内部可见性——网络数据包捕获和欺骗的重要性

假如说进攻者所依靠的是什么，那就是进入组织内部并停止发明。在收集内部发明恶意勾当相同于在针堆中找到特定的针。组织全力获取对内部“对象向”流量的可见性以举办威胁检测。有些开始于在收集内部陈设IDS以检测恶意流量，而另一些则行使内部防火墙阻止它。诸如UEBA之类的办理方案实行说明网络的数据并辨认可疑或恶意勾当，而EDR办理方案则锁定端点以获取可见性并拒绝进攻者驻足。这些要领存在错误性警报题目，而且无需举办任何调解即可消除它们。

另外，这些办理方案还可以从直接说明中提取现实的收集流量，行使其内部机制输出功效。假如方针是内部可见性，为什么不直接查察收集流量举办数据包捕捉并举办说明?

几种安详办理方案捕捉和说明收集流量以举办检测，说明和回放。这不只使人们可以相识正在穿越收集的内容，并且还提供了庞大的取证代价，譬喻完备的标头信息和封装的有用载荷。纯熟的凭据搜查员可以提取具有足够的数据包捕捉(pcap)文件的二进制文件，呼吁和其他数据。这些办理方案中的很多办理方案都可以即时读取和标志pcap，并通过匹配预加载或自界说署名来告诫何时检测到隐藏的恶意流量。

尽量它们还存在误报警报题目，但它们提供的成果使说明职员可以搜刮Packet Captures数据存储区和模式匹配以查找特定的IoC，或重播流量以搜查产生了什么。譬喻，说明职员可以重播会话数据，并调查进攻者在通过RDP会见的受传染体系上的操纵。我将这种器材用作司法判断的一部门，并发明它很是有效。可是，它必要履历和完美的说明手艺来查找息争释pcap数据并提取相干信息以举办观测。

另外，就像大数据说明一样，这些办理方案必要大量的存储成果来容纳足够的pcap文件，以占有足够长的观测时刻。假如思量到在任何给按时候有几多流量通过收集，而且这些办理方案必需捕捉足够的pcap以最有用地包围观测，那么很快就会心识到存储是限定身分。但愿重播两周之久的流量的说明职员必需但愿该办理方案具有可用的Packet Captures。尽量SOC可以计划办理方案以使其扬弃不相干的数据，但过滤量限定了说明职员可以行使的保真度。譬喻，过滤掉OT收集段上的流量可以节减存储空间，可是SOC失去了那些夺目标进攻者可以长时刻潜匿的那些段的可见性。

人们老是可以花更多的钱在存储容量上或将其卸载到云上，可是增进收益只是为了为pcap存储增进更多的SAN容量，而将数千兆字节的数据转储到云中则必要下载它举办说明。它给SOC提供的可见性很是精彩事实，人们正在查察现实的收集流量以发明可疑勾当，可是其手艺和存储要求使其很是占用资源。

在完备的收集流量和说明都依靠说明职员起劲地探求威胁的环境下，才气找到不良举动者，而诱骗平台则回收为他们配置陷阱的要领。想象一下，通过一个诱饵和其他诱骗性资产(与出产端点，处事器，装备，应用措施，处事或数据相匹配)建设一个“暮光地区”收集。诱饵情形的代价在于这样一个究竟，由于它没有出产代价，而且对付通例操纵是不行见的，因此没有人可以与之互动。与诱饵的任何交互都是设置错误，违背计策或未经授权的发明勾当的功效，因此无需担忧误报。有了足够的真实诱饵资产，

一旦进攻者行使诱饵体系，处事，应用措施或数据片断，诱骗平台就会提示其存在并记录其勾当。诱饵捕捉进攻者在诱饵的磁盘，内存空间和收集接口上的全部勾当，以捕捉扬弃的文件，辨认内存中的姑且收集毗连和历程并天生pcap。该平台使这些可用于脱机说明，这意味着说明职员可以操作SOC行使的沟通说明器材来说明诱骗平台中的取证工件和数据包捕捉。另外，因为诱骗平台提供的是恶意勾当的起劲记录，因此无需梳理无关的pcap。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!