網路活動程序怎麼判斷異常

  1. 瞭解網路

  在收集資料之前，企業需要知道“正常”行為是什麼樣的。Larsen只從Blue Coat的K9網路獲取了5%的資料，因為這些是表現異常的行為。

託管安全供應商Dell Secureworks安全戰略主管Jeff Williams表示，企業也需要這樣做，通過分析其網路，企業就可以知道哪些行為屬於異常行為，找出他們需要注意的5%的資料。

  “如果你瞭解你的網路，知道哪些系統應該和哪些其他系統通訊，以及它們之間的通訊情況，應該發生的頻率等，都能夠幫助瞭解何為‘正常行為’，”他表示，“只有你瞭解何為正常行為，才能夠找出異常行為。”

  2. 收集所有資料

  企業還需要配置其防火牆和其他裝置來收集正確的資料。在很多情況下，企業只會儲存丟棄的流量，因為他們認為這些資料是最有趣的。但防火牆管理公司FireMon首席技術官Jody Brazil表示，最嚴重的攻擊往往能夠穿過防火牆。

  他表示，企業通常會禁用最常用的防火牆規則上的日誌，很多時候因為防火牆負擔過重。

  Brazil表示：“如果防火牆在做自己的工作以及丟棄流量，而你信任你購買的這個技術，那我們為什麼要將重點放在被丟棄的流量，而不是通過防火牆的流量?”

  3. 找出愚蠢的異常行為

  很多安全團隊試圖找出每個進入其網路的威脅，他們很快就會不堪重負。事實上，企業應該從簡單的入手，找出那些看似愚蠢的異常行為，首先弄清楚是怎麼回事。

  Blue Coat的Larsen只注重那些最“招搖”的異常流量來減少其團隊的工作量。在其RSA大會的展示中，他查看了訪問了被列為“可疑網站”的使用者，隨後設定了更高的標準，檢查點選超過30個可疑網站的10名使用者，其中一名使用者訪問了37次包含35個x的頂級域名。他試圖找出異常行為中的異常行為，這往往可能是真正的目標。

  4. 結合威脅情報

  很多時候，安全團隊並不需要大量流量來發現惡意活動，而是流量的來向或去向。免費的黑名單和威脅資料來源，再結合企業的防火牆日誌，往往就能夠找出惡意攻擊。

  Brazil表示，現在有很多像樣的威脅情報源，以及廉價的工具，企業可以結合這兩者與其防火牆資料來找出惡意活動。

  5.回過頭來檢查

  Blue Coat的Larsen表示，收集