数据泄漏‘杀伤链’:早期检测是要害
|
现在,企业严峻依靠数据,个中很大一部门数据由敏感信息构成。跟着组织成为越来越敏感信息的保管人,数据泄漏的频率也响应增进。在某些环境下,数据泄漏的发源是在组织之外,黑客通过粉碎帐户乐成躲避组织; 而在其他环境下,数据泄漏涉及内部参加者,规划侵害组织并也许拥有正当根据的恶意员工或承包商。
按照2018年的Verizon数据泄漏观测陈诉中,涉及数据泄漏的最重要资产是数据库处事器(见图1)。这并不稀疏,由于大量的敏感数据存储在数据库中,这就是数据库安详性云云重要的缘故起因。
题目是,更实际的方针不是试图阻止数据泄漏,而是在早期发明裂痕。早期违规检测比违规提防更适用的缘故起因凡是是,恶意用户已经在组织内部,,滥用其会见敏感数据的正当权限。为了快速检测隐藏的数据泄漏,我们必要可以或许辨认违规的“早期迹象”。另一种要领是实行检测数据泄漏数月乃至数年。 早在2011年,洛克希德·马丁就将“收集杀伤链”界说为辨认和提防收集入侵进攻的模子。它界说了进攻者在典范的收集进攻中采纳的步调(图2)。
收集杀伤链的七个步调如下:
我们已经调解了收集杀害链以专门针对数据泄漏变乱,提供了进攻者已经在组织内部拥有会见权限的实例(图3)。
被招募或不测传染,被外部黑客攻下 ,进攻者继承举办侦察阶段; 这个阶段相同于原始收集杀害链中的侦察阶段,其方针是尽也许多地获取有关数据或资产的信息。在选择方针并获取足够的信息后,在开拓阶段。进攻者将实行获取对数据的会见权限。这可以通过进级其特权来实现。授予会见权限后,进攻者将实行获取敏感数据。此阶段可所以大型文件下载或对敏感数据的特定会见。最后一步是从组织中提取数据。 掩护数据库中的数据:纵深防止 深度防止原则是分层安详性可以改进您的整体安详状况。假如进攻导致一个安详机制失败,则其他机制仍可提供掩护体系所需的安详性。 为了更好地掩护数据库中的数据,您必要在隐藏进攻链的每一步辨认可疑勾当。这样,假如我们未能在特定步调检测到进攻,我们仍有机遇在以下步调中捕捉它。最好尽早发明进攻,最好是在恶意或受到进攻的小我私人获取数据会见权之前。
侦察阶段:可疑体系表扫描 体系表存储数据库的元数据。这些表包括有关全部工具,数据范例,束缚,设置选项,可用资源,有用用户及其权限的信息等信息。我们但愿进攻者在进攻的侦察阶段会见体系表,以便试探组织中的数据库,乃至变动数据库权限。行使体系表会见检测侦察进攻的挑衅是起码量的误报警,其依靠于正当用户按期会见体系表以执行其姑且使命。 为了乐成执行此使命,我们将呆板进修逻辑与规模常知趣团结,并将大量源和提醒相干联,以形成整体画面。区分对敏感体系表的会见和对非敏感体系表的会见。 操作大量的机能说明周期来研究差异类体系表的一般会见模式(如图4所示)。这些周期包罗:
我们还操作其他提醒来辨认对敏感表的正当会见,将正当用户(如DBA)与进攻者分隔。通过说明他们实行会见体系表的数据库数目,在统一时刻范畴内组织中数据库失败的登录次数等来辨认恶意用户。 我们可以看到进攻者在进攻当天会见了几个数据库中的新体系表。将这些信息与他们在进攻当天也无法登录某些数据库的究竟相团结,表白存在可疑勾当。 进攻者将继承实行从组织中窃取敏感数据,这是一个给定的。我们的方针是在任何现实的危险或任何敏感数据袒露之前尽早发明隐藏的裂痕。发明可疑的体系表会见是在侦察阶段捕捉进攻者的要害步调,他们如故试图找到他们的方法。假如在侦察阶段未检测到进攻,如故可以辨认数据泄漏进攻链中的非常,行使深度防止要领。借助规模常识专业常识和呆板进修算法,此要领应承您在数据泄漏的全部阶段检测威胁。 【编辑保举】
点赞 0 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
