这篇白皮书研究了供应链攻击,并提出了使用Splunk和JA3/s散列来检测恶意关键服务器上的活动的方法。作者指出,许多软件产品都设计有“呼叫总部”功能,支持自动更新、内容订阅或数据上传,这些功能在特权位置部署,如客户的云和本地环境中。攻击者利用这一点,渗透到开发人员的系统并修改他们的产品,将客户的敏感数据重定向到其他位置。这篇白皮书的目标是提供一种方法,通过使用网络数据、统计数据和JA3/s散列,检测恶意活动。作者建议组织创建常规网络活动的基线,并在发现偏差时发出警报。这篇白皮书的受众主要是技术从业者,但也对首席信息安全官和领导者有价值。作者使用常见的且易于配置的工具,如Zeek和具有低门槛的查询,来帮助安全专业人员检测异常活动。这篇白皮书还使用了JA3/s散列作为更高保真度的数据点,并展示了Splunk的核心功能,靠近前沿异常活动。
