五件事了解恶意软件的驾驶它前出

五件事了解恶意软件的驾驶它前出

在当今的网络环境中,恶意软件,逃避传统的防御是很普遍的,具有沟通和活动发生的最多一次,每三分钟。不幸的是,大多 […]

2014-03-12

在当今的网络环境中,恶意软件,逃避传统的防御是很普遍的,具有沟通和活动发生的最多一次,每三分钟。不幸的是,大多数这种活动是无关紧要的业务。你可能会认为这是个好消息吧?问题是,事件响应由(潜在的)高度破坏性的恶意软件识别无关紧要的恶意软件没有什么好办法。因此,他们花费了太多的时间和资源追逐红鲱鱼,而真正的恶意行为溜过去。
[ 过程和工具背后真正的亚太活动:概述 ]
添加到所造成的强迫观看的恶意软件警报的仪表盘显示数百到数千恶意活动警报的组合不眠之夜。恶意软件分析的和艰巨的名单只有这么多的时间在白天,它没有巨大的惊喜标题制作违规正日益成为常态。
现实情况是,先进的恶意软件防御是一项复杂的工作,一个需要不仅能够检测恶意软件的能力 – 这在复杂的网络环境已经是困难的 – 而且要优先考虑的行动在那里将有最好的安全成果。通过甚至几天减少了主动攻击的生命周期可以减少数以百万计的袭击对经济的影响。
那么,我们如何加快速度?上下文是由恶意软件警报的创建过多的解药不确定性。你如何获得这方面?第一步是要知道如何寻找。一旦你明白你需要知道,你就可以开始数据收集和相关的自动化。
随着既然如此,这里是事情你应该寻找在决定采取行动前:
意图
恶意软件自带各种形状和形式。虽然大多数恶意软件内容可能与显示您的用户不需要的广告或诱使他们下载更多的免费游戏,有与创建损坏的真正意图先进的恶意软件 – 有针对性的,复杂的攻击。意图的严重程度可以从一个僵尸网络发送垃圾邮件一路旨在窃取信息并创建有针对性的破坏威胁的一部分而有所不同。理解恶意软件的真实意图可以是困难的,但也有可作为它的代理一些蛛丝马迹:
复杂性(推诿):虽然当恶意软件处理没有绝对;在一般情况下,在推诿更多的努力意味着一个更致命的威胁。如果一段可执行代码试图“太硬”通过加密,可以认为比恶意软件,并没有更危险的有效载荷,以逃避检测,例如。
交货复杂:多少努力和定制做的目的是提供恶意软件到你的组织是攻击者的复杂性和技能的一大指标,也是意图的一个很好的指标。恶意软件通过自定义传递的消息传播到你的员工可能比排在从一个群发邮件的感染更为有害。
值得商榷的功能:如果恶意软件代码包括可疑的功能,例如呼叫记录按键或屏幕截图,它很可能是更严重的。
在线服务,如VirusTotal服务可用于检查恶意软件的声誉和意图很方便的资源。
目标
虽然先进的攻击者可以通过让恶意软件越级周围,直到他们找到他们所要找的大举进入您的网络,根据常理判断第一目标更敏感的用户和设备的威胁后继续前进。
为了做到这一点,就需要根据存储在给定的设备或系统,或者通过信息的用户的重要程度可以访问的信息的重要程度的设备,网络和用户中的组织进行分类。这是最好的完成:
维持组织中的关键网络和子网列表
维护基于用户如金融,数据中心,行政人员等的敏感性关键的Active Directory组的列表
使用IP地址管理解决方案或类似的设备维护设备,IP地址,网络和用户的实时映射。当你看到一个恶意软件下载或指挥与控制警报这些信息将在确定威胁的优先顺序是至关重要的。
一个传染源也是恶意软件的恶毒的重要指标。想想,谁,你最大的敌人,如果恶意软件的来源可以追溯到他们。这将是不可能永远这样做,但如果可以的话,它会立即提醒你攻击的严重性,并帮助您行动的重点。
[ RSAC 2014:专家讨论事件响应的严酷现实 ]
找到对手它的基础上的下载URL的IP地址和命令与控制流量的IP地址尝试和地理定位它们的最简单方法。有几个互联网资源,可以帮助你的地理定位的IP地址,并提供相关的信誉数据。