多くの会社が第一にインターネットセキュリティ脅威のことを考えています。セキュリティ脅威の大半は内部で発生すると思います。Forrester Researchによると、セキュリティー侵害の大半は85%の可能性で内部従業員が関係しています。私が今日主張したいことは、内部脅威だけを気にするだけでなく、かれらを外部脅威とは少し違う扱い方をする必要があると思います。

Scan の監視

インターネットでのSYN, XMAS, RST/ACK, FIN,等の監視は主に驚くべきものになります。あなたのインターネットコネクションの3アタックタイプのボリュームは頻繁に行われ(1時間ごと)本当のセキュリティ脅威よりももっと迷惑なものです。なぜ、私は彼らを‘迷惑なもの’と呼んでこのインターネットスキャンを減らすのでしょう。これらのコネクションのコンスタントな一斉攻撃を止めるのは不可能だからです。それらを追跡し止めるのは不可能ですが、あなたたちは6から10以上に匹敵するものを止めることはできます。ほとんどの会社において、それらをブロックすることでシンプルにスキャンを取り扱っています。

上記スキャンの監視は確実に内部で行われる必要があります。例えば内部にSYNスキャンを検出することは悪い物に感染する原因をつくります。悪いものとはソフトウェアダウンロードか内部でないマシン使用を通してネットワークの中に入ってきます。 おそらくパソコンが自宅で感染し会社に持ち込まれるのです。 これはどんなときでも起こります。

侵害されたインターネットホスト
その他のセキュリティー実行は内部ホストがインターネットで通信している監視に関わっています。もしbadリストに並んでいるホストでトラフィックを交換したら、イベントはアクションを引き起こします(通信ブロックなど)。なぜならその‘リスト’はインターネットに影響を及ぼします。インターネットルータでのみ行われるこのタイプのトラフィックやネットフローエクスポート、sフローエクスポートの準備費を調べたりするものです。I

False Positive Alarmsはどうなのか
自然なビジネスアプリケーションのせいでfalseアラームが全てのソリューションで起こります。しかし、すばらしくデザインされたセキュリティーシステムはセレクトルータ、スイッチとエンドシステムを可能にします。エンドシステムとは各異常検出アルゴリズムから排除されるためのものです。システムヘルプの期間は様々な活動を獲得し、システムの精密さをよりよく認識させ予期せぬトラフィックパターンに警告を与えてくれます。それぞれのアルゴリズムにルータとスイッチを選択してください:

 

選択されたアルゴリズムから特定のホストを排除します:

フローAnalyticsに検出された様々なトラフィック異常の部分的なリストはマニュアル14ページにあります。このブログのパート2では特定の活動パターンのアラームと同様に通信とフロー活動について論じます。

Michael Patterson
Scrutinizer Product Manager
Follow Me on Twitter