OSSIM识别APT的三板斧

许多遭受APT***的受害者所在单位拥有防火墙,防病毒系统,监控系统,但仍未能阻止威胁进入,这些系统未能感知到异常行为,直到损失被曝光。安全团队应考虑到当今复杂多变的网络威胁环境,可以假设其IT环境已被或间歇性遭受到不明来历的******,这时我们需要了解***的各个阶段的详细情况,包括对持续的威胁见识以及快速的***检测。过去使用Cacti、Zabbix等工具,等到在系统中发现问题时已经到了***完成阶段,***者早已得手,并消失的无影无踪。要提高网络***的可视化、提高对网络***的敏感性和处理高级威胁的速度,SIEM(安全信息和事件管理)是理想的平台,适合于目前企业中大规模集中数据安全分析。作为开源SIEM产品OSSIM具备了以下3个方面的能力:

(1)可视化--获知异构的IT环境中,所发生的一切信息需要多种数据源,包括网络数据包捕获,和完整会话的重建以及来自网络设备、服务器、数据库的日志文件,需要将这些数据有效组织起来,通过图形化方式展现给用户,而且将各种视图统一的整合到一个位置,孤立的日志收集系统只不过是虚有其表的摆设。

(2)扩展性--收集安全数据的平台必须能在横向和纵向进行扩展,以处理来自企业内部和外部的海量安全事件,深入分析网络流量的同时会产生大量pcap文件,这会使安全分析平台的数据成倍增加,OSSIM通过分布式多层存储体系结构处理了密集型数据。

(3)关联分析-具有一定的智能分析是因为内置的关联分析引擎的缘故。传统计算机安全机制偏重于静态的封闭的威胁防护,所以只能被动应对安全威胁,往往是安全事件发生后才处理,面对******,在***过程中,检测到扫描、注入、暴力破解和漏洞利用***时OSSIM的关联引擎从多数据源获得数据,通过抓包和多数据源收最大范围和深度收集有效信息,比如在应用系统日志中有相关登录失败等异常指标,进行主动安全分析,在事件发生阶段就发出预警信息,以便管理员实现快速响应。

OSSIM识别APT的三板斧相关推荐

  1. 基于OSSIM系统的APT攻击检测实践

    目录 0.背景 1. APT的显著特征 2. APT 的主要阶段 3.APT分层 防御策略 4.检测与防御技术 5.复杂网络环境部署OSSIM 6.在特殊场景的应用 7.利用OSSIM识别APT攻击 ...

  2. [论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结

    <娜璋带你读论文>系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢.由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学 ...

  3. [个人小记]什么是APT攻击

    什么是APT攻击 一.什么是APT攻击 二.APT攻击与Web的不同 三.APT攻击的工作原理 四.企业如何防范APT攻击行为 一.什么是APT攻击 高级持续威胁,描述入侵者团队在网络上建立非法的长期 ...

  4. FireEye:GreedyWonk行动针对经济和外交政策网站

    显然,在识别APT并公开分析方面,FireEye走到了前面,比之前的Kapersky,TrendMicro, McAfee, Symantec,他们貌似走到了最最闪耀的聚光灯下.也许他们的沙箱技术大规 ...

  5. FireEye:K3chang行动***欧洲外交部门

    美国时间2013年12月9日,FireEye公布了一个最新的APT***行动,并取名为K3chang.这个***行动被NYTimes,路透社,FT纷纷报道. 据fireeye报告,这个***行动最新的 ...

  6. 恶意邮件智能监测与溯源技术研究

    导读:近年因电子邮件安全问题引起的恶性网络事件影响范围越来越广.造成后果越来越恶劣.传统邮件监测技术无法应对高级持续性威胁.基于此,提出新一代智能恶意邮件监测与溯源的系统框架,将多元行为分析.威胁情报 ...

  7. 新型威胁分析与防范研究

    新型威胁分析与防范研究 Last Modified @ 2013/5/26by yepeng [摘要]本文通过对以APT为代表的新型威胁的实例研究,分析了新型威胁的攻击过程.技术特点.当前国内外的发展 ...

  8. 如何开展网安XX行动防护工作

    一.攻击队(蓝队)分类 军火商级:掌握0day漏洞.具备编写工具的能力.甚至有vpn的漏洞.攻击特点:直接攻击,如导弹.大炮一般,攻击猛烈,效果极强. 间谍级:长期APT钓鲸攻击,打入红队内部,通过木 ...

  9. 网络安全行业黑话大全

    网络安全行业黑话大全 Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中 ...

最新文章

  1. groovy–运算符重载
  2. C#中如何得到机器的IP地址
  3. 往sde中导入要素类报错000732
  4. SakaiCLE2.9数据库迁移
  5. 图神经网络(GNN)综述
  6. Python科学计算
  7. 60款mac超酷炫动态苹果免费屏保壁纸
  8. WiFi连接过程简要分析
  9. 浙江开票系统服务器窗口,浙江增值税发票综合服务平台常见问题解答
  10. c语言怎么学自学,初学者如何学习c语言,带你玩转C语言
  11. apple tv 开发_如何在新的Apple TV上重新排列,配置和删除应用程序和游戏
  12. Java 标准 I/O 流编程一览笔录( 下 )
  13. 服务器抓不到mrcp协议,MRCP协议学习笔记-MRCP背景知识介绍
  14. alisoft 开放旺旺SDK,我也来凑合一下
  15. 网络代理服务器的设计与实现
  16. C++ 使用string的头文件和要求
  17. Data truncation: Incorrect datetime value: ‘XXXX‘
  18. composer init 命令详解
  19. DXperience皮肤设置 C#第三方控件学习笔记
  20. Note For Linux By Jes(2)-Linux文件与目录管理

热门文章

  1. 构建虚拟工控环境系列 - 罗克韦尔虚拟PLC
  2. Mac 下iterm2配色方案(高亮)及显示分支
  3. 聚类的概念和一般步骤
  4. VS2012程序打包部署详解
  5. [歌曲]死了都要try
  6. Visual Studio 11预览: 新的编程语言功能
  7. “远程桌面己停止工作”的解决方法
  8. Thanos 简介和实践
  9. 360私有云平台-HULK 5岁啦~
  10. leetcode990. 等式方程的可满足性