回顾:Bricata为传统IPS / IDS增加了威胁搜索功能 - 沐鸣娱乐新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

回顾:Bricata为传统IPS / IDS增加了威胁搜索功能

浏览次数:493日期:2019-06-11小编:沐鸣

  欢迎访问沐鸣平台网址,目前,即使是针对任何大中型企业的最基本的网络安全防御措施,也将包括入侵防御系统(IPS)或入侵检测系统(IDS)。即便按照自身,由安全团队不断监控的经过良好调整的IPS / IDS系统也可以捕获大多数网络问题和安全漏洞。然而,许多组织停在那里的事实导致了成功攻击的增加,这些攻击专门设计用于在IDS盲点中运行。


  沿着网络安全成熟度阶梯迈出下一步并非易事。为了增强保护,大多数组织都在努力添加新的程序和技术,例如端点保护平台或欺骗网络。更好的安全性通常还需要增加IT人员,并为他们提供更好的工具和培训。即使这样,新的员工和程序也必须集成到安全信息和事件管理(SIEM)控制台,甚至是全面的网络运营中心,才能完全有效。这更像是参加马拉松比向下一步迈向增强保护和网络成熟度。


  这就是Bricata平台可以发挥作用的地方。在它的核心,Bricata提供先进的IPS / IDS保护,具有多个检测引擎和威胁源,以保护网络流量和核心资产。但它更进一步,增加了基于事件或简单异常发起威胁搜寻的能力。这将使组织能够使用他们已经用于IPS监控的相同人员和工具来开始网络级威胁搜索。如果没有安装额外计划或重新培训工作人员的痛苦,这将是朝着更好地保护的正确方向迈出的良好一步。


  Bricata不会完全了解网络远端发生的所有事情,例如在端点上运行的活动进程,但它确实以比大多数其他IPS / IDS设备更全面的方式覆盖核心网络流量。结合其威胁搜索功能,它可以帮助找出绕过其他保护措施的未知威胁 - 并且可以使用他们已经熟悉的工具与现有员工一起完成。


  首先将Bricata视为纯IDS系统,它被部署为物理或虚拟设备,作为主要的整合点和用户界面。这又链接到网络传感器,网络传感器部署在网络阻塞点以捕获流量数据。虽然Bricata传感器几乎总是部署在网络网关上,但它们还可以放置在核心资产或网络流量流动的内部点周围,以使平台可以看到潜在威胁的水平移动。


  整个安装在本地完成,并且不需要收集的流量数据离开网络。它也不依赖于与云服务或外部主机的永远连接,但它会定期接收其威胁情报引擎的更新。流量数据默认存储在设备中11天,在具有回顾功能和占用大量空间之间取得平衡。通过限制执行威胁搜索时可以搜索的数据量,这也可以使界面保持快速。有一个选项可以将流量数据导出到外部存储或云,以防组织希望保持时间长于Bricata存储所有内容。


  在我的测试中,Bricata作为具有高级功能的IPS / IDS的效率是显而易见的。查看主要的IPS界面,潜在威胁以一种可疑恶意软件的形式出现,该恶意软件进入网络并下载到客户端。确认该程序可能是恶意的相当容易。这就是大多数IDS系统停止的地方。管理员可以清除受感染的计算机并继续执行下一个警报。但是,在这种情况下,这不会阻止问题。


  更多的潜水,Bricata能够证明在登陆客户端几秒后,恶意软件开始向网络中的其他系统发送信号。 Bricata传感器检测到大多数IPS控制台看不到的横向移动。事实上恶意软件已复制到其他系统上,因此从初始系统中追逐并清除它本身并不会带来太多好处。由于内部传感器记录的横向移动产生的流量,Bricata能够检测到这一点 - 并且它可以在端点本身没有代理的情况下完成。


  考虑到Bricata可以收集的流量数据量,添加威胁搜索工具很有意义,尽管以这种方式使用它并不真正感觉像是在寻找威胁,并且可以由已经训练过使用核心IPS的任何人完成安慰。


  Bricata在每个活动信息屏幕的顶部添加了一个亮橙色的Hunt按钮。单击该按钮将显示启动搜索的选项,该搜索将关注目标或源IP地址,或同时关注两者。这提供了一个跳跃点,作为监控IDS时安全团队无论如何都会做的自然延伸。启动搜索会显示有关来自或来自可疑主机的流量或其间通信的所有相关信息。例如,如果网络上的任何其他客户端涉及可疑IP地址,则可以一目了然。


  其他Bricata狩猎工具可以进行深度数据包检查,甚至可以下载实际可疑的恶意软件,以便使用防病毒,沙盒或其他外部工具进行其他测试。反向测试功能甚至可以使发现的威胁针对历史数据运行,以查看它们是否能够通过以前未修补的防御。


  即使有大量可用的信息,Bricata也能很好地收集所需的信息,以帮助建立关于可疑事件发生方式和地点的最重要图片。任何熟悉控制台的IPS / IDS部分如何工作的人都很难成为一名称职的威胁猎手。如果是这样的话,只需要很少的培训。


  此接口中还捆绑了一些高级威胁搜索功能,这些功能通常仅存在于专用威胁搜索程序中。 例如,可以检查流量以手动查找异常,甚至是不触发警报的异常。 这将是一个纯粹的威胁狩猎活动,用户会形成预感并进行自己的调查。 虽然这是一种先进的技术,但通过简单地使用该程序的更多指导狩猎功能,它很容易在这里学习。


  希望提高网络安全成熟度,但不知道如何掌握制度化威胁搜寻等高标准的组织可以考虑安装Bricata IPS / IDS平台。 这不仅可以实现极其强大的入侵防护,还可以充当威胁搜寻活动的门户,允许用户在执行日常任务时进行自我训练,并保护网络免受已知和未知威胁的侵害。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有