社区编辑申请
注册/登录
威胁检测:IOC只是基础 IOB才是王道
安全 应用安全
具体到选择IOC还是IOB,当然不是择其一,而是都要用。IOC涵盖基本的安全需求,而IOB则用于满足更高的安全需求。

基于入侵指标(IOC)的检测已经是业内常规,然而,基于行为的检测方法似乎才是未来。下面我们来比较一下这两种检测方法的不同,以判断强调其中一种是否会更具价值。

专业人士应该都知道“痛苦金字塔”,它显示了各种攻击指标与攻击(检测)难度之间的关系。金字塔的下半部分由哈希值、IP地址和域名(这三者统称为IOC)组成,如果检测到它们,攻击难度并没有明显增加,或者说痛苦的程度很低。

痛苦程度自底往上分别为:无所谓、小意思、很简单、有困难、很困难、太难了

在真实的场景中,攻击者可能会故意使用IOC轮番轰炸检测系统,以掩盖真正的攻击手段。但TTP(战术、技术和流程)才是最高级的攻击手段。如果安全运营中心(SOC)能够同时识别IOC和IOB(行为指标),无疑可以最大限度的降低入侵成功的概率。

威胁追踪(狩猎)

有很多方法可以成功地执行威胁狩猎,最常见的两个分支是主动追踪和被动追踪。基于情报的搜索偏向于被动模式,其中来自情报共享平台的数据构成了进一步调查的基础。检测规则来源于痛苦金字塔的下半部分,域名、哈希、IP地址、网络或主机特征,然后与威胁情报(也就是说,别人发现过类似的攻击)匹配。

相反,积极主动的方法是基于行为。输入数据包括攻击指标(IoA)、行为指标(IOB)和TTP。基于UEBA的假设,可检测攻击是否正在发生,并且这种检测尽可能接近实时检测。如果能提供基于行为的威胁追踪(狩猎),无疑会大获欢迎。编者注:IoA是指正在发生的行为指标,IOC则是指已经发生的入侵指标。

基于入侵指标(IOC)的检测

IOC不仅仅包含哈希、IP地址和域名,还有很多可以作为取证的数据,帮助于安全分析师监测系统是否存在潜在恶意活动的迹象,如:

  • HTML响应包大小
  • 异常DNS请求
  • 计划外系统补丁
  • 突然的系统文件更改
  • 数据库读取量增加
  • DDoS迹象(过度请求)
  • 不匹配的端口应用程序流量
  • 访问外网的异常流量
  • 本不该存在的数据集

入侵指标有着危险信号的作用,辅助检测攻击的早期迹象。然而,仅仅有一个常见IOC的静态列表,并在此基础上定期运行检测规则是不够的。网络攻击的复杂性不断增长,因此必须跟踪新出现的指标,并确保适当的检测规则到位。

一个新的IOC既可能简单的像元数据中的某个元素,也可能复杂如一段注入的代码,而这些代码处于数以PB计且不断流动的日志数据中,可以想象它识别起来的困难程度。网络安全专业人员需要寻找各种IOC之间的关联性,分析并跟踪攻击前后的事件,以形成有效的检测策略。

基于行为的检测(IOB)

虽然IOC很适合进行回溯性分析,但这些指标的寿命很短,SOC分析人员希望依靠的不仅仅是之前的攻击证据,因为这些攻击在检测到后不久就会失效。而且,即使进行了回溯,高级威胁依然存在。这就是为什么需要基于行为的检测来发现不太明显的入侵迹象,或者说基于UEBA(用户和实体行为分析)的威胁追踪可明显增强对潜在风险的发现能力。行为一般包括:

  • 文件类:下载、上传、创建、删除、保存、更改
  • 帐户类:创建新帐户、更改密码、登录和注销
  • 邮件类:发送或转发电子邮件、自动化电子邮件、发送附件
  • 网站类:访问页面、发送请求、发送附件、发送消息、使用工具
  • 系统管理:运行查询、访问存储的数据、执行代码、导出结果

所有基于行为的检测不仅应该被编写和收集,还应该在特定的上下文中进行分析,以确定行为的意图。并且要长期的跟踪通用的行为,以查看是否发生任何可疑的变化。除了实时监控系统外,IOB还有助于预测未来,并预测安全措施改变后的结果,例如,如果公司禁用USB等外部存储设备,会发生什么。

然而,在编写基于行为的检测规则时,安全分析师需要非常小心,以避免出现高误报率,因为行为规则往往更容易受到噪声的影响。这就需要经验丰富的分析人员,并往往需要采用不同的分析方法。原因非常简单,只有这样才能更好的检测未知威胁,这些威胁不会体现在情报来源中,更不用说IOC了。

结论

总的来说,威胁追踪是一个复杂的过程,需要使用一些特定的工具、系统和方法来实现高效运作和及时响应。成功的威胁捕手应该通过网络的充分可见性、情报的利用、新规则的创建,保持对攻击者领先者一步。

具体到选择IOC还是IOB,当然不是择其一,而是都要用。IOC涵盖基本的安全需求,而IOB则用于满足更高的安全需求。

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2022-05-30 09:32:07

Spring容器

2022-03-30 09:00:00

物联网行为互联网设备

2022-04-26 08:41:54

JDK动态代理方法

2022-04-06 08:47:03

Dubbo服务协议

2022-02-16 13:46:40

Spring Aop代码注解

2022-07-01 09:39:58

SpringAOPIOC

2019-02-19 09:14:52

IT运维系统

2022-06-02 15:00:26

安全系统安全数字取证

2022-01-27 12:14:41

2022-05-26 17:40:51

Linux开源

2022-03-03 07:34:31

注解容器作用域

2022-03-16 11:11:37

SpringBean项目

2022-04-18 07:31:23

自主响应网络攻击人工智能

2022-03-14 08:02:08

2022-03-18 21:51:10

2022-02-22 14:36:52

编程Swift程序员

2021-12-31 14:23:34

2022-03-07 17:43:30

注册微服务架构

2021-07-29 16:06:48

2009-06-22 10:20:01

Spring IoC容

同话题下的热门内容

QQ大批账号被盗,网络安全该如何维护?为什么智能建筑IoT网络安全标准很重要?区块链在网络信任体系中的应用研究Web 3.0 对软件行业的影响你安装的 Chrome 扩展的组合可以跟踪你黑客用AI换脸技术应聘 人工智能安全问题不容忽视如何把个人信息“安全堤”筑得更牢供应链的模糊如何为网络攻击者打开大门以及如何关闭

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号