5个迹象表明攻击者已经在您的网络中

这本由供应商撰写的技术入门书是由Network World编辑的，目的是消除产品推广，但读者应该注意，有个足球雷竞技app它可能更倾向于提交者的方式。

据估计，攻击者已经渗透了96%的网络，所以你需要在他们有时间升级特权、找到有价值的资产和窃取数据之前检测并阻止他们。

好消息是，攻击不会以感染或接管终点而结束;这就是它开始的地方。从那里攻击就非常活跃，如果您知道如何找到攻击者，就可以识别并阻止攻击者。以下五种策略将会有所帮助。

*寻找泄密的迹象。当攻击者试图找出您的网络时，请查找端口扫描、过多的登录失败和其他类型的侦察。

攻击者首先需要了解他们所渗透的网络的拓扑结构。他们将寻找易受攻击的端点和服务器，并锁定管理用户和有价值的数据存储。

大多数入侵检测工具可以检测已知的端口扫描器。然而，在网络广播中区分隐蔽侦察和合法扫描是比较困难的。让我们面对它;大多数电脑和应用程序都很健谈。但是，如果您已经确定了网络上各种设备通常会访问的端口和目的地的数量，那么您可以发现一些异常情况，这些异常表明了攻击的发生。

• 数据源:网络监控或管理工具，NetFlow聚合
• 挑战:攻击者可能会变得“低而慢”，所以您可能需要进行一些基于时间的分析。此外，可能会有很多聊天工具和协议，所以需要一段时间来过滤这些噪音。

*查找执行管理任务的“普通”用户。攻击者越来越多地使用计算机和服务器上的本地工具，而不是已知的攻击工具和恶意软件，以避免被杀毒软件和EDR软件发现。但是，这本身就是一种异常现象，你可以检测到。试着确定谁是你的管理员。诸如Active Directory之类的目录服务可以帮助您在组织中建立用户角色和特权。然后确定管理员使用什么工具，他们通常管理什么应用程序或设备，如ERP数据库或内部网网站。有了这些知识，您就可以发现攻击者何时接管了计算机并开始以一种意外的方式执行管理任务。

• 数据源:网络信息(网络数据包或NetFlow数据)和目录服务信息的组合是识别管理行为的最佳方法。
• 挑战:不幸的是，没有一个信息源可以确切地告诉您管理员是谁以及他们管理的资产是什么。但是，从课程的角度监视SSH和RPC的使用情况可以为您提供一个良好的起点。您可能会得到很多假阳性结果，但随着时间的推移，您可以筛选出已批准的管理员列表，并从中获得一个基线来进行检测。

*寻找使用多个帐户和凭证访问网络资源的设备。

攻击者喜欢使用凭证来简化他们的进程并保持不被发现的状态。他们窃取或生成账户，并利用这些账户进行探索和获取访问权限。这是外部和内部攻击者的标志。分析凭证的使用情况，以发现表明此类攻击活动的异常值。

• 数据源:监视网络流量或分析来自身份验证和授权基础设施的日志是滥用凭据的最佳资源。提取数据并分析它，了解每个用户通常与多少系统交互。然后监测异常情况。
• 挑战:用户之间的差异很大，但是您可以尝试以“平均”用户为基准。即使只是列出你的高访问量用户，也应该给予适当的可见性——如果你看到一个新名字出现在列表中，你可以查看它。

*查找试图在文件服务器中查找有价值数据的攻击者。攻击者通常会采取的一个步骤是找出哪些Windows共享文件是可广泛访问的，以便搜寻重要数据——比如知识产权或信用卡号码——或者远程加密数据以获取赎金。发现文件共享访问中的异常情况可能是一个有价值的信号，还可能提醒您有员工正在考虑内部盗窃。

• 数据源:您的文件服务器上的日志是您自己执行此操作的最佳选择。但是需要进行一些分析才能从用户的角度将其转换为视图，从而获得查看用户访问异常的能力。
• 挑战:一些文件共享确实是经常被访问的，并且当用户第一次访问时出现一个大的峰值可能会产生一个假的肯定。此外，有关访问的数据相当混乱，难以分析。这在网络工具中也可以看到，但是要提取重要的信息需要做很多工作。

*查找命令和控制活动或持久访问机制。攻击者需要一种方法在Internet和他们在您的环境中控制的端点之间进行通信。虽然在整个攻击过程中使用的恶意软件比以前少，但仍然有恶意软件和远程访问木马(rat)在适当的地方。密切留意外发通讯，以防有恶意软件打往家中。

• 数据源:许多外围安全工具已经查找命令和控制活动。有针对性的恶意软件可能会试图联系AWS或Azure资源，或无法被传统威胁情报机构识别的新服务器。

您可以通过查看DNS日志来发现DNS查询模式，这表明恶意软件试图查找命令和控制服务器，从而增强您现有的安全性。许多失败的DNS请求或者看起来像机器生成域名的请求都是恶意软件的信号，这些恶意软件旨在避免基于声誉的屏蔽。

• 挑战:攻击者有很多方法来隐藏命令和控制流量，所以最好保持警惕，但不要仅仅依靠这种类型的检测来发现恶意软件。你永远无法判断包括Twitter、Craigslist、Gmail等许多普通网站的哪个组合会被恶意软件用于指挥和控制通信。因此，花一些精力跟踪这个活动是值得的，但是没有跟踪横向移动或过度使用凭证那么重要，这对攻击者来说很难隐藏。

可以看到，有很多工具和过程可以帮助您发现攻击者。攻击者必须从事许多活动才能在环境中学习和扩展。进入，对他们来说，只是第一步。至少，一个机器人需要连接回来，并通过比特币挖掘、点击欺诈、垃圾邮件或其他邪恶手段将入侵货币化。在更严重的情况下，最初的入侵只是攻击者用来学习和扩展您的网络以获取您的数据的滩头阵地。在任何一种情况下，入侵都不会损失一切——在造成严重破坏之前，仍然有大量的时间来发现和根除攻击者和恶意软件。

此外，如果您能够从包流中提取正确的元数据，那么实际上可以从网络中发现所有这些活动，甚至更多。这很难手动完成，但是对于自动化工具来说是一个很好的选择。通过使用深度包检查分析网络流量，自动化安全解决方案可以识别实时攻击的异常指示。

如果您对自动化这些检测步骤和更多内容感兴趣，请找到一个使用机器学习在您的网络上自动化基线化过程的解决方案，这样您就可以快速发现和阻止绕过传统安全控制的攻击者。