四个见解网络元数据可以透露您的妥协级别

为什么网络元数据是一个低估和低估的威胁情报资源

由Lumu首席执行官Ricardo Villadiego

现代安全团队与许多流行网络电视节目中的顽强法医调查员不同。为了确定“谁完成它”，他们必须一起搭配小而看似无关的证据队伍。

但是，与电视调查员不同，今天绝大多数的安全团队往往没有意识到恶意事件甚至发生了—这就是为什么根据IBM的原因，甚至认识到他们首先遭到破坏的事实才需要平均企业。

这就是为什么安全分析师仔细研究网络元数据，该网络元数据代表最低限度和忽视威胁情报来源之一。对于从网络成功抵消数据的攻击者，攻击者必须使用网络本身移动数据。无论攻击者可能是多么隐秘，网络元数据的痕迹都不会落后。

网络生成的元数据的纯粹体积是惊人的，并且来自DNS查询和防火墙或代理访问日志甚至低于垃圾邮件 - 这些源上的每个源的元数据代表威胁智能的像素。就像以数字图像中的孤立的像素本身就不会告诉你，一旦收集，关联和组织所有这些像素，就会开始焦点 - 一个可以帮助回答最重要的问题今天的网络安全从业者：我们被妥协了吗？

以下是四个不同的见解，网络元数据可以帮助您明确回答这个问题。

网络元数据生成的四个见解

洞察1： DNS元数据可以验证对手与您的基础架构通信

域名系统（DNS）是Internet的电话簿，为设备，服务和资源提供分布式和分层命名系统—没有它，没有互联网。超过90％的日常使用互联网使用涉及DNS查询，因此’S一款金矿，以评估设备是否与对抗基础设施相互作用。

一旦设备成功损害，它通常所做的第一件事就是尝试解决属于对手的域，并且如果成功，则结论是不言而喻的：您的组织已受到损害。

对DNS元数据的分析也可用于检测其他告知折衷指示符，例如域欺骗和未解决的IP地址。分析DNS元数据可以特别有用的一个方面是识别域生成算法（DGA），该算法定期威胁到动态生成和激活它们可以协调并掩盖其攻击的随机域。

阻止恶意DNS请求是一个逻辑的第一步，但是，最终目标应该是从触发初始阻塞DNS请求的设备中消除剩余折衷。否则，妥协设备将连续触发DGA生成的恶意DNS请求，直到它成功连接到其命令&控制主控制台。

洞察2：代理和防火墙日志元数据可用于可视化泄露连接点

如果攻击者不使用域基础架构与受损基础结构通信，则它们唯一的其他选项是使用IP地址。在这种情况下，对抗性联系人的迹线将位于文件的访问日志中，该迹象包括在分析和与其他网络元数据组件分析和相关时，可以帮助将点连接到受损设备的星座之间。

例如，许多最持久的恶意软件级别将自动扫描寻找从中升级其权限和响应的可访问主机的网络，防火墙将阻止或删除连接。当防火墙从单个源主机丢弃大量不同的连接时，通常是一个非常好的指示，即入侵者已经内部并扫描网络以识别横向开口。

在大多数情况下，对手将选择使用DNS，因为它为攻击者提供了更大的灵活性，并且可以在更长的一段时间内未被发现。但是，如果攻击者被剥夺了此选项，则它们将默认为基于IP的通信方法，使其更重要的是包含该元数据来源。

洞察3： 分析NetFlow元数据可以阐明攻击者如何跨网络移动

一旦攻击者在网络中获得了立足点，它们就必须使用网络本身横向移动，以实现目标：主机数据的exfiltration或加密。在这种攻击的关键阶段，正在生成特定和不同类型的网络流量，让攻击者容易发现发现。

但是，由于网络是嘈杂的地方，所以识别和隔离这些标记可以特别棘手。分析NetFlow元数据可以提供关于他们如何穿越网络的重要线索，为网络防御者提供有价值的洞察力，攻击者试图升级特权或传播其有效载荷的方法。

洞察4： 垃圾箱中有不仅仅是垃圾邮件

您的电子邮件垃圾邮件不仅仅是垃圾电子邮件和网络钓鱼诱饵的容器。通过识别基于垃圾邮件本身的元数据联系到垃圾邮件基础架构的机器可以告诉我们对可能与同一组织有关的其他恶意活动的大量可能—特别是如果网络钓鱼链接是侵入的初始点。

将元数据与其他网络元数据元素相关，也有助于识别可以映射回个人用户的受损的端点，提供与车辆的事件响应者和法医团队追踪妥协的路线，更新其启发式以改善未来的检测威胁，最终限制了它的影响。

停止垃圾邮件是一个很好的第一步，但是，分析它更好，因为它可以告诉您谁以及您的组织如何被攻击。

这个古代的格言，“整体大于其零件的总和”已成为一个受欢迎的避免技术领导者，希望培养整体精神。但是，在看到网络的大图片时，您必须能够看到所有这些各个部件来理解整个画面。当您能够完全评估和集成所有这些离散部分时，网络元数据的实际力量会完全实现 - 只有这样，您才能将它们转换为可操作和有意义的东西。

关于作者

Ricardo Villadiego是Lumu的创始人和首席执行官。一位经验丰富的企业家和远见技术领导者专注于网络安全，Riceardo在过去的20年里度过了解决=一些最普遍的网络安全挑战组织面临的挑战。在Lumu之前，Ricardo成立了简单的解决方案，全球组织专注于预防和检测电子欺诈，这是Cyxtera Technologies的28亿美元收购的一部分，其中Ricardo领导了他们的网络安全业务部门。 Ricardo还在IBM，互联网安全系统和Unisys公司举行了各种领导职位。他是一名电气工程师，狂热的读者，无情地好奇，技术爱好者，目前与他的家人一起住在佛罗里达州。

里卡多可以在线到达 [email protected] 或者你可以在推特上跟着他 //twitter.com/rvilladiego 在我们公司网站上： http://www.lumu.io