如果攻击者依赖一件事,那就是进入组织内部并避免检测。发现网络内部的恶意活动类似于在一堆大头针中找到一根特定的针。组织努力获得内部“东西”流量的可见性以进行威胁检测。有些首先在网络内部部署IDS以检测恶意流量,而另一些则使用内部防火墙阻止它。UEBA等解决方案试图分析收集到的数据并识别可疑或恶意活动,而EDR解决方案则锁定端点以获得可见性并阻止攻击者立足。这些方法存在误报问题,无需调整即可消除。此外,这些解决方案可以从直接分析中提取实际网络流量,使用其内部机制输出结果。如果目标是内部可见性,为什么不只查看网络流量以捕获数据包并对其进行分析呢?多种安全解决方案捕获和分析网络流量以进行检测、分析和回放。这不仅可以深入了解正在穿越网络的内容,而且还提供了巨大的取证价值,例如完整的标头信息和封装的有效负载。熟练的凭证审查员可以使用足够的数据包捕获(pcap)文件提取二进制文件、命令和其他数据。其中许多解决方案可以即时读取和标记pcaps,并在通过匹配预加载或自定义签名检测到潜在恶意流量时发出警告。虽然它们也存在误报警报问题,但它们提供的功能允许分析师搜索PacketCaptures数据存储和模式匹配特定IoC,或重放流量以检查发生了什么。例如,分析人员可以重放会话数据并观察攻击者在通过RDP访问的受感染系统上做了什么。我将此工具用作法医鉴定的一部分,发现它非常有用。但是,查找和解释pcap数据并提取相关信息以进行调查需要经验和良好的分析技能。此外,就像大数据分析一样,这些解决方案需要大量的存储容量来容纳足够多的pcap文件,以占用足够长的调查时间。当考虑在任何给定时刻有多少流量通过网络,并且这些解决方案必须捕获足够的pcaps以最有效地覆盖调查时,很快就会发现存储是限制因素。希望重放两周前流量的分析师必须希望该解决方案具有可用的数据包捕获功能。虽然SOC可以设计解决方案以丢弃不相关的数据,但过滤量限制了保真度分析师可以使用的数据。例如,过滤掉OT网段上的流量可以节省存储空间,但SOC无法看到那些精明的攻击者可以长期隐藏的网段。人们总是可以在存储容量上花费更多或将其卸载到云端,但额外的好处只是为pcap存储添加更多SAN容量并将千兆字节的数据转储到云端您需要下载它进行分析。它为SOC提供的可见性非常好。毕竟,人们通过查看实际网络流量来发现可疑活动,但其技能和存储要求使其非常耗费资源。在完整的网络流量和分析依赖于分析师主动寻找威胁以找到不良行为者的情况下,欺骗平台采取为其设置陷阱的方法。想象一下,创建一个带有诱饵和其他欺骗性资产(与生产端点、服务器、设备、应用程序、服务或数据相匹配)的“暮光之城”网络。诱饵环境的价值在于,由于它没有生产价值,对正常操作来说是不可见的,所以没有人可以与之交互。与诱饵的任何交互都是错误配置、违反策略或未经授权的发现活动的结果,因此无需担心误报。有了足够多的真实诱饵资产,一旦攻击者使用诱饵系统、服务、应用程序或数据,欺骗平台就会提醒其存在并记录其活动。诱饵捕获攻击者在诱饵的磁盘、内存空间和网络接口上的所有活动,以捕获丢失的文件、识别内存中的临时网络连接和进程并生成pcaps。该平台使这些可用于离线分析,这意味着分析师可以利用SOC使用的相同分析工具来分析来自欺骗平台的取证工件和数据包捕获。此外,由于欺骗平台提供了恶意活动的正面记录,因此无需梳理不相关的pcaps。
