1、不尋常的出站網(wǎng)絡(luò)流量

　　也許最大的跡象就是不尋常的出站網(wǎng)絡(luò)流量。“常見(jiàn)的誤解是網(wǎng)絡(luò)內(nèi)部的流量都是安全的，”AlgoSec公司高級(jí)安全戰(zhàn)略家Sam Erdheim表示，“查看離開(kāi)網(wǎng)絡(luò)的可疑的流量，我們不僅要關(guān)注進(jìn)入網(wǎng)絡(luò)的流量，而且還要注意出站流量。”對(duì)于現(xiàn)代攻擊，企業(yè)很難阻止攻擊者進(jìn)入網(wǎng)絡(luò)，因此，企業(yè)更應(yīng)該關(guān)注出站流量。NetIQ公司解決方案戰(zhàn)略主管Geoff Webb表示：“所以，最好的辦法是檢查網(wǎng)絡(luò)內(nèi)部的活動(dòng)，以及檢查離開(kāi)網(wǎng)絡(luò)的流量。受攻擊的系統(tǒng)通常會(huì)呼叫命令控制服務(wù)器，你可以密切關(guān)注這種流量，以阻止攻擊。”

　　2、特權(quán)用戶賬戶活動(dòng)異常

　　在精心策劃的攻擊中，攻擊者要么提升他們已經(jīng)攻擊的賬戶的權(quán)限，要么使用攻擊的賬戶進(jìn)入更高權(quán)限的其他賬戶。從特權(quán)賬戶查看不尋常的賬戶行為不僅能夠發(fā)現(xiàn)內(nèi)部攻擊，而且還可以發(fā)現(xiàn)賬戶被控制。Webb表示，“特權(quán)用戶行為的變化可能表明其他人正在使用該賬戶來(lái)攻擊你的網(wǎng)絡(luò)，企業(yè)應(yīng)該關(guān)注賬戶變化，例如活動(dòng)時(shí)間、訪問(wèn)的系統(tǒng)，訪問(wèn)的信息的類型或數(shù)量。”

　　3、地理異常

　　無(wú)論是否是通過(guò)特權(quán)賬戶，登錄和訪問(wèn)中的地理異常也可以表明攻擊者正在試圖從很遠(yuǎn)的地方進(jìn)行攻擊。例如，企業(yè)發(fā)現(xiàn)正在與沒(méi)有業(yè)務(wù)往來(lái)的國(guó)家之間的流量往來(lái)時(shí)，應(yīng)該進(jìn)行調(diào)查。ThreatTrack Security公司安全內(nèi)容管理主管Dodi Glenn表示，同時(shí)，當(dāng)賬戶在短時(shí)間內(nèi)從世界各地不同IP登錄，這可能是攻擊的跡象。

　　4、登錄異常和失敗

　　登錄異常和失敗可以提供很好的線索來(lái)發(fā)現(xiàn)攻擊者對(duì)網(wǎng)絡(luò)和系統(tǒng)的探測(cè)。Beachhead Solutions公司產(chǎn)品專家Scott Pierson表示，多次登錄失敗也可能標(biāo)志著攻擊的發(fā)生，檢查使用不存在的用戶賬戶的登錄，這通常表明有人試圖猜測(cè)用戶的賬戶信息以及獲得身份驗(yàn)證。同樣的，在下班時(shí)間嘗試獲得成功登錄也可能表明，這不是真正的員工在訪問(wèn)數(shù)據(jù)。企業(yè)應(yīng)該對(duì)此進(jìn)行調(diào)查。

　　5、數(shù)據(jù)庫(kù)讀取量激增

　　當(dāng)攻擊者入侵企業(yè)并試圖滲出信息時(shí)，你可能會(huì)發(fā)現(xiàn)數(shù)據(jù)存儲(chǔ)中的變化。其中之一就是數(shù)據(jù)庫(kù)讀取量激增。瞻博網(wǎng)絡(luò)首席軟件架構(gòu)師Kyle Adams表示：“當(dāng)攻擊者試圖提取完整的信用卡數(shù)據(jù)時(shí)，他會(huì)產(chǎn)生巨大的讀取量，這肯恩比你通常看到的信用卡讀取高出很多。”

　　6、HTML響應(yīng)大小

　　Adams還表示，如果攻擊者使用SQL注入來(lái)通過(guò)web應(yīng)用程序提取數(shù)據(jù)的話，攻擊者發(fā)出的請(qǐng)求通常會(huì)包含比正常請(qǐng)求更大的HTML響應(yīng)。他表示：“例如，如果攻擊者提取全部的信用卡數(shù)據(jù)庫(kù)，那么，對(duì)攻擊者的單個(gè)響應(yīng)可能會(huì)是20MB到50MB，而正常響應(yīng)是200KB。”

　　7、大量對(duì)相同文件的請(qǐng)求

　　攻擊者需要進(jìn)行大量的試驗(yàn)和犯錯(cuò)才能發(fā)動(dòng)攻擊，他們需要嘗試不同的漏洞利用來(lái)找到一個(gè)入口。當(dāng)他們發(fā)現(xiàn)某個(gè)漏洞利用可能會(huì)成功時(shí)，他們通常會(huì)使用不同的排列組合來(lái)啟動(dòng)它。Adams表示，“因此，他們攻擊的URL可能在每個(gè)請(qǐng)求上會(huì)有所改變，但實(shí)際的文件名部分可能會(huì)保持不變，你可能會(huì)看到單個(gè)用戶或IP對(duì)‘join.php’進(jìn)行500次請(qǐng)求，而正常情況下，單個(gè)IP或用戶最多只會(huì)請(qǐng)求幾次。”

　　8、不匹配的端口應(yīng)用流量

　　攻擊者經(jīng)常利用模糊的端口來(lái)繞過(guò)更簡(jiǎn)單的web過(guò)濾技術(shù)。所以，當(dāng)應(yīng)用程序使用不尋常的端口時(shí)，這可能表明命令控制流量正在偽裝成“正常”的應(yīng)用程序行為。Rook Consulting公司SOC分析師Tom Gorup表示，“我們可能會(huì)發(fā)現(xiàn)受感染的主機(jī)發(fā)送命令控制通信到端口80，它們偽裝成DNS請(qǐng)求，乍一看，這些請(qǐng)求可能像是標(biāo)準(zhǔn)DNS查詢;然而，你仔細(xì)看的話，你會(huì)發(fā)現(xiàn)這些流量通過(guò)非標(biāo)準(zhǔn)的端口。”

　　9、可疑的注冊(cè)表或系統(tǒng)文件的更改

　　惡意軟件編寫者在受感染主機(jī)內(nèi)保持長(zhǎng)期存在的方法之一是通過(guò)注冊(cè)表的更改。當(dāng)應(yīng)對(duì)基于注冊(cè)表的IOC時(shí)，創(chuàng)建基線是最重要的部分，Gorup表示，“定義正常的注冊(cè)表應(yīng)該包含的內(nèi)容，這基本上創(chuàng)建了一個(gè)過(guò)濾器。監(jiān)測(cè)和警報(bào)偏離正常模板的變更，將提高安全團(tuán)隊(duì)的響應(yīng)時(shí)間。”同樣地，很多攻擊者可能會(huì)留下跡象表明，他們已經(jīng)篡改了主機(jī)的系統(tǒng)文件和配置，企業(yè)可以通過(guò)查看這些變化來(lái)快速發(fā)現(xiàn)受感染系統(tǒng)。他表示，“可能發(fā)生的情況是，攻擊者將安裝數(shù)據(jù)包嗅探軟件來(lái)獲取信用卡數(shù)據(jù)，攻擊者會(huì)瞄準(zhǔn)可以查看網(wǎng)絡(luò)流量的系統(tǒng)，然后安裝這種工具。雖然捕捉這種攻擊的機(jī)會(huì)很渺茫(因?yàn)樗鼈兎浅＞哂嗅槍?duì)性，可能以前沒(méi)有見(jiàn)到過(guò))，但企業(yè)可以發(fā)現(xiàn)系統(tǒng)的變更。”

　　10、DNS請(qǐng)求異常

　　根據(jù)Palo Alto公司高級(jí)安全分析師Wade Williamson表示，企業(yè)應(yīng)該查看的最有效的攻擊跡象是，惡意DNS請(qǐng)求留下的告密者模式。他表示，“命令控制流量通常對(duì)于攻擊者是最重要的流量，因?yàn)樗试S他們持續(xù)管理攻擊，并且，他們需要保護(hù)這種流量，以確保安全專家不會(huì)輕易發(fā)現(xiàn)，企業(yè)應(yīng)該識(shí)別這種流量的獨(dú)特模式，因?yàn)樗軌蛴脕?lái)發(fā)現(xiàn)攻擊活動(dòng)。”他表示，“當(dāng)來(lái)自特定主機(jī)的DNS請(qǐng)求明顯增加時(shí)，這可能表明潛在的可疑行為，查看到外部主機(jī)的DNS請(qǐng)求模式，將其與地理IP和聲譽(yù)數(shù)據(jù)對(duì)照，并不熟適當(dāng)?shù)倪^(guò)濾，可以幫助緩解通過(guò)DNS的命令控制。”

　　11、莫名其妙的系統(tǒng)漏洞修復(fù)

　　系統(tǒng)修復(fù)通常是好事情，但如果系統(tǒng)突然毫無(wú)征兆地進(jìn)行修復(fù)，這可能表明攻擊者正在鎖定系統(tǒng)，使其他攻擊者不能使用它來(lái)進(jìn)行其他犯罪活動(dòng)。“大多數(shù)攻擊者試圖利用你的數(shù)據(jù)來(lái)賺錢，他們當(dāng)然不希望與其他人分享勝利果實(shí)，”Webb表示。

　　12、移動(dòng)設(shè)備配置文件變更

　　隨著攻擊者轉(zhuǎn)移到移動(dòng)平臺(tái)，企業(yè)應(yīng)該關(guān)注移動(dòng)用戶的設(shè)備配置中的不尋常的變更。他們還應(yīng)該查看正常應(yīng)用程序的變更，更換成可能攜帶中間人攻擊或者誘使用戶泄露其登陸憑證的程序。Marble Security公司創(chuàng)始人兼首席信息官Dave Jevans表示，“如果托管移動(dòng)設(shè)備獲得一個(gè)新的配置文件，而不是由企業(yè)提供的，這可能表明用戶的設(shè)備以及其企業(yè)登陸憑證受到感染，這些配置文件可能通過(guò)釣魚攻擊或者魚叉式釣魚攻擊被安裝在移動(dòng)設(shè)備上。”

　　13、數(shù)據(jù)位于錯(cuò)誤的位置

　　根據(jù)EventTracker的Ananth表示，攻擊者通常在嘗試滲出之前，會(huì)將數(shù)據(jù)放在系統(tǒng)的收集點(diǎn)。如果你突然看到千兆級(jí)信息和數(shù)據(jù)位于錯(cuò)誤的位置，并且以你們公司沒(méi)有使用的壓縮格式，這就表明攻擊的存在。通常情況下，當(dāng)文件位于不尋常的位置時(shí)，企業(yè)應(yīng)該進(jìn)行嚴(yán)格審查，因?yàn)檫@可能表明即將發(fā)生數(shù)據(jù)泄露事故。HBGary公司威脅情報(bào)主管Matthew Standart表示：“在奇怪位置的文件，例如回收站的根文件夾內(nèi)，很難通過(guò)Windows發(fā)現(xiàn)，但這些可以通過(guò)精心制作的指示器來(lái)查找。”

　　14、非人類行為的web流量

　　Blue Coat公司威脅研究主管Andrew Brandt表示，與正常人類行為不匹配的web流量不應(yīng)該通過(guò)嗅探測(cè)試。他表示，“你在什么情況下會(huì)同時(shí)打開(kāi)不同網(wǎng)站的20個(gè)或者30個(gè)瀏覽器窗口?感染了不同點(diǎn)擊欺詐惡意軟件的計(jì)算機(jī)可能會(huì)在短時(shí)間內(nèi)產(chǎn)生大量Web流量。例如，在具有鎖定軟件政策的企業(yè)網(wǎng)絡(luò)中，每個(gè)人都只能使用一種瀏覽器類型，分析師可能會(huì)發(fā)現(xiàn)這樣的web會(huì)話，用戶代理字符顯示用戶在使用企業(yè)不允許的瀏覽器類型，或者甚至不存在的版本。”

　　15、DDoS攻擊活動(dòng)的跡象

　　分布式拒絕服務(wù)攻擊(DDoS)經(jīng)常被攻擊者用作煙霧彈來(lái)掩飾其他更惡劣的攻擊。如果企業(yè)發(fā)現(xiàn)DDoS的跡象，例如緩慢的網(wǎng)絡(luò)性能、無(wú)法使用網(wǎng)站、防火墻故障轉(zhuǎn)移或者后端系統(tǒng)莫名其妙地以最大容量運(yùn)行，他們不應(yīng)該只是擔(dān)心這些表面的問(wèn)題。Corero Network Security公司首席執(zhí)行官Ashley Stephenson表示，“除了超負(fù)荷主流服務(wù)外，DDoS攻擊通常還會(huì)‘壓垮’安全報(bào)告系統(tǒng)，例如IPS/IDS或者SIEM解決方案，這可以讓攻擊者植入惡意軟件或竊取敏感數(shù)據(jù)。因此，任何DDoS攻擊都應(yīng)該被視為相關(guān)數(shù)據(jù)泄露活動(dòng)的跡象。”