網路流量的概念
網路流量管理的重要性
異常流量與潛在威脅
| 主題 | 內容概述 | 舉例 |
|---|---|---|
| 網路流量(Network Traffic) | 網路流量是跨網傳輸的數據量,理解正常流量有助於辨識異常。 | 多國跨設備間的數據傳遞,對安全性要求高。 |
| 異常流量(Abnormal Traffic) | 發現數據流中不正常的高量流量,可能暗示安全威脅。 | 高頻數據外洩可能暗示攻擊者試圖外泄如用戶密碼或內部數據。 |
| 指標(IoC) | 協助定位問題的具體證據,如觀察外向流量與正常流量的巨大不同。 | 觀測獲得數據是否有監聽(Indicator of Compromises) |
| 攻擊案例: data exfiltration數據外洩 | 非法數據傳輸,如透過後門程式外發數據至攻擊者手中。 | 知識產權、機密數據無預警地流出組織。 |
| 安全專業人員的角色 | 幫助保障差傳通數據的機密性、數據的統一;及保密(Socket layers) |
help security analysts detect network traffic abnormalities by providing a way to identify an attack. IoCs provide analysts with specific evidence associated with an attack, such as a known malicious IP address, which can help quickly identify and respond to a potential security incident.
| 監控要點 | Flow Analysis | 封包負載資訊(Packet Payload Information) | 時間模式(Temporal Patterns) |
|---|---|---|---|
| 關鍵知識點 | 流量(Flow)指的是網路通信的傳輸活動,其中包含與網路封包(Packets)、通訊協定(Protocols)和埠號(Ports)相關的資訊。 | 網路封包包含與數據傳輸相關的資訊,例如:來源IP、目的IP與負載信息(Payload Information)。 | 封包中包含時間相關的數據,可用來分析網路通訊的時間模式。 |
| 細節說明 | 封包可以傳到特定的埠號,埠號負責接收和傳輸信息。特定埠號常與通訊協定相關聯,例如:埠號443通常用於HTTPS協定,提供加密通訊。 | 封包負載是封包中實際傳輸的數據。若數據被加密,則需要解密才能分析其內容。 | 例如,某公司正常的業務流量集中於上午9點到下午5點之間,這段期間可視為基線活動。 |
| 惡意行為警示 | 攻擊者可能利用不常見的通訊協定protocols或埠號ports來維持與受感染系統的通訊(Command and Control/C2)。例如,使用埠號8088來運行HTTPS,而不是通常的埠443。 | 組織能藉由監控負載資訊,發現潛在的異常行為,例如:敏感數據被傳出網路外,這可能意味著資料外洩攻擊(Data Exfiltration)。 | 若某時間段的大流量發生在非基線的正常時間(例如深夜),這是一種異常情況,必須進一步調查。 |
| 建議措施 | 組織需要明確哪些埠號該保持開啟及被允許連線,並密切注意通訊協定與埠的不匹配現象。 | 監控負載資訊以辨識敏感數據傳輸的異常活動,並採取措施防止資料外洩。 | 當發現異常時間模式時,應立即調查並確認是否存在潛在威脅。 |
通常是指資料在不被偵測的情況下從一個系統傳輸至另一個系統或位置
| 範疇 | 定義與功能 | 舉例或補充說明 |
|---|---|---|
| 網路流量 | 資料移動量,包含傳輸種類(如HTTP)。 | 用來了解是否存在異常資料流動量或不正常的連接。 |
| 基準線 (Baseline) | 供比較參考的數據標準,類似於個人預算的支出上限。 | 若流量超出一般工作時段的固定標準,應進行調查。 |
| 流量分析 | 監控封包、協議與端口。查看協議或端口是否與預期匹配。 | 例子:HTTPS通常是使用443端口,但惡意行為可能透過8088端口進行指令與控制 (C2)。 |
| 封包有效載荷(Payload) | 每個封包內傳輸的實際數據內容。需要解密才能查看資料以檢測可疑行為。 | 如敏感數據在非授權情況下移動出網路(資料外洩攻擊)。 |
| 時間模式 (Temporal Patterns) | 分析封包的時間資訊,以探測異常的流量時間。 | 例子:公司美國區域一般流量活躍於9AM至5PM,大量的夜間流量應調查原因。 |
| IDS (入侵偵測系統) | 偵測並警示設定範圍內的異常事件。 | 常見工具:分析封包中的惡意模式,如釣魚或惡意軟件的跡象。 |
| Packet Sniffer | 網路協議分析工具, 記錄與分析網路封包,用於進一步手動分析。 | 工具:tcpdump、Wireshark。 |
| NOC 與 SOC 的差異 | NOC專注於網路效能,SOC專注於網路安全與事件應答。 | NOC 確保網路不會停機,而 SOC 保衛系統免於安全威脅。 |
Network monitoring tools
**NOC(Network Operations Center):**專注於網路效能、可用性及正確運作。
**SOC(Security Operations Center):**專注於安全性(偵測、安全事件應對)。
資料外洩攻擊
3)防禦過程—從企業角度
1. 防禦初次進入: prevent attacker access
- 方法:採用多因素驗證 (MFA) 防止釣魚攻擊。
2. 持續監控網路活動 monitor network activity:
- 監控異常行為,例如來自外部 IP 的多次登入嘗試。
3. 資產目錄 (Asset Inventory): protect assets/asset inventories and security controls.
- 全面分類並記錄資產,套用適當的安全控制。
4. 監測與應對資料外洩:
- 使用異常數據分析:例如大規模文件傳輸或不預期的文件寫入。
- 工具:SIEM 可以發送警報,管理員可進一步調查與堵截攻擊。
- 防禦手段:透過防火牆封鎖攻擊者 IP。
yennefer
iThome鐵人賽
看影片追技術