评估网络上的行为风险

薛坚启
导读 企业 IT安全领导者面临着保持其威胁检测能力与日益复杂的恶意软件相提并论的长期挑战。不幸的是,使用恶意软件签名和规则的传统威胁检测技

企业 IT

安全领导者面临着保持其威胁检测能力与日益复杂的恶意软件相提并论的长期挑战。不幸的是,使用恶意软件签名和规则的传统威胁检测技术不再提供保护企业免受现代恶意软件攻击的最有效方法。

虽然基于签名的检测(扫描流量以查找指示恶意软件的独特代码模式或已知坏文件的哈希)对于捕获不复杂的恶意软件很有用,但它不会捕获不存在签名的新威胁或未知威胁。此外,攻击者还可以轻松地重新打包恶意软件,使其与已知签名不匹配。

一个很好的例子是 Cryptolocker勒索软件,它于 2013 年首次被发现。CryptoWall 和 TorrentLocker 等变体使用相同的基本 Cryptolocker 代码,并且在今天仍然很常见。基于签名的威胁检测平台还有其他限制——它们因误报而臭名昭著,而且安全团队发出的警报超出了他们的调查范围。

传统的威胁检测也无法识别由员工或通过网络钓鱼攻击或数据泄露获得合法凭证的攻击者实施的内部攻击。

作为回应,许多组织正在转向行为风险分析,该分析使用完全不同的过程,需要大量输入数据才能有效。在本文中,我想深入探讨行为风险分析如何帮助克服与传统威胁检测相关的挑战。

另请参阅:成功的 CISO:如何建立利益相关者的信任

转向行为风险分析

行为风险分析检查网络活动中的异常和高风险行为。这需要机器学习模型以正常网络行为为基准并寻找异常。

但并非所有不寻常的活动都有风险。例如,假设营销人员几个月来第一次从 SharePoint 驱动器访问营销材料。与该人的正常行为相比,这是不寻常的,但风险可能相对较低。但是,当大多数员工离线时,同一名员工在半夜从不熟悉的位置访问代码存储库的风险要大得多,应该被标记。

进行风险分析涉及确定行为的风险级别,这需要收集大量上下文数据(通常进入数据湖),根据该数据计算风险评分,根据该风险评分查看异常情况,并确定优先级相应地。

这有助于减少误报(不寻常的行为,但低风险通常会在不太复杂的解决方案中触发误报警报),并通过帮助他们确定优先级,将安全团队的工作量降低到更易于管理的水平。这种上下文信息是识别哪些行为有风险或没有风险的关键。

5 种行为风险分析技术

行为风险分析有几种技术。其中包括以下内容(请注意,详细信息可能因所讨论的具体解决方案而异):

异常值建模:使用机器学习基线和异常检测来识别异常行为,例如用户从无法识别的 IP 地址访问网络,用户从与其角色无关的敏感文档存储库下载大量 IP,或来自组织所在国家/地区的服务器流量不做生意。

威胁建模:使用来自威胁情报源和违反规则/策略的数据来寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。

访问异常值建模:确定用户是否正在访问不寻常的东西或他们不应该访问的东西。这需要提取有关用户角色、访问权限和/或徽章的数据。

身份风险概况:根据 HR 数据、监视列表或外部风险指标确定事件中涉及的用户的风险程度。例如,最近因升职而被忽略的员工可能更有可能对公司怀恨在心,并希望进行报复。

数据分类:标记与事件相关的所有相关数据,例如所涉及的事件、网段、资产或帐户,以便为调查警报的安全团队提供上下文。

复杂和多因素

正如您从这些步骤中看到的那样,估计风险很复杂,需要考虑许多不同的因素。行为风险分析需要来自广泛来源的输入数据。

这些来源包括来自Microsoft Active Directory或 IAM 解决方案的 HR 和身份数据,来自防火墙、IDS/IPS、SIEM、DLP 和端点管理解决方案等安全解决方案的日志,以及来自云、应用程序和数据库的数据。

外部数据源,例如公共员工社交媒体帖子(以确定哪些员工的恶意风险较高)或 VirusTotal 等威胁源也很有用。由于需要大量的上下文数据,成功的行为分析解决方案需要许多第三方集成,并且能够接受广泛的数据馈送到数据库或数据湖中。数据越多越好。

成功完成后,行为风险分析可以提高效率,减少误报,并检测其他威胁检测方法无法检测到的内部威胁和零日攻击。作为附带的好处,所涉及的 ML 分析还可以生成有关如何使用系统和设备的有价值的数据(例如,查看一个系统或一组设备的正常使用模式可以让 IT 团队知道关闭的最佳时间)它下来更新)。

行为风险分析还可以实现对威胁的自动响应。现代恶意软件可以在几秒钟内关闭数十个系统。人类操作员不可能做出足够快的反应来阻止这种情况。

行为分析如果做得正确,可以产生足够准确的警报,以实现自动化响应。这种方法提供的大量上下文意味着自动修复操作可以非常有针对性,例如删除一个用户对一个系统的访问。这意味着意外干扰合法业务流程的可能性较低。反过来,这可能有助于让厌恶风险的 CIO 或 CISO 相信自动化响应是可行的。

行为风险分析在提高威胁检测效率和保持组织安全方面具有巨大潜力。随着该技术在安全平台(例如下一代 SIEM)中变得更加标准,从充足的输入数据中构建强大的 ML 分析将是该方法在未来几年成功的关键。

标签:

版权声明:本文由用户上传,如有侵权请联系删除!