网络安全 频道

Facebook安全工程师教你重新思考IDS

  【IT168 技术】有很多时候,黑客对企业IT系统的攻击是没有被发现的,很大一部分原因是因为企业的入侵检测系统失效,企业的安全团队需要重新考虑应该如何重新使用入侵检测系统了……

  当某公司发现攻击者已经在其网络中窃取数据时,入侵检测系统(IDS)往往不是发现攻击者的关键因素。根据2012年Verizon数据泄露调查报告(英文版报告)显示,数据被窃取发生在几个小时内,但是发现数据泄露事故却发生在几星期或者几个月后。

Facebook安全工程师教你重新思考IDS

  Facebook安全工程师John Four Flynn表示,这个问题的很大部分原因在于IDS系统没有发现攻击者,但另一部分原因在于,企业没有适当地管理这些系统。例如,发生数据泄露事故的公司更可能通过手动日志分析来发现入侵者,而不是通过IDS发出的警报。

  Flynn表示,“当你真正深入分析这些系统如何抵御当今有针对性的攻击时,你会发现这些系统的有效性并没有充分发挥出来,我们需要重新思考如何使用这些系统。”Verizon公司RISK团队智能情报总监Bryan Sartin表示,这些系统将安全团队淹没在数据之中,并且需要不断调整,还未能跟上攻击的步伐。人们在使用90年代中期的工具和方法来攻击现代电子系统。虽然Facebook的Flynn批评IDS系统,但他认为企业也应该提高这些系统的性能。

  企业需要对可能显示安全问题的潜在异常事件进行思考,大多数公司试图收集尽可能多的数据,然后进行自动处理,再生成最可靠的可操作的警告信息。

  他表示:“他们使用Snort传感器,关闭了所有制造太大噪音的东西,然后通过其余部分来判断是否存在攻击者,这是完全错误的做法。”

  企业应该收集能够识别可疑活动的指标。Flynn创造了一个评级,将数据分为1级到10级,10级意味着不能采取任何行动的数据,1级意味着完全采用警报。大多数企业都有大量10级数据(例如日志数据),而想要1级警报,但他们应该注意这两级之间的数据。

  Flynn表示:“你的环境中有大量数据可以用于入侵检测分析,但这些数据大部分都被忽视了,因为它们不具有足够的可操作性。” 例如,公司可以追踪注册表修改信息—5级信息,这样公司能够更好地发现异常行为。

  此外,通过了解攻击者完成其任务需要采取的必要步骤,企业可以创建一个框架来分析潜在事件以及确定其是否是攻击的一部分。

  “你可以利用这种方法进行更高级的关联,”Flynn表示,“如果你能够标记每个事件所属的攻击步骤,那么,你就能够对潜在攻击进行分析。”

  RedSeal Networks公司首席技术官Mike Lloyd表示,使用这种事件分析方法可以帮助企业改善其流程。企业还可以通过加强基础保护来完善入侵检测,例如高强度密码和身份验证、对网络资源更好的监控等。

0
相关文章