,, antimalware software, som vi har holdt vores hatte på så længe indeholder kun lidt mere end en illusion om sikkerhed.,,,,, heldigvis for mig, jeg prøvede en demo - enhed, men at det at fange vores kant internet trafik fra skiftede havn analysatorporten.det er fuldstændigt chokeret mig var, at så snart jeg vendte på apparatet og logget ind, jeg så, hvor meget vores problem virkelig var.vi begyndte straks at se malware sporing fra mere end et dusin systemer i virksomheden, selv om de alle havde antivirus installeret og blev opdateret med den nyeste virus definitioner.hver af disse infektioner var travlt med at styre og kontrollere callbacks at servere halvvejs rundt om i verden, og sandsynligvis havde været i et stykke tid. vi havde bare ikke vidst det.nogle af trafik viste sig at være relativ godartet forbindelse svindel, men andre malware sendte krypterede data, som vi ikke er i stand til at tyde.uanset hvad, så var det klart, at vi havde et problem, og at der må gøres noget.således begyndte min rejse til verden af sikkerhed analyse.,, malware berører os alle, uanset hvad forsvaret vores organisationer er på plads.det er en snigende og sofistikeret trussel, og antimalware software, som vi har holdt vores hatte på så længe indeholder kun lidt mere end en illusion af sikkerhed. i denne artikel, vil vi drøfte de forskellige typer produkter, der er nødvendige for at afsløre og forhindre moderne malware, fremme vedvarende trusler (apts), nul dag udnytter og mere, og omfatte metoder til at indføre data i et sikkerheds analyse program til at skabe en ny, bredere perspektiv på de trusler, som organisationen står over for. den første og vigtigste, teknologi, der støtter en malware centriske sikkerhed analyse system er en dedikeret avancerede malware forebyggelse produkt, som jeg som beskrevet ovenfor.i mit tilfælde fireeye var sælgeren, at jeg blev udvalgt på grundlag af sin enestående anvendelse af virtualization teknologi, men sælgere, herunder damballa, bit9 og mange andre tilbyder ligeledes tvingende produkter.,, fireeye trussel om forebyggelse, der analyserer trafik i realtid og begrænser malware inden for en virtuel maskine for yderligere analyse.produktet er stadig i stand til at finde fælles malware underskrifter, men det er også i stand til at basere påvisning af heuristiske opførsel af systemet.det er særlig vigtigt at identificere apts og nul dag angreb, for hvilke underskrifter, simpelthen ikke eksisterer, en ulempe med fireeye produkt er, at den påviser malware på systemer, der er tilsluttet nettet, at apparatet er omfattende.det er en enorm kløft; mange mobile anordninger ville gå ubeskyttet.det er, hvor agent-based metoder af virksomheder, som trusteer eller bit9 kom ind.ved at installere agenter på hver af deres endpoints, du kan beskytte anordninger, uanset hvor de er på kontoret, hjemme eller på vejen.,, hvis et dedikeret malware forebyggende system, vil ikke arbejde for din organisation, vil du tage et kig på din indtrængen forebyggende system (ips).jeg har set en lang række ips sælgere bygning malware påvisning regler i deres produkter, med nogle kommer tæt på de funktioner, som særligt avanceret malware påvisning sælgere tilbud.,, konfigurationsstyring, er også en vigtig del af en sikkerheds analyse program.tanken er, at du skal tage en oversigt over centrale konfigurationer og eksekverbar filer på deres kritiske systemer (domain servere, anvendelsen servere, webserver, database, servere osv.), da en angriber typisk vil forsøge at erstatte disse filer med nye versioner for at opretholde et fodfæste i deres miljø.den open source - version af snubletråd er en gratis dataintegritet værktøj til overvågning, der er fremragende, og at sikkerhed i sundhedssektoren har brugt længe. det kan virke lidt underligt, men vores netværk scanningsværktøj spiller en stor rolle i vores analyse af programmet.den bedste måde at forhindre malware fra at et miljø med effektiv hårdhed.hvis jeg må bruge et net scanner efter unpatched og forældede systemer på mit netværk, jeg kan udbedre dem, før de slemme fyre kompromis.den gode nyhed er, at fordi der er så mange konkurrerende net scanning sælgere, der er masser af gode aftaler at være havde, og træk varierer ikke meget fra vare til vare.der er også mindst et par gratis værktøj, der kan udføre net scanninger, herunder nessus og openvas, selv om de har visse begrænsninger i forhold til den betalte værktøj.,, en anden vigtig sikkerhed analyse for påvisning af trusler er log forvaltning.tanken er, at tage alle de stammer fra alle deres systemer og opbevarer dem i en centraliseret og sikkert sted for fremtidig behandling.når en angriber kompromiser, et system, som han eller hun normalt forsøger at slette alle beviser for indtrængen af redigering eller sletter systemet logbøger.vi læsser disse registre til et centralt register sikrer, at han var nødt til at gå til en langt større indsats for at manipulere med dem.også med centraliseret skovhugst, bliver det lettere at søge og rapporter om alle deres systemer og applikationer på en gang, er der nogle ting, der er værd at inspicere i jeres logbøger: gentagne mislykkede forsøg på at logge ind, efterfulgt af en vellykket, brugere, der normalt log i undersøgelsesperioden eller fra et sted, men pludselig kommer andetsteds fra. maskiner, der forbinder net - ip - adresser uden at gøre dns lookups eller forbindelser med store mængder - trafik.en af disse begivenheder kan være et problem, men en kombination tyder på et angreb, endnu en gang, om en kommerciel log forvaltning eller sikkerhed, information og begivenhedsplanlægegr produkt ikke er en mulighed, der er nogle store fri - siem værktøjer til rådighed.splunk er som en søgemaskine til jeres logbøger, og det kan være autoriseret til at fri til brug med op til 500 mb af kævler pr. dag.jeg har aldrig brugt det næste mig selv, men andre, jeg kender, har haft succes med en fri og åben kilde log forvaltningsværktøj ringede logstash.,, sidste stykke, som jeg vil anbefale til alle sikkerheds analyse - program er et netværk analyse redskab, som er i stand til at fange og analyserer strømdata fra deres forskellige netværk.denne strøm af data er et sammendrag af ip - adresser, havne, protokoller og data størrelser af trafikken, der flyder gennem deres netværk.dybest set er det det hele, men dataene selv.,, dit netværk analyse instrument vil gøre det muligt at finde mønstre i deres trafik, der tidligere var gemt.for eksempel, i begyndelsen af sidste år udsendte en blog hd moore ind på udnyttelse af forskellige stik og spille, eller upnp, simple service opdagelse protokol anordninger på internettet.med mit netværk analyse værktøj, jeg løb et spørgsmål til en ekstern kilde ip - adresse, som er rettet mod en af mine offentlige ip - adresser, ved hjælp af udp - protokol om portvin 1900.i 24 timer, der blev 539 tændstikker til dette mønster.barbarerne er faktisk banker på vores døre.,, fordi fremsendelse flowdata, er bare et indslag om nogle adresser og kontakter, er du nødt til at finde en måde at fange og mener, at denne data.det kunne være via et net af selskaber, som solarwinds analyse værktøj, netscout eller lancope, eller fra en af de log forvaltningsværktøjer, der allerede er blevet nævnt.jeg valgte et redskab til lynxeon af 21ct, baseret på dets evne til at gøre - analyse af ikke blot flowdata, men også andre datatyper.tillad mig at uddybe det,, jeg lavede en præsentation på adskillige konferencer sidste år opfordrede det magiske af symbiotiske sikkerhed, under hvilket jeg beskrev en sikkerhed økosystem, der fremmer integration. at vores værktøjer i siloerne og få dem til at arbejde sammen for at opnå størst mulig effektivitet.vores endelige mål i sikkerhed analyse bør gøre hver af de stykker, jeg nævnte ovenfor, arbejde sammen for at få et klart billede af de trusler, vi står over for.vi tager indberetningen af data fra vores malware - og indtrængen forebyggende systemer, der omfatter oplysninger om malware form, mål og kilde.vi er også alle de oplysninger, som vi har i systemer, hvor filen underskrifter har ændret sig selv.vi tager data om de svagheder, der findes på de forskellige systemer i vores miljø.og så tager vi de oplysninger, der hidrører fra logfiler, såsom mislykkede forsøg på at logge ind eller hensyn til lockout.vi gør dette med alle midler sælgeren giver os adgang til data.det kunne være via en api - ring, en simpel netforvaltning protokol indberetning eller endog direkte database forespørgsel.alle data er blevet lynxeon.næste gang, vi bruger mønster query language finder potentielt skadelig mønster i nogle eller alle af disse datasæt, her er nogle eksempler på de betænkninger, vi løber for at give os bedre indsigt i sikkerheden i vores net:,,, interne systemer, der forbinder til servere på http: //www.malwaredomainlist. kom.,, interne systemer, der forbinder mange andre interne systemer i en kort periode, interne systemer, der forbinder med eksterne systemer, som vores malware - eller indtrængen forebyggelse platforme har udløst en alarm.,, interne systemer, der anvender dns - servere, som ikke er en del af vores virksomheders infrastruktur.,,, og en af de seje ydelser som strømdata med andre data typer i min organisation er, atvi er i stand til at skabe mønstre, som bygger på hændelser på ét sted, og anvende disse mønstre for at finde tilsvarende problemer på andre steder, som ikke har alle den samme konstatering mekanismer på plads. den rådgivning, som beskrevet ovenfor, er baseret på, hvad vi har arbejdet for mig, og det er bestemt ikke en omfattende liste af værktøj eller værktøj, kategorier, men det giver et grundlag for at komme i gang med at bruge sikkerheds analyse til påvisning af trusler.om en sikkerheds analyse program i dit firma vil sandsynligvis ikke ske fra den ene dag til den anden, men de kan uden tvivl gøres, og som utvivlsomt vil vise sig at være yderst værdifuld, i at øge deres evne til at afsløre malware i hele organisationen.glem ikke at holde god målekriterier som de fremskridt, så du kan vise investeringsafkast til ledelsen.held og lykke!,,,,