所有勒索软件都有一些共同点:当它与主机交互时,它试图锁定,而不会失败,它可以触发可用于检测恶意活动的主机日志和网络日志。除非,也就是说,负责生成这些日志的设备和软件永远不会正确配置。接下来是您需要进行的研究以及您需要进行的资源的概述,以生成和收集有意义且充分的网络事件数据。
介绍
在网络安全方面,“检测”是一个加载项。在NIST的总体网络安全框架的背景下,检测包括注意到潜在的恶意活动,分析发生了更详细的事情,并对发生的事情得出最终结论。在一个阶段,那里发生了很多事情。您会注意到,数据收集(这是检测数据中的任何内容的先决条件)是假定的,并且不是专门阐明的。出于我们讨论的目的,考虑以下流程是有用的,这是基于NIST的事件响应框架,但更详细:
准备
出于我们的目的,准备工作就是了解您的组织和网络:
- 首先,使用诸如皇冠珠宝分析。
- 知道网络上的正常行为是什么。
- 培训您的团队如何使用可以使用的工具以及如何解释和行动警报
- 白名单:
- 网络上的授权用户是谁?
- 哪些用户角色允许哪些活动?
- 预计在Intranet上会看到哪些主机名和IP地址?
- 允许哪些主机接触到互联网?
制备不是一个千篇一律的公式;重要的是掌握准备精神并创建对您的组织有意义的文档。只需部署罐头产品和分析,就可以在不做此处定义的准备类型的情况下捕获一些恶意活动。但是,跳过这项工作将降低您的成功率,还将使事件更加混乱,缓慢和困难。
准备工作还可以包括了解对手行为。了解此信息可以帮助您确定要寻找的内容以及在哪里寻找它。这种类型的制剂在更深入的描述网络威胁情报资源页面。
收藏
这是原始网络和主机事件的集合和汇总:对网络上发生的事情的未经过滤视图。哪个过程正在运行,登录的人,从哪里发送到哪些数据包 - 所有这些问题以及您收集的数据都应回答。这些数据是从网络上的实用程序,服务或硬件中的传感器中收集的,它们感知到正在发生的事情,并将信息包装到您可以阅读和分析的“事件”中。典型的传感器包括:
防火墙
防火墙不仅阻止了可疑的流量,而且还会产生他们所看到的日志,这对于安全分析师来说可能是丰富的资源。
网络入侵检测系统(NIDS)
众所周知的免费开源(FOSS)NID包括Snort,Suricata和Zeek。虽然类似于防火墙,但它们是带外的,可以放置在网络中的任何地方。它们旨在产生警报,这可能是调查的绝佳起点。它们还可以配置为为您的网络上的每一个流量(无论是恶意与否)提供元数据,这使您可以了解网络上发生的事情。
Windows事件日志
这些主机日志非常详细,可以配置为提醒您在特定计算机上几乎任何类型的活动,从用户登录,流程到流程到修改注册表密钥。
审计
虽然不那么详细,但在Linux系统上,审计日志的目的与Windows事件日志的目的大致相同。
系统
此售后安全工具提供了针对关键主机事件(例如Process Creation)的警报,比Windows事件日志提供的更具蒸馏格式。
端点检测和响应(EDR)或宿主入侵检测系统(HIDS)
EDR本质上是一个下一代的反病毒平台,它生活在您网络中的每个主机上,并在发生恶意活动时会发生恶意活动。通常可以将该软件配置为生成详细日志,这是捕获黑客试图在您的网络中横向移动的宝贵信息来源。这些平台中的大多数都是付费的,专有软件,但它们值得。Windows Defender是EDR的一个示例,恰好在操作系统中内置。
虽然不必将上面列出的所有日志类型列出,但是您拥有的日志的多样性就越多,您的分析就越有效。通常,来自所有传感器的数据通常应在一个归一化的架构和时区中共同聚集在一起,以便您可以方便地参考和将所有日志相关联。大多数组织选择使用安全信息和事件管理(SIEM)平台,该平台旨在存储和查看这些日志。开源示例包括弹性SIEM和Apache Metron。要将所有日志传达到您的SIEM中,您将必须配置管道或托运人,这些管道或托运人将每个日志类型从其原始地点发送到您的SIEM。执行此操作的最佳方法随着每个SIEM而异。
分析
一旦将日志始终流入您的SIEM,就可以分析它们,这是检测中最重要的部分!请参阅健康网络的分析页面用于资源和逐步指南,用于在数据上部署开源分析。
要了解如何获得对检测的更多见解,请参阅网络威胁情报页面。
资源:
- NIST特别出版物(SP)1800-26
数据完整性:检测和响应勒索软件和其他破坏性事件本NIST勒索软件实践指南展示了组织如何制定和实施适当的动作和使用技术来检测和/或响应检测到的网络安全事件。