0x00 使用者對使用者活動
1. 描述:
雖然full-packet檢測是安全架構很重要的乙個部分,但是full-packet檢測不是被設計成監控網路內部的所有主機間通訊的流量。網路中捕獲每個包的流量所產生的體積會嚴重消弱網路的效率和網路流量。這種情況迫使安全架構師限制網路內部「可見度」的深度。一些使用者產生的流量,例如往外的網際網路流量,會經過檢查點。然而使用者-使用者的流量通常是有限的。
插圖1
2. 解決方案:
netflow可以增加通過訪問層的使用者-使用者的可見度,而且不影響網路效能。因為netflow的資料拼成乙個flow的一小部分,這裡有其路由到收集點進行分析而少得很多的效能開銷。
增加使用者對使用者的可見度,對於了解惡意軟體怎麼通過網路傳播尤為重要。基於行為的分析對於檢測惡意軟體相關聯的流量patterns非常有用。
0x01 特殊的網路裝置
1. 描述
endpoint終端安全客戶端可以執行在一些流行的桌面和伺服器作業系統上。專業裝置:例如多功能印表機、pos終端、atm取款機以及物聯網裝置等,很少部署endpoint終端安全客戶端。這些系統上可能存在作業系統的所有型別的漏洞。同時嵌入式裝置也可能包含一些有漏洞的軟體例如web伺服器等,這些都可能是你網路中薄弱的環節。沒有了endpoint終端安全客戶端,這些網路裝置將會變成另外乙個網路中的黑暗地帶。結果是黑客可以很容易的利用這些威脅入侵到你的組織。
插圖2
2. 解決方案:
基於netflow的分析可以有效的使特殊網路裝置增加」可見度」,而無需中斷主要裝置。使用異常流量檢測方式可以解決這個問題。
0x02 加密流量
1. 描述
加密通訊是另外乙個在網路中的黑暗區域。越來越多的c&c伺服器和被入侵的裝置的指揮和控制進行加密,以避免被發現。面臨的挑戰是:你怎麼發現不知道內容是什麼的情況下發現加密流量中的威脅。
插圖3
2. 解決方案
真實的應用行為分析案例是,在乙個典型的網路中,資料洩露可以使用基於異常行為的檢測行動。通常,乙個內部主機被作為基線通常只與內部伺服器通訊,但是突然開始與外部伺服器傳輸大量的資料。這個時候就要引起注意了。
0x03 遠端網路
1. 簡介
因為跨網路辦公地點的增加,安全相關的成本也迅速增加。你必須檢測廣域網的流量或者你必須在邊界實現本地檢測裝置。即使在遠端辦公地點部署了邊界檢測,你可能依然面對有限的使用者到使用者的活動」可見度「。
2. 解決方案
通過使用wan和中心收集節點的backhaule(回程鏈路),可以解決這個黑暗區域。一旦攻擊者滲透到網路是,他們可能去橫向滲透本地網路分段中的其他主機。如果沒有netflow的視覺化,管理員可能錯過這個活動。
0x04 內部資料中心
1. 描述
為了解決大資料量的流量從東向西快速經過最深層的資料報檢測裝置,安全架構師通常把深度包檢測部署在資料中心的邊界上。資料中心可見度的問題就是獲得一台主機上兩台虛擬機器之間的資料具有挑戰。
2.解決方案
虛擬機器視覺化問題既然可以通過netflow來解決。大多數的現代的hypervisors支援netflow流量監測。
0x05 參考
1. advanced threat detection: gain network visibility and stop malware
2. cisco cyber threat defense 2.0 design guide
4. wan回程鏈路
Git的5個區域作用簡析
圖是從別處引用的。該圖很好的解析了git的5個分割槽之間的轉換關係,下面簡單描述自己的理解 remote repository 遠端倉庫。存放在遠端伺服器 例如github 上的倉庫,沒有在本地。origin remote name 本地遠端倉庫。本地無法修改這個倉庫,只能從遠端伺服器倉庫通過網路進...
社會網路的 5 個神話
這是 information week 專欄作家 nicole ferraro 的一篇文章,講述了社會網路容易讓我們誤以為真的5個觀念,任何時候,當我們熱捧一種技術或趨勢的時候,往往是最容易失去判斷力的時候,這篇文章不是要批評社會網路,只是說明任何被熱捧的東西都有值得我們思考的東西。神話1 我擁有我...
html5中input標籤增加的屬性
1 新增的autocomplete屬性 autocomplete屬性有 3中值 on off和空值 預設狀態下表單的autocomplete處於開啟狀態 效果 出現上次輸入的提示 2 新增的autofocus屬性 效果 使文字框獲得焦點 注意 在同乙個介面中只能有乙個autofocus屬性 3 新增...