Hvor høyt prediktive svartelister jobbe
Tidligere svartelister inkludere den globale verste lovbryteren liste (GWOL), som er en rull med nettsteder som er kjent for å være enten angrep kilder eller inneholder skadelig programvare, og de lokale verste lovbryteren lister (LWOL), som er lokale svartelister som er opprettet av en organisasjon. GWOLs vanligvis kommer fra sikkerhetsleverandørene som tilbyr web-filtrering tjenester, mens LWOLs er generelt støttet av en lokal organisasjon. Holde seg oppdatert på disse listene kan være tidkrevende og kostbart, som de trenger for å være kontinuerlig oppdatert for å holde i forkant av trusler.
Den svært prediktive svartelister, men sammenligne selskapenes brannmurlogger - som deles via SANS Institute DShield datasenter - og søk etter overlapping. For hver deltakende organisasjon, kan angripere da bli rangert basert på den beregnede sannsynligheten for at de vil gå etter en bestemt selskapets nettverk. Hvis du for eksempel er visse nettverk rammet av samme opprinnelse plassering på Internett, kan spådommer gjøres om fremtidige angrep og som individuelle nettverk har lignende egenskaper og er mest sårbare.
Den svært intelligent svarteliste (HPB) tilnærming er unik; det gir mulighet for tilpasset svartelisting basert på viktigheten til en gitt bedrift. En HPB gir en organisasjons brannmurer individualisert angreps data og integrerer en oppfinnsom relevans basert ranking oppsett basert på Googles Pagerank-system, som analyserer hypertekstlinker. For eksempel, la oss si at du er en Department of Defense entreprenør som bidrar angrepslogger til DShield. Fordi du er ikke den eneste forsvar entreprenør bidrar til DShield, kan datasenteret utvikle en liste over IP-adresser som har vært kjent for å angripe andre forsvar entreprenører og utvikle en liste for din organisasjon basert på historiske angreps data fra lignende organisasjoner.
Mens jeg jobbet i forsvarssektoren, var det ikke uvanlig å høre om et angrep mot et annet selskap, bare for å se nøyaktig samme angrepet mot vår organisasjon en uke senere. Meget prediktive svartelister ville ha fungert bra i den situasjonen fordi vi ville ha hatt muligheten til å blokkere fornærmende IP-adresser før de målrettede vår organisasjon.
HPBs drive mer effektivt enn tradisjonelle GWOL-baserte svartelister, som krever en tilstrekkelig mengde av angrep eller malware trafikk før uakseptable IP-adresser eller IP-serier blir innarbeidet.
For mer informasjon
Lær mer om forskningen som førte til svært intelligent svarteliste method.A SearchSecurity.com leser spør søknad pro Michael Cobb " Vil bruk hvitelister og svartelister stoppe spam " Send John Strand dine spørsmål om den nyeste informasjonen sikkerhetstrusler. Saken for høyt prediktive svartelister
Ideelt sett bør hver organisasjon gjør hvitelistebaserte beslutninger. Nettsteder som ansatte får lov til å få tilgang bør uttrykkelig tillatelse, og alle andre domener bør avvises.
Men for mange organisasjoner, er et slikt optimalt arrangement ikke er mulig, enten teknisk eller politisk. På grunn av disse problemene, bedrifter ofte slår til svartelister, søker å luke ut så mange farlige domener som mulig.
Selv om SANS Internet Storm Senter ledende forsker Johannes Ullrich sa HPB tilnærmingen kan være bedre " med en faktor på 10 eller mer " enn tradisjonelle svarteliste tilnærminger, advarer han også at det er noen ting som sikkerhet proffene må være klar over.
Fordi HPBs er tilpasset, kan enkelte selskaper får lite utbytte av opplegget. Husk at disse listene er basert på angreps data fra organisasjoner som ligner på din, og er avhengig av data fra disse organisasjonene blir opplasting til DShield. Hvis organisasjonen er unik, eller andre lignende organisasjoner ikke laste opp informasjon til DShield, er det lite data for dem å lage en liste som passer din bedrift. Meget prediktiv svartelister er en voksende forskningsområde, og vil bli bedre over tid.
Også mange organisasjoner bruker svært intelligent svartelistet som en del av deres Ingress beskyttelse, eller deres metoder for å forsvare seg mot angrep som kommer inn. Organisasjoner, men bør også bruke HPB som en del av deres utgående eller utgående, filtrering tilnærming . Men vær oppmerksom på at dette er neppe et universalmiddel for å begrense brukere fra å gå til dårlige nettsteder. Selv om dette forsvar kan hindre den alminnelige bruker som utilsiktet klikker på en link, vil en bestemt bruker som bevisst prøver å omgå bedriftens egress filtrering finne en måte å bruke proxy filtrene til å gjøre det. Et enkelt Google-søk etter " bypass Websense " trakk over 50.000 treff, noe som tyder på at brukerne fast bestemt på å omgå proxy filtre kan få god hjelp.
For å komme i gang å teste HPB for din organisasjon, må du registrere deg med DShield, som er en gratis tjeneste, og begynne å levere angreps data fra IDS og brannmurer. Alle data som mottas av DShield kan deles med ansatte i SANS, SANS instruktører, og tredjepartsleverandører. Ha dette i bakhodet når du laster opp data til kontrollsenteret. Jeg anbefaler på det sterkeste å teste denne tilnærmingen før implementere det, og du bør også veterinær deling av loggene med DShield før du setter i gang. Føl deg fri til å lese SANS Institute policy for deling av informasjon i tillegg. HPB er en ny teknologi, og alle nye teknologier må være fullt utvalgte og testet før gjennomføring.
Implementering svært forutsigbar svartelisting kan redusere teknisk eksponering og holde brukerne fra ikke-godkjente nettsteder. Hvis du ikke kan implementere hviteliste tilnærming, hvorfor ikke implementere den beste svarteliste tilnærming mulig?