dodi glenn表示,同時,當賬戶在短時間內從世界各地不同ip登入,這可能是攻擊的跡象。

4、登入異常和失敗

登入異常和失敗可以提供很好的線索來發現攻擊者對網路和系統的探測。

beachhead solutions公司產品專家scott pierson表示,多次登入失敗也可能標誌著攻擊的發生,檢查使用不存在的使用者賬戶的登入,這通常表明有人試圖猜測使用者的賬戶資訊以及獲得身份驗證。

同樣的,在下班時間嘗試獲得成功登入也可能表明,這不是真正的員工在訪問資料。企業應該對此進行調查。

5、資料庫讀取量激增

當攻擊者入侵企業並試圖滲出資訊時,你可能會發現資料儲存中的變化。其中之一就是資料庫讀取量激增。瞻博網路首席軟體架構師kyle adams表示:「當攻擊者試圖提取完整的信用卡資料時,他會產生巨大的讀取量,這肯恩比你通常看到的信用卡讀取高出很多。」

6、html響應大小

adams還表示,如果攻擊者使用sql注入來通過web應用程式提取資料的話,攻擊者發出的請求通常會包含比正常請求更大的html響應。

他表示:「例如,如果攻擊者提取全部的信用卡資料庫,那麼,對攻擊者的單個響應可能會是20mb到50mb,而正常響應是200kb。」

7、大量對相同檔案的請求

攻擊者需要進行大量的試驗和犯錯才能發動攻擊,他們需要嘗試不同的漏洞利用來找到乙個入口。當他們發現某個漏洞利用可能會成功時,他們通常會使用不同的排列組合來啟動它。

adams表示,「因此,他們攻擊的url可能在每個請求上會有所改變,但實際的檔名部分可能會保持不變,你可能會看到單個使用者或ip對『join.php』進行500次請求,而正常情況下,單個ip或使用者最多隻會請求幾次。」

原文發布時間為:2023年7月6日

原文標題 :cso關注:企業安全遭受攻擊的15個跡象

CSO關注 企業BYOD管理難題的五點思考

本文講的是 cso關注 企業byod管理難題的五點思考,it168 編譯 byod所衍生出來的安全問題一直以來都是企業cso們頭疼的話題。如何有效解決byod所帶來的安全問題業界也一直在研究。本篇文章中我們總結出了五種應對byod的辦法和策略,希望對您和您的企業有所幫助。1 對企業及員工持續的安全教...

網域名稱遭受攻擊時的處理流程

目前網路上ddos,dns劫持的情況越來越多,並且攻擊的量也越來越大。我們 往往碰到網域名稱攻擊時都會手足無措,我這裡以cloudxns這個第三方解析平台為例給各站長講解一下如果碰到網域名稱攻擊怎麼處理的流程 cloudxns系統中接管的網域名稱遭受攻擊時,作為網域名稱伺服器,cloudxns的系統...

遭受勒索攻擊之前,企業最高管理層都表示不會支付贖金

radware 2016年應用及網路安全調查還發現,遠端辦公 物聯網和可穿戴裝置的安全問題也日益增多 如果遭受到網路攻擊,有多少企業會支付贖金?這可能取決於他們是否已經成為了勒索軟體的受害者。在美國和英國未遭受到勒索攻擊的企業中,約有84 的企業資訊科技高管表示,他們不會支付贖金。然而,根據radw...