FreeBuf|CrowdStrike | 无文件攻击白皮书( 五 )
本文插图
图2-CrowdStrike Falcon(猎鹰)平台
2)威胁图(Threat Graph)
CrowdStrike Falcon(猎鹰)平台由两种紧密集成的专有技术组成:一个是易于部署的智能轻量级代理;另一个是基于云的动态图数据库 , 即上面提到的威胁图(Threat Graph) 。 下图展示了威胁图的大致工作原理:
本文插图
图3-威胁图的工作原理
下表进一步梳理了威胁图的主要特性:
本文插图
表4-CrowdStrike Threat Graph(威胁图)的主要特性
阻止突破行为的最大挑战之一在于筛选大量数据 , 即众所周知的“大海捞针”——发现表明攻击即将发生或正在进行的蛛丝马迹 。 针对此挑战 , CrowdStrike采用了基于图数据库(参见上表中第一行)的革新技术(类似于Facebook和Google开发的技术) , 来检测已知和未知的威胁 。 下图展示了图数据库的结构的示例:
本文插图
图5-示例:图数据库的结构
在图数据库中 , 每个对象(称为顶点(vertex)或节点(node))可以有许多关系 。 这些关系被称为“边缘”(Edge) , 例如 , 上面的图模型代表了一组同事之间的社交互动和味觉偏好 。 Lisa和Marie表示顶点 , 它们之间的关系被视为一条边 。
传统数据库(如关系数据库)被设计成将数据放入预定义的模式中 , 如果新的数据类型或新的关系在原始设计中没有考虑到 , 那么信息将不会被存储 。 简单地说 , 对于传统的数据库模式 , 不适合的数据会丢失 。 而安全数据通常是非结构化和意外类型的 , 并不适合传统数据库进行存储 。
相反 , 图数据库可以轻松地存储和跟踪安全事件 。 在图数据库中 , 每一段数据及其独特属性 , 都存储为单独的对象 。 数据及其属性被附加到图中 , 使得图数据库能够无限增长和接受新类型的数据 。 因此 , 可以很容易地用属性和值填充图数据库 , 而无需遵循预定模式 , 还能够立即被搜索到 。 这使得图数据库非常擅长映射关系和揭示网络中实体之间的“相互关联性” 。
3)攻击指标(IOA)vs. 失陷指标(IOC)
IOC与IOA的根本区别如下图所示:
IOC(失陷指标)构成了一种被动姿态:恶意软件、特征码、漏洞利用、漏洞、IP地址的存在 , 是一个突破已经发生后留下的典型证据 。
IOA(攻击指标)代表了一种主动姿态:防御者正在寻找攻击可能正在进行的早期警告信号 , 例如代码执行、持久化、隐身、命令控制、网络内的横向移动 。
本文插图
图6-攻击指标(IOA)vs. 失陷指标(IOC)
对于两种指标的区别 , 打一个比方:
IOC(失陷指标)是犯罪发生后到达犯罪现场并根据留下的证据试图重现犯罪活动;
IOA(攻击指标)则是提醒攻击即将发生或正在进行的更微妙的迹象 。
对于两种指标的区别 , 再打一个比方(如下图所示):
IOC(失陷指标)像是放大镜;
IOA(攻击指标)像是摄像机 。
本文插图
图7-攻击指标(IOA)vs. 失陷指标(IOC)
如上图所示 , IOA(攻击指标)就像摄像机一样 , 能够提供实时记录和可见性 , 相当于你在(远程)实时观察家中的摄像机 。 IOA通过记录每一个动作发生的过程 , 准确地向你展示一个对手是如何潜入你的环境、访问文件、转储密码、横向移动、偷走数据 。
推荐阅读
- 科技边角料Pro|优酷员工私自下载数百个工作文件遭开除,索赔7.5万遭拒
- FreeBuf|前微软工程师窃取千万美元:自己买车买房,同事做替罪羊
- IT之家|苹果 iOS 14.3 Beta 增加全新 ProRAW 照片格式:每个文件约 25MB
- 互联网|腾讯发布 PC TIM 3.3.0 测试版:网盘云存储聊天文件
- 斗鱼|虎牙斗鱼三季度营收净利均增长,斗鱼透露已向SEC递交私有化文件
- 新能源汽车|未来15年新能源汽车“怎么跑”?这份文件指明发展新路径
- 平台|让无数商家头疼的“二选一”,国家出文件了!
- FreeBuf|MontysThree工业间谍软件分析
- FreeBuf|DamnVulnerableCryptoApp:一款功能强大的弱加密实现检测工具
- 杳无音讯|华为美国再上诉 要求公开孟晚舟案相关文件,此前一年多杳无音讯