三大主流威脅檢測方法點評

威脅檢測的重要性怎么強調都不為過。Verizon最近的一項研究表明，企業發現攻擊行為最主要的方式（超過50%）實際上是攻擊者在成功入侵后自己披露的。這意味著，隨著攻擊方法和復雜度的不斷提高，安全團隊需要優先考慮威脅檢測，以便在攻擊發生之前識別可疑活動。

要檢測當今的威脅，不僅要考慮使用哪種方法，還要考慮使用哪些數據。端點服務器和工作站日志是一個開始。但是，除非威脅檢測可見性擴展到網絡和云，否則依然會存在重大盲點。

以下，本文將介紹三種主要的威脅檢測方法，包括其主要應用場景和優缺點：

基于簽名的威脅檢測

基于簽名的檢測方法包括查找惡意活動的指標（哈希、文件名、鍵名注冊表或文件中顯示的字符串）。例如：與c:\windows\system32\bigdrop.exe等投放器惡意軟件關聯的已知文件名，或者哈希值與已知惡意軟件匹配的文件。但也有更通用的簽名，例如攻擊者為實現駐留在注冊表中寫入的新數值，具有base64編碼的PowerShell腳本或啟動PowerShell腳本的Microsoft Word等。

基于簽名的檢測方法已經存在了很長時間，可用于基于端點和網絡的檢測。例如，Snort是一個開源入侵防御系統（IPS），它使用規則來檢測惡意網絡活動并生成警報供分析師查看。Snort還是一個出色的記錄系統，可檢索到20年前的攻擊檢測。基于簽名的檢測系統提供的數量龐大的威脅庫支持威脅獵人交叉引用惡意軟件指標。

基于簽名的檢測方法非常適合識別已知攻擊，缺點是如果攻擊者使用新技術或對舊技術稍作修改，則該方法失去效力。如果沒有自動化元素，再加上額外的上下文，這種威脅檢測方法可能會難以管理新興威脅。

基于行為的威脅檢測

基于行為的檢測方法是識別異常行為的絕佳方法，因為異常行為可能表明對端點、設備等的惡意攻擊。安全分析師使用各種技術為用戶建立基線，并將這些正常模式與任何非標準操作進行比較。例如，你可以構建單個用戶應用程序使用情況的基線，并將其與實際用戶行為進行比較，以標記異常用戶行為。

基于行為的檢測方法需要使用當前信息定期更新基線，以保持相關性和準確性。其中許多方法依賴一次性創建的基線，但用戶行為總是在變化，因此需要定期更新基線以覆蓋新的、不同的、非可疑的行為。一些基于行為的威脅檢測工具可以自動構建行為基線，有些則需要手動干預。

基于機器學習的威脅檢測

機器學習（ML）是科技行業流行語之一，不同行業和廠商對機器學習的定義有著很大不同。在威脅檢測領域，機器學習提供了一種提高網絡安全效率的新方法，方法是大量利用來自端點和網絡以及身份服務和云服務等的結構化遙測數據來訓練模型。

這些大型數據集可以使用監督或無監督學習方法來顯示潛在惡意活動指標的細微變化。機器學習威脅檢測可通過對海量數據集的分析，為我們提供對主機和其他實體行為的新見解。

通常，僅靠機器學習可能無法直接發現威脅，但該方法可與更具確定性的檢測方法一起使用，以提高保真度并富化和關聯警報。例如，具有高風險評分但同時產生異常網絡流量的用戶：這些信息的關聯組合將給分析師提供更具價值的“拼圖”。

基于機器學習的威脅檢測方法對訓練數據的質量和清潔度要求很高。在將結果傳達給分析師時如何豐富結果也很重要，因為算法的數學輸出需要轉換為人類分析師可用的東西。這往往意味著對廠商和用戶來說，無論是數據訓練、產品使用還是調優，都離不開高級數據分析人才的參與。

結論

黑客攻擊正在轉向“目標導向”——從專注于感染文件和系統到感染整個企業，企業威脅檢測方法也需要同步改進。

隨著網絡威脅的不斷增長，以及不同安全系統數據孤島被打通，威脅檢測解決方案在企業網絡安全防御體系中的重要性不斷提升。威脅檢測使企業能夠全面了解整個環境（無論是本地或云中）的安全態勢，與此同時，隨著企業對威脅檢測的重新定義，覆蓋廣度與深度的深入理解，反過來將影響企業對事件響應的定義和執行。