기업 보안 공격의 징후는 무엇입니까?

1, 비정상적인 아웃바운드 네트워크 트래픽의 가장 큰 징후는 비정상적인 아웃바운드 네트워크 트래픽일 수 있습니다. AlgoSec 의 선임 보안 전략가인 Sam Erdheim 은 "네트워크를 떠나는 의심스러운 트래픽을 보면 네트워크로 들어오는 트래픽뿐 아니라 나가는 트래픽에도 주의를 기울여야 한다" 고 말합니다.

' 현대공격의 경우 기업이 공격자가 네트워크에 진입하는 것을 막기 어렵기 때문에 기업은 아웃바운드 트래픽에 더 많은 관심을 기울여야 한다.

NetIQ 의 솔루션 전략 책임자인 Geoff Webb 는 "따라서 가장 좋은 방법은 네트워크 내부의 활동과 네트워크를 벗어나는 트래픽을 확인하는 것입니다. 공격을 받는 시스템은 일반적으로 명령 제어 서버를 호출하는데, 이 트래픽을 면밀히 주시하여 공격을 막을 수 있습니다. ' 2, 권한있는 사용자 계정 활동이 비정상적으로 계획적인 공격에서 공격자는 이미 공격한 계정의 권한을 높이거나 공격된 계정을 사용하여 더 높은 권한을 가진 다른 계정에 진입한다. 특권계좌에서 심상치 않은 계정 행위를 보면 내부 공격뿐만 아니라 계정이 통제된다는 것을 알 수 있다.

Webb 는 "권한있는 사용자 행동의 변화는 다른 사람들이 이 계정을 사용하여 네트워크를 공격하고 있음을 나타낼 수 있으며, 기업은 활동 시간, 방문한 시스템, 액세스한 정보의 유형 또는 수와 같은 계정 변화에 주의를 기울여야 합니다. ' 3, 지리적 이상 권한 계정을 통해 로그인 및 액세스의 지리적 예외는 공격자가 먼 곳에서 공격을 시도하고 있음을 나타낼 수 있습니다. 예를 들어, 기업이 업무 왕래가 없는 국가와의 유량을 발견할 경우 조사를 진행해야 합니다.

ThreatTrack Security 의 보안 콘텐츠 관리 책임자인 Dodi Glenn 은 "단기간에 전 세계 여러 IP 에서 계정이 로그인하면 공격의 조짐이 될 수 있다" 고 밝혔다.

4, 로그인 예외 및 실패 로그인 예외 및 실패는 공격자가 네트워크와 시스템을 탐지하는 좋은 단서를 제공합니다.

Beachhead Solutions 의 제품 전문가인 Scott Pierson 에 따르면, 여러 번 로그인 실패도 공격의 발생을 표시하고 존재하지 않는 사용자 계정을 사용하는 로그인을 확인할 수 있습니다. 이는 일반적으로 사용자가 사용자의 계정 정보를 추측하고 인증을 받으려고 한다는 것을 의미합니다.

마찬가지로 퇴근 시간에 성공적으로 로그인을 시도하는 것도 실제 직원이 데이터를 액세스하는 것이 아니라는 것을 나타낼 수 있습니다.

기업은 이에 대해 조사해야 한다.

5, 데이터베이스 읽기 급증공격자가 기업을 침입하여 정보를 유출하려고 할 때 데이터 저장소의 변화를 발견할 수 있습니다.

그 중 하나는 데이터베이스 읽기 급증입니다. 사이버 수석 소프트웨어 설계자인 Kyle Adams 는 "공격자가 전체 신용 카드 데이터를 추출하려고 할 때 엄청난 양의 읽기가 발생하는데, 이는 켄이 일반적으로 보는 신용 카드 읽기보다 훨씬 높다" 고 말했다. "6, HTML 응답 크기 Adams 는 공격자가 SQL 주입을 사용하여 웹 애플리케이션을 통해 데이터를 추출하는 경우 공격자의 요청에는 일반적으로 일반 요청보다 더 큰 HTML 응답이 포함된다고 밝혔다. 는 "예를 들어 공격자가 모든 신용 카드 데이터베이스를 추출하면 공격자에 대한 단일 응답은 2MB ~ 5MB 이고 일반 응답은 2KB 일 수 있습니다. "7, 같은 파일에 대한 많은 요청 공격자들이 공격을 개시하기 위해서는 대량의 실험과 실수가 필요하며, 입구를 찾기 위해 다양한 취약점 이용을 시도해야 한다. 취약점 활용이 성공할 수 있다는 사실을 알게 되면 대개 다른 정렬 조합을 사용하여 시작합니다.

Adams 는 "따라서 그들이 공격하는 URL 은 요청마다 변경될 수 있지만 실제 파일 이름 부분은 변경되지 않을 수 있습니다. 단일 사용자 또는 IP 가' Join.PHP' 에 대해 5 건의 요청을 하는 것을 볼 수 있습니다. 일반적으로 단일 IP 또는 사용자는 최대 몇 번까지만 요청할 수 있습니다. "8, 일치하지 않는 포트 응용 프로그램 트래픽 공격자는 종종 모호한 포트를 사용하여 더 간단한 웹 필터링 기술을 우회합니다.

따라서 애플리케이션이 특이한 포트를 사용하는 경우 명령 제어 트래픽이' 정상' 으로 위장되는 애플리케이션 동작을 나타낼 수 있습니다.

Rook Consulting 의 SOC 분석가인 Tom Gorup 은 "감염된 호스트가 포트 8 으로 통신을 제어하는 명령을 전송하여 DNS 요청으로 위장하는 것을 발견할 수 있습니다. 언뜻 보면 이러한 요청은 표준 DNS 쿼리와 같을 수 있습니다. 그러나 자세히 보면 이러한 트래픽이 비표준 포트를 통과한다는 것을 알 수 있습니다. "9, 의심스러운 레지스트리 또는 시스템 파일에 대한 변경 맬웨어 작성자가 감염된 호스트 내에 장기간 존재하는 방법 중 하나는 레지스트리를 통한 변경입니다. 레지스트리 기반 IOC 를 처리할 때 기준 만들기가 가장 중요한 부분이며, Gorup 는 "일반 레지스트리에 포함되어야 할 내용을 정의하여 기본적으로 필터를 만듭니다.

일반 템플릿에서 벗어나는 변경 사항을 모니터링하고 경고하면 보안 팀의 응답 시간이 향상됩니다. "마찬가지로, 많은 공격자들이 호스트의 시스템 파일 및 구성을 변조했다는 조짐을 보이고 있으며, 기업은 이러한 변경 사항을 검토하여 감염된 시스템을 신속하게 파악할 수 있습니다. 그는 "공격자가 패킷 스니핑 소프트웨어를 설치하여 신용 카드 데이터를 얻을 수 있으며 공격자는 네트워크 트래픽을 볼 수 있는 시스템을 겨냥하여 이 도구를 설치할 수 있다" 고 말했다. 이런 공격을 포착할 가능성은 희박하지만 (목표성이 매우 높기 때문에 이전에는 보지 못했을 수도 있음) 기업은 시스템 변경을 발견할 수 있다. "1, DNS 요청 이상 Palo Alto 의 선임 보안 분석가인 Wade Williamson 에 따르면 기업이 확인해야 할 가장 효과적인 공격 징후는 악의적인 DNS 요청에 의해 남겨진 밀고자의 패턴입니다. 그는 "명령 제어 트래픽은 공격자에게 가장 중요한 트래픽이다. 공격을 지속적으로 관리할 수 있고, 보안 전문가가 쉽게 찾지 못하도록 이러한 트래픽을 보호해야 하기 때문이다. 기업은 공격 활동을 파악하는 데 사용할 수 있기 때문에 이러한 트래픽의 고유한 패턴을 식별해야 한다" 고 말했다. "그는" 특정 호스트의 DNS 요청이 크게 늘어나면 잠재적으로 의심스러운 행동, 외부 호스트의 DNS 요청 패턴 확인, 지리적 IP 및 평판 데이터와 비교, 적절한 필터링에 익숙하지 않아 DNS 를 통한 명령 제어를 완화하는 데 도움이 될 수 있다 "고 말했다. "11, 알 수 없는 시스템 취약성 복구 시스템 복구는 일반적으로 좋은 일이지만, 시스템이 갑자기 경고 없이 복구되면 공격자가 시스템을 잠그고 있어 다른 공격자가 다른 범죄 활동에 사용할 수 없음을 나타낼 수 있습니다. Webb 는 "대부분의 공격자들이 여러분의 데이터를 이용하여 돈을 벌려고 합니다. 물론 다른 사람들과 승리의 열매를 나누기를 원하지 않습니다." 라고 말합니다.

12, 모바일 디바이스 프로필 변경 공격자가 모바일 플랫폼으로 이동함에 따라 기업은 모바일 사용자의 디바이스 구성에서 비정상적인 변경 사항에 초점을 맞추어야 합니다. 또한 일반 어플리케이션의 변경 사항을 검토하여 중개인 공격을 휴대하거나 사용자가 로그인 자격 증명을 누설하도록 유도할 수 있는 프로그램으로 교체해야 합니다.

Marble Security 의 설립자 겸 CIO 인 Dave Jevans 는 "기업이 제공하는 것이 아니라 호스팅된 모바일 장치가 새 프로필을 얻는다면 사용자의 장치와 해당 기업 로그인 자격 증명이 감염되었을 수 있습니다. 이러한 프로필은 낚시 공격이나 작살식 낚시 공격을 통해 모바일 장치에 설치될 수 있습니다. "13, 데이터가 잘못된 위치에 있음 EventTracker 의 Ananth 에 따르면 공격자는 일반적으로 침투를 시도하기 전에 시스템의 수집 지점에 데이터를 배치합니다. 갑자기 기가비트급 정보와 데이터가 잘못된 위치에 있고 귀사에서 사용하지 않는 압축 형식으로 보면 공격의 존재를 알 수 있습니다.

일반적으로 파일이 특이한 위치에 있을 경우 기업은 데이터 유출 사고가 임박했음을 나타낼 수 있으므로 엄격한 검토를 수행해야 합니다.

HBGary 는 정보 책임자인 Matthew Standart 를 위협하고 있다. "휴지통의 루트 폴더와 같은 이상한 위치의 파일에서는 Windows 를 통해 발견하기는 어렵지만, 세심하게 만든 지시자로 찾을 수 있다. "14, 비인간적 행동에 대한 웹 트래픽 Blue Coat 의 위협 연구 책임자인 Andrew Brandt 는 정상적인 인간 행동과 일치하지 않는 웹 트래픽이 스니핑 테스트를 통과하지 않아야 한다고 밝혔다. 그는 "어떤 상황에서 다른 사이트의 2 개 또는 3 개의 브라우저 창을 동시에 열 수 있습니까? 서로 다른 클릭 사기 맬웨어에 감염된 컴퓨터는 단기간에 대량의 웹 트래픽을 생성할 수 있습니다. 예를 들어, 잠금 소프트웨어 정책이 있는 엔터프라이즈 네트워크에서는 한 사람당 하나의 브라우저 유형만 사용할 수 있습니다. 분석가는 사용자가 기업에서 허용하지 않는 브라우저 유형이나 존재하지 않는 버전을 사용하고 있음을 나타내는 웹 세션을 찾을 수 있습니다. "15, DDoS 공격 활동의 조짐 분산 서비스 거부 공격 (DDoS) 은 공격자가 연기탄으로 다른 더 나쁜 공격을 은폐하는 경우가 많다.

느린 네트워크 성능, 웹 사이트 사용 불가, 방화벽 장애 조치, 백엔드 시스템이 영문도 모른 채 최대 용량으로 작동하는 등 DDoS 의 징후를 발견한 기업은 이러한 표면적인 문제만 걱정해서는 안 됩니다.

Corero Network Security 의 CEO 인 Ashley Stephenson 은 "과부하 주류 서비스 외에도 DDoS 공격은 일반적으로 IPS/IDS 또는 SIEM 솔루션과 같은 보안 보고 시스템을' 분쇄' 하여 공격자를 이식할 수 있다

따라서 모든 DDoS 공격은 관련 데이터 유출 활동의 징후로 간주되어야 합니다.

上篇: Jinghua Online School이 폐쇄된 후에도 이전에 구매한 강좌를 계속 수강할 수 있나요? 보장된 강좌를 구매했지만 시험에 합격하지 못했습니다. 下篇: 무슨 쌀이 좋아요?