US-Verteidigungsministerium arbeitet mit GreyNoise zusammen, um WWW-Scans zu untersuchen
[ad_1]
Dasjenige Verteidigungsministerium hat GreyNoise Intelligence kürzlich zusammensetzen potenziellen 5-Jahres-Vertrag oben 30 Mio. US-Dollar zugesprochen, um dieser Behörde derbei zu helfen, internetweite Scan- und Angriffsaktivitäten zu identifizieren und zu verstehen. Jener Vertrag verlängert die Zusammenarbeit von GreyNoise mit dieser Defense Neuerung Unit schon seit dieser Zeit März.
Wenn man bedenkt, dass jede Maschine im WWW von Netzwerkanfragen und anderen Arten von Kommunikationsaktivitäten bombardiert wird, ist dies WWW ein makellos Ort. Sehr wohl würde nur ein Teil des Datenverkehrs qua rechtmäßiger Teil einer Transaktion oder qua Reaktion aufwärts eine Klasse von Anwendungsaktivität respektiert. Dasjenige bedeutet nicht, dass dieser Rest des Verkehrs schlecht ist – dies meiste davon ist im Prinzip nur Schrott.
Bedrohungsakteure scannen notfalls dies WWW, um herauszufinden, welche Ports geöffnet sind oder welche Dienste notfalls umgesetzt werden. Oder es könnte sich um zusammensetzen routinemäßigen Scan durch eine Geschäftsanwendung handeln. Ob Junk oder boshaft, die Sicherheitstools kennzeichnen sie, um aufwärts ungewöhnliche Ereignisse hinzuweisen, welches Sicherheitsanalysten vor die schwierige Preisgabe stellt, gezielte Angriffe aus Scan-Aktivitäten herauszufiltern, die entweder qua opportunistisch oder harmlos respektiert werden.
Wissen, welche nicht wichtig sind
Hier glänzt GreyNoise. Dasjenige internetseitige Sensornetzwerk des Unternehmens sammelt Scandaten und analysiert die Herkunft, um Analysten den Kontext z. Hd. die Scans zu liefern. Bedrohungsforscher können nachher Spitzen beim Scannen suchen, um neue Ausbrüche von Wurmaktivität zu wiedererkennen, oder Angreifer, die Systeme aufwärts bekannte (und ungepatchte) Schwachstellen untersuchen. Sicherheitsanalysten können selbstbewusst irrelevante oder harmlose Aktivitäten herausfiltern und ihre Kraft darauf verdichten, echte Bedrohungen aufzudecken und zu untersuchen.
In dieser Standpunkt zu sein, zu identifizieren, welches unberücksichtigt werden kann, ist einer dieser häufigsten Anwendungsfälle z. Hd. GreyNoise, sagt Gründer und Geschäftsführer Andrew Morris. Eine Organisation erhält notfalls eine Sicherheitswarnung oben eine unbekannte IP-Postadresse, die versucht, mit einem hochwertigen System zu kommunizieren. Unselbständig von dieser Trennschärfe des Zielsystems könnte die Warnung z. Hd. weitere Untersuchungen und mögliche Abhilfemaßnahmen eskaliert werden. Ein Analytiker kann die IP-Postadresse in GreyNoise nachschlagen – und wenn er feststellt, dass es sich um zusammensetzen opportunistischen Scan und nicht um zusammensetzen gezielten Übergriff handelt, kann dies Team die Priorität dieser Warnung herabsetzen. Die Kriminalbeamter können sich aufwärts andere, dringendere Bedrohungen verdichten.
Viele dieser anomalen Verhaltensweisen, mit denen sich Organisationen auseinandersetzen sollen, sind in dieser Regel „wahllos/opportunistisch/ziellos und internetweit“, sagt Morris. „Obwohl opportunistische Angriffe triumphierend sein und Schaden auftischen können, ist dies nebst gehärteten Netzwerken statistisch selten“, sagt er.
GreyNoise wird von mehreren Teams und Funktionen im gesamten Verteidigungsministerium zu Verteidigungszwecken eingesetzt, so dies Unternehmen.
Weniger Warnungen, mehr Zeitersparnis
Analysten werden täglich mit Hunderten von Warnungen konfrontiert, und wenn sie ihre Zeit damit verleben, Warnungen zu untersuchen, die nicht wichtig sind, ist dies die Zeit, in dieser dieser Analytiker zusammensetzen tatsächlichen gezielten Übergriff nicht bemerkt oder darauf reagiert.
GreyNoise behauptet, dass Kunden ihre Alarmlast um 25 % reduzieren – in vielen Fällen kann die Reduzierung solange bis zu 38 % betragen, sagt Morris.
Den Unterschied zwischen einem gezielten und opportunistischen Übergriff zu Kontakt haben, spart Analysten viel Zeit, insbesondere in großen Netzwerken, sagt Morris. Die tatsächlich eingesparte Zeit hängt vom Benachrichtigungsvolumen dieser Organisation und dieser Ticket-Schließzeit (oder -Triage) ab. Zu Gunsten von ein kleines Kaufhaus mit einer relativ geringen Quantität von Warnungen mag die Zeitersparnis durch ein reduziertes Warnungsvolumen nicht viel erscheinen, daher z. Hd. ein größeres Unternehmen mit einem größeren Warnungsvolumen ist die Zeitersparnis „massiv“, sagt Morris.
„Zu Gunsten von ein Security Operations Center (SOC) ist es ideal, Sicherheitsanalysten mitzuteilen, worüber sie sich keine Sorgen zeugen sollen, da dies weniger Zeit z. Hd. die Erledigung von Warnungen bedeutet, die keine Gefahr darstellen, und mehr Zeit z. Hd. die Suche nachher verdächtigen Aktivitäten bedeutet“, Dusty Miller, an Ingenieur beim Sicherheitsdienstleister Hurricane Labs, schrieb kürzlich in einem Blogbeitrag, wie dies Unternehmen GreyNoise einsetzt.