加密貨幣流量分析對威脅檢測的作用 [Q&A]
每個人都在努力使他們的系統更安全,在許多情況下,這意味著採用加密貨幣來保護數據。
但是通過網路使用加密貨幣流量給安全團隊帶來了麻煩,因為惡意內容更難檢測。 我們與 Live Action 的安全產品總監 Thomas Pore 進行了交談,以了解有關該問題以及如何解決該問題的更多信息。
BN:加密貨幣流量如何影響當今的網路威脅檢測?
TP:越來越多地採用加密貨幣網路協議導致安全團隊的網路可見性惡化,而傳統工具的效率越來越低。 根據最近的一份報告,僅在 2021 年第四季度,通過加密貨幣連接傳遞的惡意軟體中有 78% 是逃避性的,突顯出高級惡意軟體攻擊的威脅日益增加。 此外,對 HTTPS 的接受度不斷提高、加密貨幣協議(如 DNS over HTTPS 和 TLS 1.3)的快速部署大大降低了對伺服器身份和內容檢查的可見性,使得網路防禦者的威脅檢測變得更加困難,在許多情況下幾乎是不可能的。 一旦進入組織的網路,威脅參與者就會利用加密貨幣會話橫向移動——從東到西。 傳統的檢測工具只檢查南北流量。 這為攻擊者提供了完成高級操作(例如勒索軟體攻擊)所需的優勢。
BN:什麼是加密貨幣流量分析,為什麼它對威脅檢測和響應很重要?
TP:加密貨幣流量分析是一種邊信道分析,它允許網路防禦者完成他們的工作,同時保持完全加密貨幣系統提供的隱私和網路完整性。 加密貨幣流量分析與機器學習功能相結合,隨著時間的推移評估複雜的數據模式並區分正常和異常活動,所有這些都無需訪問數據內容。 它允許安全團隊利用不同類型的 C2 活動(例如信標、TLS 指紋識別和數據包長度序列)來快速發現惡意行為和網路異常,這對於有效的威脅檢測和響應至關重要。 ETA 有效地實現了網路交易可見性,從而提供了有關加密貨幣流量的寶貴見解,以幫助網路防禦者。
BN:什麼是加密貨幣盲區,它如何影響組織安全?
TP:加密貨幣盲區是由於缺乏對加密貨幣流量的可見性導致網路中丟失(隱藏)威脅。 由於大多數現代 IT 網路流量現在都隱藏在加密貨幣中,黑客可以利用這一安全漏洞將他們的行為隱藏在加密貨幣流量中。 換句話說,當今組織中的大量流量未經檢查只是因為它是加密的,從而為攻擊打開了大門。 隨著威脅變得更加複雜和攻擊面擴大,許多傳統策略的有效性正在下跌,例如 IDS、IPS 和破解和檢查解密。 這比以往任何時候都更加挑戰組織安全的有效性。
BN:ETA 的深度包檢測 (DPI) 和深度包動態 (DPD) 有什麼區別?
TP:深度數據包動態 (DPD) 是一種評估網路數據包的新方法,無需進行有效負載檢查。 通過分析多供應商、多域和多雲網路環境中的 150 多個數據包特徵和行為,它可以更可靠地評估加密貨幣和未加密的流量。
當 DPD 與機器學習和 ETA 相結合時,它可以實現重新獲得加密貨幣流量可見性的獨特功能,並提供當今可用的一些最先進的網路檢測和響應功能。 這包括各種好處,例如檢測他人遺漏的威脅和異常情況; 實時檢測威脅; 消除加密貨幣盲目性; 減少 SOC 調查和應對威脅所需的時間; 驗證端到端加密貨幣合規性; 提供從核心到邊緣再到雲的可見性; 並使安全團隊能夠通過其他安全工具(如 SIEM、SOAR 等)創建協調一致的響應。
相比之下,深度數據包檢測 (DPI) 是一種較舊的傳統方法,主要適用於未加密貨幣或明文協議,例如 HTTP。 但是加密貨幣會破壞 DPI,並允許惡意負載隱藏在加密貨幣流量中。 簡而言之,DPD 為網路防禦者提供了比 DPI 更清晰的加密貨幣網路流量視圖。
BN:ETA 在更廣泛的網路檢測和響應解決方案中扮演什麼角色?
TP:加密貨幣流量分析是一種通過將 DPD 和高級行為分析與機器學習相結合來為防禦者恢復網路可見性同時為用戶保護隱私的方法。 惡意威脅參與者和惡意軟體系統操作員使用一組稱為命令和控制 (C2) 的技術與受感染的目標系統進行通信。 威脅參與者使用 C2 技術來模擬預期的良性流量,使用通用埠和標準加密貨幣協議來避免檢測。 儘管有這些預防措施,具有機器學習功能的 ETA 仍可有效識別網路上的惡意 C2 活動,以便您阻止攻擊。 即使對連接內容的可見性為零,ETA 也可以大量了解加密貨幣流量的行為,並幫助網路防禦者確定其網路檢測和響應活動的優先順序。
BN:ETA 的下一步是什麼?或即將到來的?
TP:加密貨幣流量分析將通過對加密貨幣流的持續表徵和行為模式識別,進一步強化組織的長期安全戰略。 這延伸到端點、資產和端到端加密貨幣,將良性和預期流量映射到惡意異常。 網路釣魚和遠程訪問協議 (RDP/VPN) 仍然是勒索軟體和國家資助的 APT 參與者的主要感染媒介。 ETA 對異常特徵的高保真檢測將是阻止未來攻擊的關鍵。
圖片來源:Rawpixel.com / Shutterstock