在日前剛剛結束的RSA2013(美國)大會上，Blue Coat惡意軟件研究人員Chris Larsen談論了網(wǎng)絡中的異常行為，即員工及其電腦做出的奇怪的行為。安全部門需要保護企業(yè)員工及其電腦，但他們也應該追蹤這些異常行為。

例如，有一天，Larsen看到超過700個用戶訪問了惡意域名。然后，他將重點放在點擊超過6次的9名用戶上，發(fā)現(xiàn)其中一名用戶的名稱超過50個字符，這就很可疑。Larsen表示：“這可能是很可怕的東西，這也是我們試圖尋找的，潛在的高級的有針對性的攻擊。”

Larsen的數(shù)據(jù)來自于從Blue Coat的K9 Web保護瀏覽器插件收集的異常行為，該插件會警告用戶惡意網(wǎng)站，并執(zhí)行控制。不過，企業(yè)也可以從防火墻日志來挖掘這些信息，將大量的日志數(shù)據(jù)轉變成關于潛在危險的情報信息。

防火墻和托管安全專家為企業(yè)提供了幾個方法來找出網(wǎng)絡中的異常行為：

1. 了解網(wǎng)絡

在收集數(shù)據(jù)之前，企業(yè)需要知道“正常”行為是什么樣的。Larsen只從Blue Coat的K9網(wǎng)絡獲取了5%的數(shù)據(jù)，因為這些是表現(xiàn)異常的行為。

托管安全供應商Dell Secureworks安全戰(zhàn)略主管Jeff Williams表示，企業(yè)也需要這樣做，通過分析其網(wǎng)絡，企業(yè)就可以知道哪些行為屬于異常行為，找出他們需要注意的5%的數(shù)據(jù)。

“如果你了解你的網(wǎng)絡，知道哪些系統(tǒng)應該和哪些其他系統(tǒng)通信，以及它們之間的通信情況，應該發(fā)生的頻率等，都能夠幫助了解何為‘正常行為’，”他表示，“只有你了解何為正常行為，才能夠找出異常行為。”

2. 收集所有數(shù)據(jù)

企業(yè)還需要配置其防火墻和其他設備來收集正確的數(shù)據(jù)。在很多情況下，企業(yè)只會存儲丟棄的流量，因為他們認為這些數(shù)據(jù)是最有趣的。但防火墻管理公司FireMon首席技術官Jody Brazil表示，最嚴重的攻擊往往能夠穿過防火墻。

他表示，企業(yè)通常會禁用最常用的防火墻規(guī)則上的日志，很多時候因為防火墻負擔過重。

Brazil表示：“如果防火墻在做自己的工作以及丟棄流量，而你信任你購買的這個技術，那我們?yōu)槭裁匆獙⒅攸c放在被丟棄的流量，而不是通過防火墻的流量?”

3. 找出愚蠢的異常行為

很多安全團隊試圖找出每個進入其網(wǎng)絡的威脅，他們很快就會不堪重負。事實上，企業(yè)應該從簡單的入手，找出那些看似愚蠢的異常行為，首先弄清楚是怎么回事。

Blue Coat的Larsen只注重那些最“招搖”的異常流量來減少其團隊的工作量。在其RSA大會的展示中，他查看了訪問了被列為“可疑網(wǎng)站”的用戶，隨后設置了更高的標準，檢查點擊超過30個可疑網(wǎng)站的10名用戶，其中一名用戶訪問了37次包含35個x的.com頂級域名。他試圖找出異常行為中的異常行為，這往往可能是真正的目標。

4. 結合威脅情報

很多時候，安全團隊并不需要大量流量來發(fā)現(xiàn)惡意活動，而是流量的來向或去向。免費的黑名單和威脅數(shù)據(jù)源，再結合企業(yè)的防火墻日志，往往就能夠找出惡意攻擊。

Brazil表示，現(xiàn)在有很多像樣的威脅情報源，以及廉價的工具，企業(yè)可以結合這兩者與其防火墻數(shù)據(jù)來找出惡意活動。

5.回過頭來檢查

Blue Coat的Larsen表示，收集關于攻擊的情報能夠暴露攻擊者的動機，并同時幫助訓練安全團隊和事件響應者。然而，即使在系統(tǒng)被清理和調(diào)查結束后，檢查被感染的用戶仍然會有所收獲。