Awake Security Platform:一款用NTA實現惡意行為檢測的工具

2019-07-13 138149人圍觀 終端安全網絡安全

隨著企業及各類組織機構逐漸將網絡的使用轉向云和遠程,傳統網絡的定義在逐漸發生變化。同樣,物聯網設備的使用越來越多,加密和影子系統的使用越來越頻繁,我們也就可以理解,為什么一直以來在保持網絡和系統安全方面的問題都得不到妥善的解決。

更重要的是,網絡犯罪分子也在不斷的改變策略:他們越來越依賴惡意軟件,并開始將攻擊目標轉移到竊取合法憑證上,并通過使用已部署在常規環境中的工具生存下來,例如python的腳本、powershell、WMI、PsExec或Microsoft Office的宏命令等。

惡意行為的檢測是一項挑戰,尤其是在其已經與合法行為相結合的情況下,企業試圖通過傳統的網絡取證工具(如RSA NetWitness)以及一些網絡流量分析(NTA)工具(如Darktrace)來解決這些問題。現在,越來越多的服務需求方開始向二者相結合的技術方向發展,這便是Awake Security出現的原因。

Primary_Awake_Logotype_Transparent.jpg

網絡個體追蹤

Awake安全平臺可用于分析通信,無論是傳統網絡數據包,還是vSwitch流量,或者來自云以及針對SaaS應用程序、無服務計算實例的API調用,均可通過Awake平臺實現,同時它還側重于安全團隊不可見的運營技術網絡。

Awake首席執行官Rahul Kashyap表示,這個安全平臺通過傳統的網絡SPAN或TAP/云TAP/虛擬交換機TAP/SaaS API鏈接,以訪問數據包、通信等,然后,我們通過對這些所得數據等實時分析發現企業或組織機構中的“資產”(設備、用戶、應用程序等)以及通信另一方的域來構建安全知識圖(我們將其稱為EntityIQ)。

awakesecurity-122018-1.jpg

Awake Security Platform自動識別和追蹤網絡上的業務資產

其針對網絡上的個體的發現和分析是自主完成的,該平臺執行完整數據包和加密流量分析,不依賴(可更改的)IP地址進行追蹤。

檢測惡意行為和意圖

一旦對網絡目標進行了分析,該平臺就會將行為及其關系進行歸類。然后針對性的解決方案就會通過這些個體的屬性和行為中提取數百萬個信號以及原始通信和網絡數據、威脅情報和用戶行為分析來檢測新的攻擊者策略。這些信號將會交于Awake的神經網絡和機器學習模型分析。在此過程中,該平臺通過相似性分析對網絡個體進行聚類,從而可以更好的發現表現出惡意意圖的異常數據。

這種方法有效的避開了時間因素、多個網絡協議和流的攻擊者策略,以及技術和程序(TTP),該公司的研究團隊致力于通過于MITRE ATT和CK框架報紙一致來確保TTP的廣泛覆蓋。

awakesecurity-122018-2.jpg

平臺成功識別4個IP電話,用于提供語音呼叫信息

Kashyap指出,通過對時間和每個個體行為追蹤的分析,我們可以發現網絡中的威脅行為、惡意行為以及已知的各類指標。安全團隊還可以自行對目標信息進行增補。平臺會對每個網絡目標提供類似風險評級的信用評分,以及詳細的行為和時間戳,向用戶說明高風險的原因。

awakesecurity-122018-3.jpg

Awake平臺根據風險對網絡環境中的目標進行評分

每個結果信息都可以通過產品界面進行訪問,也可以于企業或組織的SIEM一起使用,并集成到EDR中。可以與業務流程平臺的集成,可以與防火墻/代理等相連接。

額外功能添加

隨著網絡攻擊技術的發展,Awake平臺也能夠進行同步發展。

與亞馬遜采取的Alexa平臺方法類似,Awake提供了一個開放式平臺,能夠允許用戶通過當前可用的方法具體解決新問題,而不是強制使用整個解決方案來應對最新威脅。

對此,Kashyap表示,Awake平臺,分析師可通過一種名為QueryIQ的語言對其進行訪問和其他操作。該語言有一個詞匯表,可以為平臺添加新的檢測和響應技能。具體而言,Awake允許用戶自行使用這種語言依據實際需求對其進行更改。

awakesecurity-122018-4.jpg

Awake平臺可以創建新的檢測功能,以適應不斷變化的網絡威脅

加入一個普通的網絡攻擊者正在使用powershell這種工具連接到類似Twitter這樣的已知網站,那么便可以通過“命令和控制—檢測這種行為”這樣簡單的方式對其進行檢測,非常易于操作,甚至不需要專門耗時去處理。同樣,當一個客戶在使用這個平臺的時候,如果他擔心他們的員工會遭到釣魚欺騙,那么就可以構建一種檢測機制來發現那些虛假的網站或郵箱賬號。

awakesecurity-122018-5.jpg

任何Awake平臺的使用者都可以訪問針對域名的攻擊信息

簡而言之,Awake Security Platform的出現,使得其公司成為了先進的網絡流量分析(NTA)解決方案的提供者,可廣泛用于各類安全工作者、威脅獵手以及CSO們。 

*參考來源:helpnetsecurity,Karunesh91編譯,轉載請注明來自FreeBuf.COM

相關推薦
取消
Loading...

特別推薦

推薦關注

官方公眾號

聚焦企業安全

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图 连码三全中怎么买才赢 彩票25选7开奖结果查询 北京快3开奖快结果 最精准的平码计算公式 终于知道四方河南麻将一直赢 广东闲来麻将ios 疯狂飞艇是官方的吗 哈灵上海敲麻麻将下载 大发棋牌官网多少? 湖南常德麻将 吉林十一选五开奖结果查询 闲来广东麻将 股票新手入门 开元棋牌下载安装能提现 四人麻将游戏单机版下载 山东11选5开奖结果表