隨著世界變得更加加密，數(shù)據(jù)包仍然是數(shù)據(jù)泄露調(diào)查的關(guān)鍵，所以我們現(xiàn)在需要用新的方式來查看數(shù)據(jù)包元數(shù)據(jù)而不是實際數(shù)據(jù)包內(nèi)容。使用解密密鑰、中間盒或端點進行中斷和檢查會帶來性能和隱私挑戰(zhàn)。

但是，數(shù)據(jù)包仍然可以解鎖強大的線索，即使以加密的方式，以檢測和重建網(wǎng)絡(luò)攻擊的時間線，即使加密數(shù)據(jù)也是這樣。虹科LiveAction使用一種稱為加密流量分析或ETA的技術(shù)，該技術(shù)依賴于三個級別的數(shù)據(jù)包數(shù)據(jù)來推斷流內(nèi)部發(fā)生的事情。

您可以從數(shù)據(jù)包中獲取三種不同級別的豐富數(shù)據(jù)

1.標頭信息或 NetFlow v5

查看主機何時與其他人通信、源 IP、目標 IP、源端口、目標端口、使用的協(xié)議、數(shù)據(jù)包中的字節(jié)數(shù)、時間和持續(xù)時間，以及這些之間有效負載的連接類型。

2.來自加密的元數(shù)據(jù)

分析查看加密元數(shù)據(jù)的證書和參數(shù)，觀察者可以分析通信通道本身的特征，例如密碼強度和類型、服務(wù)器標識以及連接是否已降級。所有這些特征都是可用的。它通過將加密分析技術(shù)與傳統(tǒng)流量分析和機器學(xué)習(xí)相結(jié)合來檢測該連接中的復(fù)雜模式，從而提供安全性。

3.數(shù)據(jù)包動態(tài)

數(shù)據(jù)包動態(tài)是描述數(shù)據(jù)包特征的數(shù)據(jù)。它觀察數(shù)據(jù)包的大小、到達間隔時間以及這些不同類型連接之間的到達時間的關(guān)系，以便在看不到有效負載的情況下對內(nèi)容進行推斷。

所有這些數(shù)據(jù)源都提供可見性，而無需解密有效負載。

接下來讓我們看看數(shù)據(jù)包如何幫助您識別攻擊者行為和常見的網(wǎng)絡(luò)攻擊。

1

暴力破解嘗試

在進行暴力破解嘗試時，我們希望檢測遠程服務(wù)使用情況以及某人連接到 RDP 或 SSH 等應(yīng)用程序的頻率。我們調(diào)查這些遠程連接中涉及多少字節(jié)和數(shù)據(jù)包、正在進行哪些文件傳輸以及這些文件將傳輸給誰。收集到的其他信息包括新相鄰主機上的新鏈接和文件傳輸。此攻擊的基線指標包括掃描、重要的二進制傳輸以及指示惡意軟件感染正在傳播的行為復(fù)制。

RDP 和 SSH 都有多次握手。根據(jù)這些握手中的數(shù)據(jù)包，我們可以檢測它是成功還是失敗。如果發(fā)生暴力破解嘗試，則引用跨不同流的成功或失敗連接的歷史數(shù)據(jù)包數(shù)據(jù)的能力可以指向初始訪問發(fā)生的時間。實際上，情況可能會以這種方式進行：密碼失敗的次數(shù)過多，該 IP 被標記，并且從該 IP 成功建立連接。

這種可見性使 IT 團隊能夠針對這些情況創(chuàng)建具有更高優(yōu)先級的目標警報。雖然數(shù)據(jù)包動態(tài)看不到用戶名或密碼，但元數(shù)據(jù)揭示了系統(tǒng)在響應(yīng)成功或失敗嘗試時的反應(yīng)行為。

2

網(wǎng)絡(luò)釣魚攻擊

數(shù)據(jù)包動態(tài)和機器學(xué)習(xí)可以幫助最終用戶檢測網(wǎng)絡(luò)釣魚嘗試。許多網(wǎng)絡(luò)釣魚計劃基于URL和域來讓人們點擊網(wǎng)絡(luò)釣魚電子郵件。我們的方法著眼于進入的網(wǎng)絡(luò)流量。釣魚網(wǎng)站的數(shù)據(jù)包動態(tài)簽名與互聯(lián)網(wǎng)上的大多數(shù)傳統(tǒng)網(wǎng)站明顯不同。因此，數(shù)據(jù)包動態(tài)驅(qū)動的 ML 模型可以區(qū)分這兩者。此模型是通過收集和比較數(shù)千個已知網(wǎng)絡(luò)釣魚站點的示例來構(gòu)建的，這些站點已針對已知的安全網(wǎng)站進行了人工驗證。

Facebook或銀行的近似匹配像素與人眼無法區(qū)分。機器學(xué)習(xí)著眼于數(shù)據(jù)包動態(tài)和到達時間的差異、不同的下載模式和鍵盤交互。虹科LiveAction創(chuàng)建了一個監(jiān)督模型，該模型訓(xùn)練已知的網(wǎng)絡(luò)釣魚數(shù)據(jù)，并在新數(shù)據(jù)進入時將其應(yīng)用于新數(shù)據(jù)，以尋找檢測。

3

命令和控制攻擊 （C2）

在字節(jié)中查找意外加密以指示命令和控制攻擊。命令和控制攻擊可能會嘗試利用開放和現(xiàn)有端口，如端口 80，傳統(tǒng)上未加密的 HTTP 大多數(shù)在防火墻上開放。如果特定惡意軟件使用加密命令和控制，則它可能會使用端口 80。我們尋找特定協(xié)議的特征熵評分，以幫助檢測這是否按預(yù)期運行。

端口 443 通常是與 HTTPS 對應(yīng)的加密端口。如今，大多數(shù) Web 流量都通過端口 443，但由于它對防火墻開放，因此一些惡意軟件也會使用它——欺騙機器人。惡意軟件可以通過 443 發(fā)送純文本 HTTP?？偟膩碚f，我們正在尋找錯誤位置的加密和應(yīng)該加密的純文本，并且可以使用數(shù)據(jù)包動態(tài)來檢測這些異常。

4

識別威脅參與者行為

偵察

受感染的主機將使用主動或被動掃描在網(wǎng)絡(luò)中搜索易受攻擊的主機。PCAP允許您查找唯一的主機，異常數(shù)量的主機，端口掃描，IP掃描

橫向移動

當數(shù)據(jù)傳輸?shù)揭资芄舻闹鳈C時，橫向移動開始。文件或惡意軟件已經(jīng)被配置，那么下一個主機就會被感染，斌且對新主機重復(fù)該行為。我們在數(shù)據(jù)包動態(tài)中尋找復(fù)合的重復(fù)行為來識別這種運動。

數(shù)據(jù)采集

有價值的數(shù)據(jù)被傳輸并集中在特定的主機上，為泄露做準備。這通常以“低而慢”的速度執(zhí)行，以避免檢測。受感染的主機將聯(lián)系其他受感染的主機，并將數(shù)據(jù)拉取到暫存點進行外泄?？梢酝ㄟ^數(shù)據(jù)包數(shù)量、字節(jié)數(shù)、文件傳輸、應(yīng)用程序使用情況和主機之間發(fā)送的數(shù)據(jù)等指標來確定變化趨勢。這些結(jié)果可以揭示那些外泄的暫存數(shù)據(jù)。

滲漏

當暫存數(shù)據(jù)導(dǎo)出到網(wǎng)絡(luò)外部的外部方時，會發(fā)生外泄。威脅參與者通常使用標準和自定義通信通道將數(shù)據(jù)發(fā)送到外部主機。可以通過查看數(shù)據(jù)包、字節(jié)、訪問的域數(shù)以及發(fā)送到每個域的字節(jié)數(shù)來識別主機隨時間推移的行為方式。每日傳輸中的更改點可能不會超過單個閾值，但隨著時間的推移，它們將分析數(shù)據(jù)包元數(shù)據(jù)，以提醒組織注意行動中的數(shù)據(jù)外泄以及可能存在的指標。

無論威脅參與者如何發(fā)展，虹科LiveAction 都會跟上步伐，引入創(chuàng)新技術(shù)并使用數(shù)據(jù)包來預(yù)防、檢測和緩解威脅。

今日推薦

虹科網(wǎng)絡(luò)檢測和響應(yīng)（NDR）解決方案——ThreatEye

保護您的整個網(wǎng)絡(luò)——從核心到邊緣再到云

先進的持續(xù)性威脅和武器化漏洞的速度遠遠超過了現(xiàn)在的網(wǎng)絡(luò)防御者，但是傳統(tǒng)的工具總是落后一步，并不能解決這個問題，因此你需要的是一個面向未來的安全解決方案，以此來降低風(fēng)險和責(zé)任。

虹科ThreatEye是一個網(wǎng)絡(luò)檢測和響應(yīng)（NDR）平臺，專為網(wǎng)絡(luò)安全而構(gòu)建。虹科ThreatEye結(jié)合下一代數(shù)據(jù)收集、高級行為分析和流式機器學(xué)習(xí)進行威脅檢測和安全合規(guī)性，不受加密網(wǎng)絡(luò)流量的影響，以此來強化您的網(wǎng)絡(luò)安全策略。

AI驅(qū)動的NDR行為分析

深度數(shù)據(jù)包動態(tài)

跨多供應(yīng)商、多域和多云網(wǎng)絡(luò)環(huán)境的150+數(shù)據(jù)包特征和行為

與數(shù)據(jù)包內(nèi)容無關(guān)

機器學(xué)習(xí)

擴展的深度數(shù)據(jù)包動態(tài)實時分析

專為企業(yè)網(wǎng)絡(luò)安全而打造

加密流量分析

檢測同類產(chǎn)品所遺漏的內(nèi)容

可操作的情報

消除加密盲區(qū)

驗證端到端加密合規(guī)性