云盾_韩国高防vps_免费试用
DDOS
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
寒冰云联
2021-02-21 15:35

在本系列之前的帖子中,我们了解了不同类型的内幕人士,包括粗心的、妥协的和恶意的内幕人士。这篇文章探讨了Imperva CounterBreach在识别内部威胁造成损害之前所起的关键作用。安全主管告诉McAfee首席技术官兼首席科学家埃里克·科尔(Eric Cole)说,“他们几乎所有的安全事件都来自内部。”Imperva 2016年度顶级网络安全趋势支持了这一观点,将内部威胁的上升列为2个总体威胁。Imperva是建立在所有计算机都可能受到危害的基础上的,企业的重点应该是保护其数据。Imperva SecureSphere可以跟踪对数据库、文件和SharePoint服务器的访问,以及如何通过服务器的应用程序访问这些服务器。它与目录服务交互,了解您的用户,查看哪些用户正在执行什么活动,并审核活动。这使SecureSphere全面了解了您的数据发生了什么。它还能够阻止未经授权的访问,并对可疑或有问题的活动发出警报。SecureSphere可以生成大量的审计数据、警报和事件。即使使用最健壮的平台,在几十万甚至数百万次的解析过程中辨别一个事件是否是关键的几乎是不可能的。根据定义,内部人员使用合法凭证访问您的网络和资源。在这种情况下,挑出非法访问数据是一项挑战,但同时也是防止严重违规的关键。Brian Krebs报告说,“调查人员认为目标入侵的来源可以追溯到Target向位于宾夕法尼亚州夏普斯堡的一家供暖、空调和制冷公司Fazio Mechanical提供的网络证书。”这里的消息来源是一家目标承包商,但这家供应商确实有正当理由进入他们的网络。关于目标漏洞,这篇晦涩的文章指出,“目标公司的安全团队审查了——并忽略了——来自威胁检测工具的关于网络上发现的未知恶意软件的紧急警告。”然后又提出了一个问题:“是什么原因导致目标公司的安全团队忽视了警报?”谢克里特的拉夫通过电子邮件说:“用两个词来回答:‘可行动的情报’。”以今天的检测数据量来看,仅仅发出警报是不够的。”因此,虽然针对这一可疑活动的安全事件已经产生,但安全团队显然认为该活动没有构成足够的风险,不值得立即关注。这是一个常见的场景,ddos防御为什么那么贵,IT团队可能会看到用户访问了特定的服务器,但是没有上下文,不知道访问了什么(数据),或者他们是如何访问的,进一步调查的动力或紧迫性根本就不存在。把它想象成一张灰度照片,服务器安全,缺少吸引眼球所需的颜色。今天,组织通过SIEM将这些大量事件发送到用户行为分析(UBA)工具,试图添加一些颜色并给出优先级。UBA工具分析事件,可以绘制出网络中的横向移动,试图识别可疑的东西,并为用户建立行为档案。但最关键的信息,即访问了哪些数据、如何访问这些数据以及访问了多少数据,仍然不见踪影。因此,使用UBA工具,识别任何用户数据访问活动的真实风险的能力(例如,如果敏感数据以可疑的方式被访问或处理不当)可能是未知的。反击战有什么不同CounterBreach使用机器学习来建立一个典型用户数据访问的基线,然后寻找偏离规范的关键偏差。与标识导致登录的活动的UBA解决方案不同,SecureSphere不仅可以看到登录,还可以看到访问的数据。SecureSphere还可以对数据资产进行分类,这样安全团队也可以查看访问了哪些数据。此外,高防cdn防御,它还将查看哪些应用程序正在用于访问数据,以及这些应用程序如何连接到数据库。例如,CounterBreach跟踪何时使用服务帐户而不是用户(域)帐户访问数据库。这可能表示用户试图隐藏其操作。使用服务帐户通常会绕过审计跟踪,这意味着几乎不可能确定发生了什么。看看涉及恶意软件的传统漏洞,如果一个包含信用卡数据的数据库在SecureSphere之后,DDOS防御发展现状,CounterBreach就会看到恶意软件伪装成合法用户的实际行为。CounterBreach在数据库连接的上下文中执行所有这些操作,以及与此连接相关的因素。CounterBreach通过跟踪诸如用户是谁、他们到底在访问什么、他们如何访问、他们在组织中的角色以及其他行为指标等因素,为连接周围的环境构建一个行为基线。然后,它使用这个基线来判断事件,并识别与基线相比行为是正常的还是异常的,如果是异常的,就可以跟踪事件前后发生的事情。反渗透的优势之一是Imperva拥有数据监控层,我们对此非常了解,并且开发该层的目的是在产品之间实现无缝集成。这使我们能够通过内部研究和开发,包括在需要时对SecureSphere端进行更改,不断改进CounterBreach学习引擎。例如,这有助于在新的攻击方法被发现后适应它们。附加攻击向量反突袭还使Imperva能够扩展我们的业务范围,linux如何防御ddos,以应对更多的攻击载体。例如,在我们关于粗心内幕人士的帖子中,我们描述了一位会计师如何将敏感的excel电子表格复制到Dropbox中,以便他们在度假时工作,但“云端人”攻击如何将敏感数据置于风险之中。CounterBreach与我们的云访问安全代理(CASB)解决方案Imperva Skyfence集成。除了Salesforce、Microsoft 365和其他SAAS产品外,Skyfence还用于监控用户对Dropbox和Google Drive等云应用程序的访问。直到最近,这些组织都对这项活动视而不见,它与CounterBreach集成在一起,这样安全团队就可以在一个界面中看到受保护资产的全貌,包括数据库、文件服务器、端点和云应用程序,如图所示。总之,了解各种内部风险有助于我们了解在用户行为中要寻找的模式。拥有正确的工具来识别异常行为可能是不同的:周末回家,长时间工作以控制客户的个人数据被黑客窃取或公司的商业机密被竞争对手窃取。有关CounterBreach如何保护企业数据不受受到危害、恶意和粗心的内部用户的影响的一些示例,请参阅Imperva CounterBreach调查结果的内幕独家新闻。