您的系统已受到损害的十大迹象

高级持续性威胁 (APT) 依赖于我们无法检测、警报和响应任何可能表明我们的系统已受到损害的指标。这些指标包括：异常帐户活动、流量模式、注册表更改以及异常文件和文件夹活动。以下是判断您的系统是否受到威胁的 10 种主要方法。

1。可疑的特权帐户活动

如果攻击者获得对您网络上的用户帐户的访问权限，他们通常会寻求提升该帐户的权限，或使用它来访问具有更高权限的其他帐户。我们需要留意非工作时间的帐户使用情况、访问的数据量，并能够确定帐户活动是否不适合该特定用户。

2。可疑出站流量

我们倾向于关注进入网络的流量，而不是流出的流量。然而，黑客经常利用命令和控制服务器来实现威胁持续存在。此类网络活动通常比大多数传入攻击更容易发现——正是因为它们是持久的。我们需要能够发现出站网络流量的任何异常模式。

3。异常登录失败

如果用户多次无法登录帐户，或者只是无法登录不再存在的帐户，则这是某人或某事不怀好意的明显迹象。这些类型的登录失败都会记录在服务器日志中。然而，我们不想等到黑客成功强行进入网络。相反，我们需要根据阈值条件自动响应。例如，如果在 Y 时间内记录了 X 次失败的登录尝试，我们将需要执行一个自定义脚本，该脚本可以关闭服务器、更改防火墙设置、禁用用户帐户或停止特定进程。

4。地理不规则

根据 F-Secure 发布的报告，大多数网络攻击源自“俄罗斯、荷兰、美国、中国和德国”。当然，理论上网络攻击可能来自任何地方，但牢记这些信息并密切关注我们的传入网络流量来自哪些国家以及我们的出站网络流量流向何处可能很有用。此外，如果用户从一个国家的IP地址登录，然后在相对较短的时间内从另一个国家的IP地址登录，这可能表明网络攻击已经或正在发生地方。

5。 HTML 响应大小和数据库活动峰值

如果攻击者尝试执行 SQL 注入攻击（将恶意代码注入到 Web 表单中以获取对底层数据库的访问权限），HTML 响应大小可能会比正常 HTML 响应大。例如，攻击者可能会尝试下载包含信用卡详细信息的数据库，该数据库的大小可能达到数十GB。对于标准 Web 表单响应来说，任何这种大小的内容都会被认为是非常不寻常的。 SQL 注入只是黑客获取数据库访问权限的众多方式之一。

他们还可以扫描丢失的 SQL Server 补丁、配置缺陷、隐藏的数据库实例，或扫描不受防火墙保护的 SQL Server。或者，他们可能只是尝试破解系统管理员 (SA) 密码（假设已设置密码）。无论出于何种原因，如果攻击者获得对您数据库的访问权限，他们可能会尝试在短时间内下载大量敏感数据。因此，除了监视 HTML 响应大小之外，我们还应该密切监视数据库活动的任何峰值，因为这可能是您的数据库已受到损害的明确指标。

6。分布式拒绝服务攻击 (DDoS) 的迹象

DDoS 攻击通常被用作烟幕弹，使黑客能够发起其他更复杂的攻击形式。 DDoS 攻击很容易发现，因为它们通常会导致系统性能不佳，例如网络速度慢、网站不可用以及任何其他系统以最大容量运行。

7。异常注册表更改

APT 能够建立持久性并保持隐蔽性的方法之一是更改系统注册表。因此，我们必须确保我们知道注册表应该是什么样子，并且如果注册表偏离其典型状态，我们应该实时收到通知，以便最大限度地减少攻击造成的潜在损害。

8。端口使用异常

黑客经常使用模糊的端口号来绕过防火墙和其他网络过滤技术。我们必须记录正在使用哪些端口以及用于什么目的。如果使用的端口不在我们的白名单中，我们必须立即收到通知，并能够相应地自动响应。

9。可疑的 DNS 请求

如前所述，黑客经常利用命令和控制服务器在受感染的系统和他们自己的服务器之间建立通信通道。不过，我们还可以留意其他可疑的 DNS 请求。例如，某些点击欺诈恶意软件会同时打开大量浏览器窗口。用户在一个会话中打开如此多的浏览器窗口显然是不自然的，这样做会产生短暂的网络流量爆发。跟踪任何可疑的 DNS 活动（例如 DNS 请求激增）将帮助我们识别潜在的恶意活动。

10。可疑文件和文件夹活动

此类活动可能包括可疑文件或文件夹的创建、修改或删除。它可能包含对单个文件的过多请求。黑客在成功访问系统之前通常会尝试多种不同的漏洞利用方式，并且假设我们知道在哪里查找，那么我们通常很容易观察到。例如，如果您发现某个 IP 地址已访问 login.php 一千次，那么您很可能受到了攻击。

我们可能会注意到大量数据位于错误的位置，或者文件被批量加密。我们可以通过多种不同的方式来判断我们的系统是否已经或正在受到损害，但除非我们能够实时检测、发出警报并响应这些指标，否则我们就无法阻止网络攻击将非常有限。我们必须利用最新的文件审核解决方案，以确保我们确切地知道谁有权访问哪些数据、数据所在的位置以及数据被访问的时间。