SIEM 检测到哪些类型的攻击?

安全资讯 小布 480浏览 0评论

安全信息和事件管理 ( SIEM ) 解决方案以其能够通过监视数据源的异常活动并将它们置于上下文中以获得安全洞察来提供对 IT 环境的可见性的能力而闻名。2021 SIEM 报告,76% 的受访网络安全专业人士表示,SIEM 提高了他们检测威胁的能力。但是SIEM 解决方案可以检测哪些类型的威胁?让我们回顾一下2021 SIEM 报告的最佳结果。

未经授权的访问

虽然未经授权的访问不是一种特定类型的攻击,但它通常表明可能正在进行。外部攻击者可能会使用诸如蛮力攻击之类的方法来尝试破解用户的密码,但 SIEM 解决方案可以检测到重复的访问尝试。一旦检测到,SIEM 可以实时将此信息上报给安全分析师,使他们能够调查事件并在没有限制登录尝试次数的内置参数的情况下锁定帐户。

内部攻击

有两种类型的内部攻击者:恶意的和意外的。恶意内部人员是使用他们拥有的访问权限窃取或破坏敏感数据的不高兴或投机取巧的员工。也可能是尚未删除其凭据的前雇员。SIEM 可以监控员工行为并标记该特定用户或访问级别的任何意外活动。例如,如果前员工的帐户突然变得活跃,或者员工正在访问他们在工作中不需要的文件或数据库,这些事件将立即上报给安全分析师。

意外的内部人员攻击是那些在攻击期间无意中帮助外部不良行为者转向的人。例如,如果员工错误地配置了防火墙,这将使组织更容易受到攻击。由于安全配置非常重要,SIEM 可以在任何更改发生时创建事件,将其升级给安全分析师以确保它是有意且正确实施的。

恶意软件感染

恶意软件是一个广义的术语,通常包括为禁用或破坏计算机系统而创建的任何类型的软件,如病毒、勒索软件、蠕虫、特洛伊木马等。虽然安全日志可能会发出可能表明存在漏洞的警报,但它也可能只是因为很容易被误报。SIEM 解决方案使用事件关联来更好地确定真正的感染和潜在的攻击源点。

拒绝服务攻击

拒绝服务 (DoS) 攻击会破坏系统或设备(如网络服务器)的标准操作。这种攻击用流量淹没目标,这会阻塞正常流量并迫使其拒绝访问。此类攻击通常会导致服务速度减慢或完全崩溃。SIEM 将能够从 Web 流量日志中标记此类异常事件,确定事件的优先级并将其发送给分析师以进行进一步调查。

劫持

劫持是指攻击者控制系统、网络或应用程序。例如,当威胁行为者拦截会话令牌以访问用户帐户时,就会发生会话劫持。SIEM 解决方案监控用户行为并可以检测可疑活动,例如用户访问他们通常不使用的系统或有多个活动会话。此外,对 root 访问权限的任何更改都会被记录下来,因此如果威胁行为者试图提升权限,SIEM 可以将此信息上报给安全团队。

高级持续威胁

高级持续威胁 ( APT ) 是极其复杂的攻击者,他们在很长一段时间内使用高度隐蔽的方式来破坏和保留对系统的访问权限。由于这些攻击非常隐蔽,它们可能不会在系统的某些部分触发警报,或者它们引起的警报被视为良性的。在 SIEM 解决方案中具有事件关联有助于展示异常行为模式,将其标记为安全分析师应该调查的真正问题。

Web 应用程序攻击

有多种攻击 Web 应用程序的策略。例如,SQL 注入攻击通过注入未经授​​权的恶意 SQL 语句来操纵查询。通常,SQL 注入用于查找和读取、更改或删除他们原本无权访问的敏感信息。SIEM 解决方案可以监控来自 Web 应用程序的活动,可以标记任何异常活动,并使用事件关联来查看在此事件期间是否发生了任何其他更改。

网络钓鱼

网络钓鱼使用欺骗性电子邮件或其他通信方式让恶意软件越过边界或访问凭据。这些电子邮件通常包含嵌入在电子邮件中的恶意链接或附件。一旦攻击者拥有合法凭据,他们似乎可以毫无问题地登录系统,并尝试提升他们的权限以获得 root 访问权限和对系统的完全控制。但是,SIEM 解决方案能够监控员工行为。例如,SIEM 可以跟踪身份验证活动。虽然攻击者的凭据可能是合法的,但他们的位置或登录时间可能不同。任何不寻常的身份验证尝试都会实时创建一个事件,使分析人员能够锁定待调查的用户。

使用 SIEM 集中安全

归根结底,SIEM 解决方案不仅仅可以针对这些攻击监控您的环境。他们集中和规范化数据流,简化安全分析师的调查过程。通过仅升级已被列为真正危险的事件,分析师不必浪费时间调查良性威胁,并且可以减少停留时间和对组织造成损害的风险。

转载请注明:布尔云安的博客 » SIEM 检测到哪些类型的攻击?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址