走私的覆盆子Pis试图窃取密码，网络分析主管Sandrew Tsonchev，返利机器人，2017年11月27日星期一，Darktrace最近在一家主要医疗保健提供商的网络上检测到两个流氓设备。他们是由一位值得信任的员工带到网络上的，因为目前还不清楚的原因，他正试图获取用户证书并分析网络的防御措施。Darktrace的人工智能算法已经建立了对组织正常网络活动和数字基础设施的详细了解。当两个新设备进入网络并向子网路由器发送"重定向主机数据报"消息时，Darktrace发现异常并实时发出警报。这是三种异常中的第一种：在网络中引入了两个未知的覆盆子Pis根据MAC地址，新引入的设备被确定为两个Raspberry-pi。一旦进入网络，它们就开始像网关一样，使用远程主机在其他路径上发送数据包。最初人们认为这名内幕人士利用这些设备进行ARP欺骗。但是，子网路由器没有响应消息。这些设备试图将用户重定向到虚假的安全调查第二个异常发生在这些设备开始信标到一个罕见的外部端点时，这个端点被解析为Amazon云服务。这种活动通常出现在与指挥控制中心的尝试通信中，但没有返回的入站流量。相反，云服务平台，少有的目的地是一个网站，这与一个内部网站被用来主持安全调查完全相同。在访问调查之前，员工需要输入他们的用户凭据。除了收集用户凭证，调查还提出了一系列对攻击者极为有用的问题。这项调查包括一些问题，旨在了解他们的防病毒和防火墙的状态，以及用户是否在多个服务中使用相同的密码。内部人员试图通过DHCP分配请求隐藏设备最后一个异常是当其中一个设备对一个单独的子网上的IP地址发出DHCP分配请求时。它拥有与侵权设备相同的主机名，但有一个新的MAC地址。本质上，内部人员试图通过DHCP释放和分配请求手动更改设备的IP地址来隐藏设备。每一个异常都代表着一个微妙的偏离组织正常的"生活模式"。通过将这些薄弱的威胁指标联系起来，Darktrace能够发现一个更大的模式来揭示整个故事：一个恶意的内部人士将覆盆子Pis偷运到网络上，诱使用户访问一个假网站，窃取他们的证书，并测试网络的防御能力，所有这些都隐藏在网络防御之外。通过实时发出警报，店铺淘客怎么做，大数据啥意思，Darktrace帮助确保没有用户成为攻击的受害者。不久之后，Pis从网络上消失了。虽然罪犯从未被抓获，但该组织还没有经历过类似的威胁，云赚，这表明内幕人士要么离开了该组织，要么继续躲藏起来。自事件发生后，这家医疗保健提供商对其网络进行了重组，并采用了大量新的物联网设备。黑暗种族的算法是不断学习和重新学习正常，因此，如果恶意内幕再次出现，黑暗种族将立即发现他们的存在在网络。安德鲁TsonchevAndrew是网络安全技术专家，为Darktrace的战略客户提供高级威胁防御建议，人工智能和自主反应。他拥有威胁分析和研究背景，拥有牛津大学一流的物理学学位和伦敦国王学院的一流哲学学位。他对网络安全和国家重要基础设施受到威胁的评论已经在包括CNBC和BBC在内的国际媒体上报道世界。分享在LinkedIn上的FacebookTweetShare发送电子邮件