开源SysFlow以应对云威胁
|
和Taylor在一篇博客文章中举例了一种示漏洞场景,结果证明该工具包是非常方便的。他们假设黑客发现了企业网络中存在漏洞的Node.js服务器,将恶意脚本下载到该服务器上,然后入侵了敏感的客户数据库。 两位研究人员解释说:“先进的监视工具只能捕获断开连接的事件流,但SysFlow可以连接系统上每个攻击步骤的实体。例如,突出显示的SysFlow跟踪情况可以精确地映射攻击杀死链的每一步:劫持node.js进程,然后与端口2345上的远程恶意软件服务器进行对话,以下载并执行恶意脚本。” SysFlow不仅可以帮助安全团队发现威胁,而且在这个过程中还能节省硬件资源。据IBM称,与传统工具相比,该工具包降低安全数据收集率是“数量级”的。 SysFlow具有内置的规则引擎,可自定义自动发现可疑事件。除了漏洞之外,该工具包还可以发现违反法规的情况,例如将财务记录保存在不恰当的地方。当需要进行更高粒度的检测时,安全团队可以将他们的自定义威胁识别算法编程到SysFlow中。 IBM认为,该平台可与其他开源工具一起使用。“SysFlow的开放序列化格式和库,支持与开放源代码框架(例如Spark、scikit-learn)和自定义分析微服务的集成,”Araujo和Taylor在博客中这样写道。
SysFlow能够将原始系统数据转换为高级别查看恶意行为情况,这个功能是其他解决方案也能提供的。目前有几家安全保护厂商(包括最近刚刚获得融资的初创公司Cybereason)都提供了商业化的调查工具,可以追踪攻击者攻击企业网络的路径。但是,IBM以开源的形式免费提供SysFlow,这一点将让SysFlow在安全工具生态 (编辑:南昌站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
