加密货币流量分析对威胁检测的作用 [Q&A]

每个人都在努力使他们的系统更安全,在许多情况下,这意味着采用加密货币来保护数据。

但是通过网络使用加密货币流量给安全团队带来了麻烦,因为恶意内容更难检测。 我们与 Live Action 的安全产品总监 Thomas Pore 进行了交谈,以了解有关该问题以及如何解决该问题的更多信息。

BN:加密货币流量如何影响当今的网络威胁检测?

TP:越来越多地采用加密货币网络协议导致安全团队的网络可见性恶化,而传统工具的效率越来越低。 根据最近的一份报告,仅在 2021 年第四季度,通过加密货币连接传递的恶意软件中有 78% 是逃避性的,突显出高级恶意软件攻击的威胁日益增加。 此外,对 HTTPS 的接受度不断提高、加密货币协议(如 DNS over HTTPS 和 TLS 1.3)的快速部署大大降低了对服务器身份和内容检查的可见性,使得网络防御者的威胁检测变得更加困难,在许多情况下几乎是不可能的。 一旦进入组织的网络,威胁参与者就会利用加密货币会话横向移动——从东到西。 传统的检测工具只检查南北流量。 这为攻击者提供了完成高级操作(例如勒索软件攻击)所需的优势。

BN:什么是加密货币流量分析,为什么它对威胁检测和响应很重要?

TP:加密货币流量分析是一种边信道分析,它允许网络防御者完成他们的工作,同时保持完全加密货币系统提供的隐私和网络完整性。 加密货币流量分析与机器学习功能相结合,随着时间的推移评估复杂的数据模式并区分正常和异常活动,所有这些都无需访问数据内容。 它允许安全团队利用不同类型的 C2 活动(例如信标、TLS 指纹识别和数据包长度序列)来快速发现恶意行为和网络异常,这对于有效的威胁检测和响应至关重要。 ETA 有效地实现了网络交易可见性,从而提供了有关加密货币流量的宝贵见解,以帮助网络防御者。

BN:什么是加密货币盲区,它如何影响组织安全?

TP:加密货币盲区是由于缺乏对加密货币流量的可见性导致网络中丢失(隐藏)威胁。 由于大多数现代 IT 网络流量现在都隐藏在加密货币中,黑客可以利用这一安全漏洞将他们的行为隐藏在加密货币流量中。 换句话说,当今组织中的大量流量未经检查只是因为它是加密的,从而为攻击打开了大门。 随着威胁变得更加复杂和攻击面扩大,许多传统策略的有效性正在下跌,例如 IDS、IPS 和破解和检查解密。 这比以往任何时候都更加挑战组织安全的有效性。

BN:ETA 的深度包检测 (DPI) 和深度包动态 (DPD) 有什么区别?

TP:深度数据包动态 (DPD) 是一种评估网络数据包的新方法,无需进行有效负载检查。 通过分析多供应商、多域和多云网络环境中的 150 多个数据包特征和行为,它可以更可靠地评估加密货币和未加密的流量。

当 DPD 与机器学习和 ETA 相结合时,它可以实现重新获得加密货币流量可见性的独特功能,并提供当今可用的一些最先进的网络检测和响应功能。 这包括各种好处,例如检测他人遗漏的威胁和异常情况; 实时检测威胁; 消除加密货币盲目性; 减少 SOC 调查和应对威胁所需的时间; 验证端到端加密货币合规性; 提供从核心到边缘再到云的可见性; 并使安全团队能够通过其他安全工具(如 SIEM、SOAR 等)创建协调一致的响应。

相比之下,深度数据包检测 (DPI) 是一种较旧的传统方法,主要适用于未加密货币或明文协议,例如 HTTP。 但是加密货币会破坏 DPI,并允许恶意负载隐藏在加密货币流量中。 简而言之,DPD 为网络防御者提供了比 DPI 更清晰的加密货币网络流量视图。

BN:ETA 在更广泛的网络检测和响应解决方案中扮演什么角色?

TP:加密货币流量分析是一种通过将 DPD 和高级行为分析与机器学习相结合来为防御者恢复网络可见性同时为用户保护隐私的方法。 恶意威胁参与者和恶意软件系统操作员使用一组称为命令和控制 (C2) 的技术与受感染的目标系统进行通信。 威胁参与者使用 C2 技术来模拟预期的良性流量,使用通用端口和标准加密货币协议来避免检测。 尽管有这些预防措施,具有机器学习功能的 ETA 仍可有效识别网络上的恶意 C2 活动,以便你阻止攻击。 即使对连接内容的可见性为零,ETA 也可以大量了解加密货币流量的行为,并帮助网络防御者确定其网络检测和响应活动的优先级。

BN:ETA 的下一步是什么?或即将到来的?

TP:加密货币流量分析将通过对加密货币流的持续表征和行为模式识别,进一步强化组织的长期安全战略。 这延伸到端点、资产和端到端加密货币,将良性和预期流量映射到恶意异常。 网络钓鱼和远程访问协议 (RDP/VPN) 仍然是勒索软件和国家资助的 APT 参与者的主要感染媒介。 ETA 对异常特征的高保真检测将是阻止未来攻击的关键。

图片来源:Rawpixel.com / Shutterstock

资讯来源:由0x资讯编译自BETANEWS,版权归作者Ian Barker所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢