虹科分享 | 加密流量分析 |為什么數(shù)據(jù)包是網(wǎng)絡(luò)安全攻擊的數(shù)字傳播媒介

隨著世界變得更加加密，數(shù)據(jù)包仍然是數(shù)據(jù)泄露調(diào)查的關(guān)鍵，所以我們現(xiàn)在需要用新的方式來(lái)查看數(shù)據(jù)包元數(shù)據(jù)而不是實(shí)際數(shù)據(jù)包內(nèi)容。使用解密密鑰、中間盒或端點(diǎn)進(jìn)行中斷和檢查會(huì)帶來(lái)性能和隱私挑戰(zhàn)。

但是，數(shù)據(jù)包仍然可以解鎖強(qiáng)大的線索，即使以加密的方式，以檢測(cè)和重建網(wǎng)絡(luò)攻擊的時(shí)間線，即使加密數(shù)據(jù)也是這樣。虹科LiveAction使用一種稱為加密流量分析或ETA的技術(shù)，該技術(shù)依賴于三個(gè)級(jí)別的數(shù)據(jù)包數(shù)據(jù)來(lái)推斷流內(nèi)部發(fā)生的事情。

您可以從數(shù)據(jù)包中獲取三種不同級(jí)別的豐富數(shù)據(jù)

1.標(biāo)頭信息或 NetFlow v5

查看主機(jī)何時(shí)與其他人通信、源 IP、目標(biāo) IP、源端口、目標(biāo)端口、使用的協(xié)議、數(shù)據(jù)包中的字節(jié)數(shù)、時(shí)間和持續(xù)時(shí)間，以及這些之間有效負(fù)載的連接類型。

2.來(lái)自加密的元數(shù)據(jù)

分析查看加密元數(shù)據(jù)的證書(shū)和參數(shù)，觀察者可以分析通信通道本身的特征，例如密碼強(qiáng)度和類型、服務(wù)器標(biāo)識(shí)以及連接是否已降級(jí)。所有這些特征都是可用的。它通過(guò)將加密分析技術(shù)與傳統(tǒng)流量分析和機(jī)器學(xué)習(xí)相結(jié)合來(lái)檢測(cè)該連接中的復(fù)雜模式，從而提供安全性。

3.數(shù)據(jù)包動(dòng)態(tài)

數(shù)據(jù)包動(dòng)態(tài)是描述數(shù)據(jù)包特征的數(shù)據(jù)。它觀察數(shù)據(jù)包的大小、到達(dá)間隔時(shí)間以及這些不同類型連接之間的到達(dá)時(shí)間的關(guān)系，以便在看不到有效負(fù)載的情況下對(duì)內(nèi)容進(jìn)行推斷。

所有這些數(shù)據(jù)源都提供可見(jiàn)性，而無(wú)需解密有效負(fù)載。

接下來(lái)讓我們看看數(shù)據(jù)包如何幫助您識(shí)別攻擊者行為和常見(jiàn)的網(wǎng)絡(luò)攻擊。

1

暴力破解嘗試

在進(jìn)行暴力破解嘗試時(shí)，我們希望檢測(cè)遠(yuǎn)程服務(wù)使用情況以及某人連接到 RDP 或 SSH 等應(yīng)用程序的頻率。我們調(diào)查這些遠(yuǎn)程連接中涉及多少字節(jié)和數(shù)據(jù)包、正在進(jìn)行哪些文件傳輸以及這些文件將傳輸給誰(shuí)。收集到的其他信息包括新相鄰主機(jī)上的新鏈接和文件傳輸。此攻擊的基線指標(biāo)包括掃描、重要的二進(jìn)制傳輸以及指示惡意軟件感染正在傳播的行為復(fù)制。

RDP 和 SSH 都有多次握手。根據(jù)這些握手中的數(shù)據(jù)包，我們可以檢測(cè)它是成功還是失敗。如果發(fā)生暴力破解嘗試，則引用跨不同流的成功或失敗連接的歷史數(shù)據(jù)包數(shù)據(jù)的能力可以指向初始訪問(wèn)發(fā)生的時(shí)間。實(shí)際上，情況可能會(huì)以這種方式進(jìn)行：密碼失敗的次數(shù)過(guò)多，該 IP 被標(biāo)記，并且從該 IP 成功建立連接。

這種可見(jiàn)性使 IT 團(tuán)隊(duì)能夠針對(duì)這些情況創(chuàng)建具有更高優(yōu)先級(jí)的目標(biāo)警報(bào)。雖然數(shù)據(jù)包動(dòng)態(tài)看不到用戶名或密碼，但元數(shù)據(jù)揭示了系統(tǒng)在響應(yīng)成功或失敗嘗試時(shí)的反應(yīng)行為。

2

網(wǎng)絡(luò)釣魚(yú)攻擊

數(shù)據(jù)包動(dòng)態(tài)和機(jī)器學(xué)習(xí)可以幫助最終用戶檢測(cè)網(wǎng)絡(luò)釣魚(yú)嘗試。許多網(wǎng)絡(luò)釣魚(yú)計(jì)劃基于URL和域來(lái)讓人們點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)電子郵件。我們的方法著眼于進(jìn)入的網(wǎng)絡(luò)流量。釣魚(yú)網(wǎng)站的數(shù)據(jù)包動(dòng)態(tài)簽名與互聯(lián)網(wǎng)上的大多數(shù)傳統(tǒng)網(wǎng)站明顯不同。因此，數(shù)據(jù)包動(dòng)態(tài)驅(qū)動(dòng)的 ML 模型可以區(qū)分這兩者。此模型是通過(guò)收集和比較數(shù)千個(gè)已知網(wǎng)絡(luò)釣魚(yú)站點(diǎn)的示例來(lái)構(gòu)建的，這些站點(diǎn)已針對(duì)已知的安全網(wǎng)站進(jìn)行了人工驗(yàn)證。

Facebook或銀行的近似匹配像素與人眼無(wú)法區(qū)分。機(jī)器學(xué)習(xí)著眼于數(shù)據(jù)包動(dòng)態(tài)和到達(dá)時(shí)間的差異、不同的下載模式和鍵盤交互。虹科LiveAction創(chuàng)建了一個(gè)監(jiān)督模型，該模型訓(xùn)練已知的網(wǎng)絡(luò)釣魚(yú)數(shù)據(jù)，并在新數(shù)據(jù)進(jìn)入時(shí)將其應(yīng)用于新數(shù)據(jù)，以尋找檢測(cè)。

3

命令和控制攻擊 （C2）

在字節(jié)中查找意外加密以指示命令和控制攻擊。命令和控制攻擊可能會(huì)嘗試?yán)瞄_(kāi)放和現(xiàn)有端口，如端口 80，傳統(tǒng)上未加密的 HTTP 大多數(shù)在防火墻上開(kāi)放。如果特定惡意軟件使用加密命令和控制，則它可能會(huì)使用端口 80。我們尋找特定協(xié)議的特征熵評(píng)分，以幫助檢測(cè)這是否按預(yù)期運(yùn)行。

端口 443 通常是與 HTTPS 對(duì)應(yīng)的加密端口。如今，大多數(shù) Web 流量都通過(guò)端口 443，但由于它對(duì)防火墻開(kāi)放，因此一些惡意軟件也會(huì)使用它——欺騙機(jī)器人。惡意軟件可以通過(guò) 443 發(fā)送純文本 HTTP?？偟膩?lái)說(shuō)，我們正在尋找錯(cuò)誤位置的加密和應(yīng)該加密的純文本，并且可以使用數(shù)據(jù)包動(dòng)態(tài)來(lái)檢測(cè)這些異常。

4

識(shí)別威脅參與者行為

偵察

受感染的主機(jī)將使用主動(dòng)或被動(dòng)掃描在網(wǎng)絡(luò)中搜索易受攻擊的主機(jī)。PCAP允許您查找唯一的主機(jī)，異常數(shù)量的主機(jī)，端口掃描，IP掃描

橫向移動(dòng)

當(dāng)數(shù)據(jù)傳輸?shù)揭资芄舻闹鳈C(jī)時(shí)，橫向移動(dòng)開(kāi)始。文件或惡意軟件已經(jīng)被配置，那么下一個(gè)主機(jī)就會(huì)被感染，斌且對(duì)新主機(jī)重復(fù)該行為。我們?cè)跀?shù)據(jù)包動(dòng)態(tài)中尋找復(fù)合的重復(fù)行為來(lái)識(shí)別這種運(yùn)動(dòng)。

數(shù)據(jù)采集

有價(jià)值的數(shù)據(jù)被傳輸并集中在特定的主機(jī)上，為泄露做準(zhǔn)備。這通常以“低而慢”的速度執(zhí)行，以避免檢測(cè)。受感染的主機(jī)將聯(lián)系其他受感染的主機(jī)，并將數(shù)據(jù)拉取到暫存點(diǎn)進(jìn)行外泄?？梢酝ㄟ^(guò)數(shù)據(jù)包數(shù)量、字節(jié)數(shù)、文件傳輸、應(yīng)用程序使用情況和主機(jī)之間發(fā)送的數(shù)據(jù)等指標(biāo)來(lái)確定變化趨勢(shì)。這些結(jié)果可以揭示那些外泄的暫存數(shù)據(jù)。

滲漏

當(dāng)暫存數(shù)據(jù)導(dǎo)出到網(wǎng)絡(luò)外部的外部方時(shí)，會(huì)發(fā)生外泄。威脅參與者通常使用標(biāo)準(zhǔn)和自定義通信通道將數(shù)據(jù)發(fā)送到外部主機(jī)。可以通過(guò)查看數(shù)據(jù)包、字節(jié)、訪問(wèn)的域數(shù)以及發(fā)送到每個(gè)域的字節(jié)數(shù)來(lái)識(shí)別主機(jī)隨時(shí)間推移的行為方式。每日傳輸中的更改點(diǎn)可能不會(huì)超過(guò)單個(gè)閾值，但隨著時(shí)間的推移，它們將分析數(shù)據(jù)包元數(shù)據(jù)，以提醒組織注意行動(dòng)中的數(shù)據(jù)外泄以及可能存在的指標(biāo)。

無(wú)論威脅參與者如何發(fā)展，虹科LiveAction 都會(huì)跟上步伐，引入創(chuàng)新技術(shù)并使用數(shù)據(jù)包來(lái)預(yù)防、檢測(cè)和緩解威脅。

今日推薦

虹科網(wǎng)絡(luò)檢測(cè)和響應(yīng)（NDR）解決方案——ThreatEye

保護(hù)您的整個(gè)網(wǎng)絡(luò)——從核心到邊緣再到云

先進(jìn)的持續(xù)性威脅和武器化漏洞的速度遠(yuǎn)遠(yuǎn)超過(guò)了現(xiàn)在的網(wǎng)絡(luò)防御者，但是傳統(tǒng)的工具總是落后一步，并不能解決這個(gè)問(wèn)題，因此你需要的是一個(gè)面向未來(lái)的安全解決方案，以此來(lái)降低風(fēng)險(xiǎn)和責(zé)任。

虹科ThreatEye是一個(gè)網(wǎng)絡(luò)檢測(cè)和響應(yīng)（NDR）平臺(tái)，專為網(wǎng)絡(luò)安全而構(gòu)建。虹科ThreatEye結(jié)合下一代數(shù)據(jù)收集、高級(jí)行為分析和流式機(jī)器學(xué)習(xí)進(jìn)行威脅檢測(cè)和安全合規(guī)性，不受加密網(wǎng)絡(luò)流量的影響，以此來(lái)強(qiáng)化您的網(wǎng)絡(luò)安全策略。

AI驅(qū)動(dòng)的NDR行為分析

深度數(shù)據(jù)包動(dòng)態(tài)

跨多供應(yīng)商、多域和多云網(wǎng)絡(luò)環(huán)境的150+數(shù)據(jù)包特征和行為

與數(shù)據(jù)包內(nèi)容無(wú)關(guān)

機(jī)器學(xué)習(xí)

擴(kuò)展的深度數(shù)據(jù)包動(dòng)態(tài)實(shí)時(shí)分析

專為企業(yè)網(wǎng)絡(luò)安全而打造

加密流量分析

檢測(cè)同類產(chǎn)品所遺漏的內(nèi)容

可操作的情報(bào)

消除加密盲區(qū)

驗(yàn)證端到端加密合規(guī)性