用NTA实现恶意行为检测的工具Awake Security Platform该怎么用

发布时间:2021-12-18 15:31:07 作者:柒染
来源:亿速云 阅读:174

本篇文章给大家分享的是有关用NTA实现恶意行为检测的工具Awake Security Platform该怎么用,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

随着企业及各类组织机构逐渐将网络的使用转向云和远程,传统网络的定义在逐渐发生变化。同样,物联网设备的使用越来越多,加密和影子系统的使用越来越频繁,我们也就可以理解,为什么一直以来在保持网络和系统安全方面的问题都得不到妥善的解决。

更重要的是,网络犯罪分子也在不断的改变策略:他们越来越依赖恶意软件,并开始将攻击目标转移到窃取合法凭证上,并通过使用已部署在常规环境中的工具生存下来,例如python的脚本、powershell、WMI、PsExec或Microsoft Office的宏命令等。

恶意行为的检测是一项挑战,尤其是在其已经与合法行为相结合的情况下,企业试图通过传统的网络取证工具(如RSA NetWitness)以及一些网络流量分析(NTA)工具(如Darktrace)来解决这些问题。现在,越来越多的服务需求方开始向二者相结合的技术方向发展,这便是Awake Security出现的原因。

网络个体追踪

Awake安全平台可用于分析通信,无论是传统网络数据包,还是vSwitch流量,或者来自云以及针对SaaS应用程序、无服务计算实例的API调用,均可通过Awake平台实现,同时它还侧重于安全团队不可见的运营技术网络。

Awake首席执行官Rahul Kashyap表示,这个安全平台通过传统的网络SPAN或TAP/云TAP/虚拟交换机TAP/SaaS API链接,以访问数据包、通信等,然后,我们通过对这些所得数据等实时分析发现企业或组织机构中的“资产”(设备、用户、应用程序等)以及通信另一方的域来构建安全知识图(我们将其称为EntityIQ)。

用NTA实现恶意行为检测的工具Awake Security Platform该怎么用

Awake Security Platform自动识别和追踪网络上的业务资产

其针对网络上的个体的发现和分析是自主完成的,该平台执行完整数据包和加密流量分析,不依赖(可更改的)IP地址进行追踪。

检测恶意行为和意图

一旦对网络目标进行了分析,该平台就会将行为及其关系进行归类。然后针对性的解决方案就会通过这些个体的属性和行为中提取数百万个信号以及原始通信和网络数据、威胁情报和用户行为分析来检测新的攻击者策略。这些信号将会交于Awake的神经网络和机器学习模型分析。在此过程中,该平台通过相似性分析对网络个体进行聚类,从而可以更好的发现表现出恶意意图的异常数据。

这种方法有效的避开了时间因素、多个网络协议和流的攻击者策略,以及技术和程序(TTP),该公司的研究团队致力于通过于MITRE ATT和CK框架报纸一致来确保TTP的广泛覆盖。

用NTA实现恶意行为检测的工具Awake Security Platform该怎么用

平台成功识别4个IP电话,用于提供语音呼叫信息

Kashyap指出,通过对时间和每个个体行为追踪的分析,我们可以发现网络中的威胁行为、恶意行为以及已知的各类指标。安全团队还可以自行对目标信息进行增补。平台会对每个网络目标提供类似风险评级的信用评分,以及详细的行为和时间戳,向用户说明高风险的原因。

用NTA实现恶意行为检测的工具Awake Security Platform该怎么用

Awake平台根据风险对网络环境中的目标进行评分

每个结果信息都可以通过产品界面进行访问,也可以于企业或组织的SIEM一起使用,并集成到EDR中。可以与业务流程平台的集成,可以与防火墙/代理等相连接。

额外功能添加

随着网络攻击技术的发展,Awake平台也能够进行同步发展。

与亚马逊采取的Alexa平台方法类似,Awake提供了一个开放式平台,能够允许用户通过当前可用的方法具体解决新问题,而不是强制使用整个解决方案来应对最新威胁。

对此,Kashyap表示,Awake平台,分析师可通过一种名为QueryIQ的语言对其进行访问和其他操作。该语言有一个词汇表,可以为平台添加新的检测和响应技能。具体而言,Awake允许用户自行使用这种语言依据实际需求对其进行更改。

用NTA实现恶意行为检测的工具Awake Security Platform该怎么用

Awake平台可以创建新的检测功能,以适应不断变化的网络威胁

加入一个普通的网络攻击者正在使用powershell这种工具连接到类似Twitter这样的已知网站,那么便可以通过“命令和控制—检测这种行为”这样简单的方式对其进行检测,非常易于操作,甚至不需要专门耗时去处理。同样,当一个客户在使用这个平台的时候,如果他担心他们的员工会遭到钓鱼欺骗,那么就可以构建一种检测机制来发现那些虚假的网站或邮箱账号。

用NTA实现恶意行为检测的工具Awake Security Platform该怎么用

任何Awake平台的使用者都可以访问针对域名的攻击信息

简而言之,Awake Security Platform的出现,使得其公司成为了先进的网络流量分析(NTA)解决方案的提供者,可广泛用于各类安全工作者、威胁猎手以及CSO们。 

以上就是用NTA实现恶意行为检测的工具Awake Security Platform该怎么用,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。

推荐阅读:
  1. 用gem安装cocoapods工具包
  2. 更改INSM地址的操作

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

awake security platform nta

上一篇:apiserver的list-watch怎么使用

下一篇:如何进行springboot配置templates直接访问的实现

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》