評估網絡上的行為風險:5項關鍵技術
安全領導者面臨著需要應對威脅檢測能力與應對日益復雜的惡意軟件的挑戰。不幸的是,使用惡意軟件簽名和規則的傳統威脅檢測技術不再是保護企業免受現代惡意軟件攻擊的最有效方法。
雖然基于簽名的檢測(掃描流量以查找指示惡意軟件的唯一代碼模式或已知壞文件的哈希值)對于捕獲不復雜的惡意軟件很有用,但它不會捕獲不存在簽名的新威脅或未知威脅。此外,網絡攻擊者還可以輕松地重新打包惡意軟件,使其與已知簽名不匹配。
Cryptolocker勒索軟件就是一個很好的例子,它于2013年首次被發現。CryptoWall和TorrentLocker等變體使用相同的基本Cryptolocker代碼,并且如今仍然很常見。基于簽名的威脅檢測平臺還有其他限制——它們以誤報和向安全團隊發送超出其調查范圍的警報而臭名昭著。
傳統的威脅檢測也無法識別由員工或通過網絡釣魚攻擊或數據泄露獲得合法憑證的網絡攻擊者實施的內部攻擊。
作為回應,許多企業正在轉向行為風險分析,該分析使用完全不同的過程,需要大量輸入數據才能有效。在本文中,探討了行為風險分析如何幫助克服與傳統威脅檢測相關的挑戰。
轉向行為風險分析
行為風險分析檢查網絡活動中的異常和高風險行為。這需要機器學習模型以正常網絡行為為基準并查找異常。
但并非所有不尋常的行為或活動都有風險。例如,假設營銷人員幾個月來第一次從SharePoint驅動器訪問營銷材料。與該人的正常行為相比,這是不尋常的行為,但風險可能相對較低。但是,當大多數員工離線時,這名營銷人員從一個陌生的地方訪問代碼庫的行為可能是非常危險的,應該被標記。
進行風險分析涉及確定行為的風險級別,這需要收集大量場景數據(通常進入數據湖),根據該數據計算風險評分,根據該風險評分查看異常情況,并相應地對其進行優先級排序。
這有助于減少誤報(低風險的不尋常行為在不太復雜的解決方案中,通常會觸發誤報警報),并通過幫助安全團隊確定優先級,將其工作負載降低到更易于管理的水平。這些場景信息是識別哪些行為有風險或沒有風險的關鍵。
5種行為風險分析技術
行為風險分析有幾種技術。其中包括以下內容(需要注意的是,其內容可能因所討論的具體解決方案而異):
(1)異常值建模:使用機器學習基線和異常檢測來識別異常行為,例如用戶從無法識別的IP地址訪問網絡,用戶從與其角色無關的敏感文檔存儲庫下載大量IP,或者來自與該企業沒有業務往來的國家/地區的服務器流量。
(2)威脅建模:使用來自威脅情報源和違反規則/策略的數據來尋找已知的惡意行為。這可以快速輕松地篩選出簡單的惡意軟件。
(3)訪問異常值建模:確定用戶是否正在訪問不尋常的東西或他們不應該訪問的東西。這需要提取有關用戶角色、訪問權限的數據。
(4)身份風險概況:根據人力資源數據、監視列表或外部風險指標確定事件中涉及的用戶的風險程度。例如,員工最近由于沒有升職可能更有可能對企業懷恨在心,并想進行報復。
(5)數據分類:標記與事件相關的所有相關數據,如事件、網絡段、資產或涉及的帳戶,為調查警報的安全團隊提供場景。
復雜性和多因素
正如從這些步驟中看到的那樣,估計會有哪些風險很復雜,需要考慮許多不同的因素。行為風險分析需要來自廣泛來源的輸入數據。
這些來源包括來自Microsoft Active Directory或IAM解決方案的人力資源和身份數據,來自防火墻、IDS/IPS、SIEM、DLP和端點管理解決方案等安全解決方案的日志,以及來自云計算、應用程序和數據庫的數據。
外部數據源也很有用,例如公共員工社交媒體帖子(以確定哪些員工的惡意風險較高)或VirusTotal等威脅源。由于需要大量的場景數據,成功的行為分析解決方案需要許多第三方集成,并且能夠接受廣泛的數據饋送到數據庫或數據湖中,數據越多越好。
在成功完成行為風險分析之后,可以提高效率,減少誤報,并檢測其他威脅檢測方法無法檢測到的內部威脅和零日攻擊。作為附帶的好處,所涉及的機器學習分析還可以生成有關如何使用系統和設備的有價值的數據(例如,查看一個系統或一組設備的正常使用模式,可以讓IT團隊知道關閉系統進行更新的最佳時間)。
行為風險分析還可以實現對威脅的自動響應。現代惡意軟件可以在幾秒鐘內關閉數十個系統。操作人員不可能做出足夠快的反應來阻止這種情況。
行為分析如果做得正確,可以產生足夠準確的警報,以實現自動化響應。這種方法提供的大量場景意味著自動修復操作可以非常有針對性,例如刪除一個用戶對一個系統的訪問。這意味著意外干擾合法業務流程的可能性較低。反過來,這可能為首席信息官或首席信息安全官提供幫助,自動化響應是可行的。
行為風險分析在提高威脅檢測效率和保持企業安全方面具有巨大潛力。隨著該技術在安全平臺(例如下一代SIEM)中變得更加標準,從充足的輸入數據中構建強大的機器學習分析將是該方法在未來幾年獲得成功的關鍵。
