利用事件日志关联分析阻止“加密***”

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了利用事件日志关联分析阻止“加密***”相关的知识,希望对你有一定的参考价值。

在网络安全系列的前几篇文章中,我们讨论了高级持续威胁和数据泄露,强调了当今时代数据安全的重要性。 本系列的最后一篇文章中,我们将讨论加密***,一种可能严重影响网络完整性的***,以及如何通过事件关联来对抗它。
公司的数据并不是它为寻找发薪日的***提供的唯一有价值的东西。世界各地的组织网络都有一些***可以控制的基本网络:纯粹的计算能力。 加密***,未经授权使用计算资源来挖掘加密货币,利用了这种能力。虽然这种类型的***可以针对任何设备,包括个人,移动和物联网设备,但由于其强大的计算能力,对其而言,企业网络最具吸引力。
技术分享图片
加密***现在比勒索软件更受欢迎
对加密货币的兴趣只会不断上升,每个***都在寻找获取或挖掘它的方法。直到2017年,勒索软件***才是***者增加数字货币存储的最常用方法。然而,由于成本较低,风险较低以及稳定,有保障的回报,今年的加密***很快变得越来越受欢迎。
网络威胁联盟的一份报告指出,加密劫持***比去年增加了459%。对于有经济动机的***者来说,这种诱惑是可以理解的:当你可以直接挖掘加密货币时,为什么以赎金的形式出售或持有数据以换取加密货币?
加密***是怎么达到目的的?
加密******最常用于Monero,一种比比特币提供更多匿名性的加密货币。加密劫持有两种主要方式:
加密劫持恶意软件:未经授权的加密恶意软件将通过恶意电子邮件附件或链接,易受***的应用程序或系统,远程***或任何常用的交付机制传送到您的网络系统。这种恶意软件极有可能被忽视,因为它在后台运行而没有任何通常的外部危害指示。

浏览器内加密:网站和广告中嵌入了加密代码,可以利用访问者系统的处理能力。如果您的员工无意中访问了受感染或恶意的站点,他们的系统将从事采矿活动。 Coinhive是一种在2017年底推出的Web服务,它创建了一个这样的javascript代码,旨在以合法的方式使用。然而,它被更多的网络犯罪分子使用,而不是值得信赖的网站管理员,并最终成为这种形式的加密劫持大量飙升的原因。
技术分享图片
为什么你应该注意加密***?
成为加密劫持的受害者对您的业务没有任何直接和明显的影响。没有数据受到损害,也没有法律或合规性问题需要处理。然而,它有几个间接和隐藏的成本,当它们在很长一段时间内组合在一起时,会给你的公司带来灾难:
较慢的系统:从事后台挖掘活动的系统可能变得极其缓慢,导致常规业务通信和活动中出现意外延迟。
业务连续性的丧失:随着CPU周期越来越多地用于挖掘操作,加密劫持甚至可能导致应用程序和硬件崩溃的增加,从而破坏业务连续性。
更高的电力成本:复杂的计算会消耗更多的电力,导致不必要的电费增加。
简而言之,您的网络基础架构支持大部分业务运营,当它未以最大容量运行时,您的业务将受到影响。
用事件相关性检测加密劫持
如前所述,加密***没有任何明显的妥协指标。识别受感染机器的最简单方法是减速或加热。事件关联可以帮助您整理日志,网络性能信息以及检测加密***。
一些相关的相关功能包括:
检测未经授权的软件安装
检测已知的加密货币挖掘或钱包软件
检测CPU使用率异常高峰
检测风扇速度异常
Log360是我们全面的SIEM解决方案,配备了强大的相关模块,其中包含预定义的规则,可帮助您检测上述所有内容。该解决方案可以从我们的网络监控解决方案OpManager中提取性能数据,并将其与您的日志信息相关联,以便为您提供相关的事件警报。您甚至可以自定义规则或构建适合您的网络环境的新规则。
登陆ManageEngine官网了解Log 360更多功能!
关注ManageEngine微信公众号,不定期IT运维管理知识纯干货分享等你来Pick!

以上是关于利用事件日志关联分析阻止“加密***”的主要内容,如果未能解决你的问题,请参考以下文章

OSSIM平台安全事件关联分析实践

利用关联来发现复杂攻击模式

基于规则的安全事件关联分析模型

关联分析原理小结

微软AIOps工作:时序数据与事件的关联分析

关联分析的关联分析的方法