内幕生命周期
传统安全设计防止局外人进入万一敌人是内幕者会怎么样新范式必须探索,焦点需要向内移和数据流出方式
识别数据清除异常点对识别内幕员至关重要内幕有典型生命周期
开工识别敏感数据存储点
二叉从位置取回数据
3级组织内部移动数据准备排出
4级数据转移组织外
推理说,事件链中的弱点发生在步骤1、2和4中,内幕者必须通过漏点-接近数据并公开连接
事物查找
几乎在所有数据失窃案例中,内幕人员都可访问数据,但在许多情况下,内幕人员的作用在考虑所访问数据时会令人怀疑。因此,终端用户应结合他们访问的数据来审查作用。
步骤1内幕人试图识别服务器和服务器内位置,如数据库内敏感信息可能存放这一过程往往包含与正常交通相容的步骤,即使是对最谨慎内幕者也是如此
其中一些异常包括内幕人员试图识别数据库中哪些商店而不启动报警SQL质询可能涉及诸如行为等显示表并秀酷.
帮助内插点敏感数据比较用户上下文后,可触发报警内幕者会知道通过访问非授权数据会留下线索, 内幕者会尝试特权考试,例如发布百科全书SQL
类型异常检验接近敏感数据源提供漏点集中分析结合上下文分析(作用、位置、时间等)将增强分辨率并缩短发现时间作用定位等背景信息实用工具CiscoISE,可通过PxGRIDAPI调用
N.J.Percoco数据排出:数据流出方式评审400项数据排出并识别以下为数据排出最优方法:
本地远程访问应用27%
微软Windows网络分享28%
故障容量:FTP17%
故障容量:IRC2%
错误能力:SMTP4%
HTTP文件上传网站1.5%
原生FTP客户端10%
SQL注入6%
加密后门 <1%
检验数据类型异常交通可提供另一种强大的工具观察数据泄漏深入包分析可能帮助观察SQL近源查询数据,但我们不能依赖传统深包检验外流量查看敏感数据包,因为它们常入链子.rar系统或隐蔽格式
缓冲
Cisco工具箱帮助这场比赛,例如Cisco身份服务引擎,它能提供流量上下文同时,用户移位访问权限应调整
下链路描述PxGrid使用CiscoISE提取数据
Achilles的脚跟 很多这些清除尝试 依赖dNSCisco自定义威胁情报服务提供DNS活动分析以查明可疑DNS事件这份报告可识别外向请求发送已知恶意上传网站和隐蔽外向活动,除其他趣味和潜在危险外向调用外还调用TOR等服务
源火提供一套基本工具补充努力源火可标定这些并置入白列表 任何新服务旅行报警可使用退出规则并写目标识别SQL自定义规则强制查询参数并阻塞东西像showTablessssssele可按角色类型控制文件运动sourceFire可创建策略响应配置 以引导FPC系统保留全包捕获量 或为相关资产连接日志
摘要
开工记住内幕生命周期策略/工具:安全专业人员
二叉基线数据源访问策略/工具:SQL基准线、Forcefire等
3级基线流出流量,并特别通知顶层排空流量类型策略/工具:源火、NetFlow、Lancope等
4级观察基准异常点,特别注意上下文策略/工具:CiscoISE管理威胁防御Sourcefire
5级观察DNS行为查找清除尝试策略/工具:思科自定义威胁情报处
连接CISCO