CSO關注企業安全遭受攻擊的15個跡象

本文講的是 :cso關注：企業安全遭受攻擊的15個跡象, 【it168 編譯】不尋常的賬戶行為、奇怪的網路模式、不明原因的配置更改等都可能表明潛在的攻擊。為了更快地發現資料洩露事故，安全專家可以檢查其it環境中的異常活動。這些不尋常的活動通常可以幫助企業更快地發現系統上的攻擊活動，以防止最終的資料洩露事故的發生，或者至少在最初階段阻止攻擊。

下面是企業應該關注的15個跡象，這些跡象可能表明潛在的攻擊活動：

1、不尋常的出站網路流量

也許最大的跡象就是不尋常的出站網路流量。

「常見的誤解是網路內部的流量都是安全的，」algosec公司高階安全戰略家sam erdheim表示，「檢視離開網路的可疑的流量，我們不僅要關注進入網路的流量，而且還要注意出站流量。」

對於現代攻擊，企業很難阻止攻擊者進入網路，因此，企業更應該關注出站流量。netiq公司解決方案戰略主管geoff webb表示：「所以，最好的辦法是檢查網路內部的活動，以及檢查離開網路的流量。受攻擊的系統通常會呼叫命令控**務器，你可以密切關注這種流量，以阻止攻擊。」

2、特權使用者賬戶活動異常

在精心策劃的攻擊中，攻擊者要麼提公升他們已經攻擊的賬戶的許可權，要麼使用攻擊的賬戶進入更高許可權的其他賬戶。從特權賬戶檢視不尋常的賬戶行為不僅能夠發現內部攻擊，而且還可以發現賬戶被控制。

webb表示，「特權使用者行為的變化可能表明其他人正在使用該賬戶來攻擊你的網路，企業應該關注賬戶變化，例如活動時間、訪問的系統，訪問的資訊的型別或數量。」

3、地理異常

無論是否是通過特權賬戶，登入和訪問中的地理異常也可以表明攻擊者正在試圖從很遠的地方進行攻擊。例如，企業發現正在與沒有業務往來的國家之間的流量往來時，應該進行調查。

threattrack security公司安全內容管理主管dodi glenn表示，同時，當賬戶在短時間內從世界各地不同ip登入，這可能是攻擊的跡象。

4、登入異常和失敗

登入異常和失敗可以提供很好的線索來發現攻擊者對網路和系統的探測。

beachhead solutions公司產品專家scott pierson表示，多次登入失敗也可能標誌著攻擊的發生，檢查使用不存在的使用者賬戶的登入，這通常表明有人試圖猜測使用者的賬戶資訊以及獲得身份驗證。

同樣的，在下班時間嘗試獲得成功登入也可能表明，這不是真正的員工在訪問資料。企業應該對此進行調查。

5、資料庫讀取量激增

當攻擊者入侵企業並試圖滲出資訊時，你可能會發現資料儲存中的變化。其中之一就是資料庫讀取量激增。瞻博網路首席軟體架構師kyle adams表示：「當攻擊者試圖提取完整的信用卡資料時，他會產生巨大的讀取量，這肯恩比你通常看到的信用卡讀取高出很多。」

6、html響應大小

adams還表示，如果攻擊者使用sql注入來通過web應用程式提取資料的話，攻擊者發出的請求通常會包含比正常請求更大的html響應。

他表示：「例如，如果攻擊者提取全部的信用卡資料庫，那麼，對攻擊者的單個響應可能會是20mb到50mb，而正常響應是200kb。」

7、大量對相同檔案的請求

攻擊者需要進行大量的試驗和犯錯才能發動攻擊，他們需要嘗試不同的漏洞利用來找到乙個入口。當他們發現某個漏洞利用可能會成功時，他們通常會使用不同的排列組合來啟動它。

adams表示，「因此，他們攻擊的url可能在每個請求上會有所改變，但實際的檔名部分可能會保持不變，你可能會看到單個使用者或ip對『join.php』進行500次請求，而正常情況下，單個ip或使用者最多隻會請求幾次。」

原文發布時間為：2023年7月6日

原文標題 :cso關注：企業安全遭受攻擊的15個跡象

CSO關注企業安全遭受攻擊的15個跡象

CSO關注企業BYOD管理難題的五點思考

網域名稱遭受攻擊時的處理流程

遭受勒索攻擊之前，企業最高管理層都表示不會支付贖金

CSO關注 企業安全遭受攻擊的15個跡象

CSO關注 企業BYOD管理難題的五點思考

網域名稱遭受攻擊時的處理流程

遭受勒索攻擊之前，企業最高管理層都表示不會支付贖金

相關推薦

CSO關注企業安全遭受攻擊的15個跡象

CSO關注企業BYOD管理難題的五點思考