開展網絡行為風險分析的五種手段

惡意軟件泛濫的年代，擺在網絡安全負責人面前的一道難題是，如何確保威脅檢測能力跟上日益復雜的惡意軟件。那些基于惡意軟件特征和規則的傳統威脅檢測技術，似乎已經跟不上時代的步伐，再也無法提供最有效的方法來保護企業免受現代惡意軟件的侵擾。因為這種技術只適用于發現不復雜的惡意軟件，但卻發現不了沒有相應特征的新威脅或未知威脅。

基于惡意軟件特征的威脅檢測平臺還有其他局限性：經常出現誤報，而且向安全團隊發出過多的警報；如果攻擊者通過網絡釣魚攻擊或數據泄露來獲得合法的登錄信息，傳統威脅檢測手段無法識別由攻擊者實施的內部攻擊；此外，攻擊者還可以輕松地重新打包惡意軟件，做到與已知特征不匹配，以繞過傳統威脅檢測手段來實施攻擊。

因此，許多組織開始紛紛轉向行為風險分析，這種分析使用一套全然不同的流程，需要輸入大量數據才能有效。

什么是行為風險分析

行為風險分析，通常需要收集大量數據，并基于該數據搭建訓練模型，以查找異常行為和高風險行為。這種方法通常需要為正常的網絡行為設定基準，通過機器學習等模型來檢查網絡活動并計算風險評分，根據風險評分查看異常情況，最終確定行為風險級別。這有助于減少誤報并幫助安全團隊確定風險優先級，從而將安全團隊的工作量減少到更易于管理的水平。

因為那些不尋常但低風險的行為常常在不太復雜的解決方案中觸發誤報警報，舉個例子，假設企業營銷人員幾個月來第一次從SharePoint驅動器訪問營銷資料，這與該人的正常行為相比有些不尋常，但風險可能比較低。但是如果這同一個員工在大多數員工處于離線狀態時從陌生的位置訪問代碼存儲庫，這種風險就要大得多，應予以標記。

行為風險分析的五種手段

行為風險分析有幾種手段，包括以下這幾種：

1. 異常建模：使用機器學習模型和異常檢測來識別異常行為，比如用戶從無法識別的IP地址訪問網絡，用戶從與其角色無關的敏感文檔存儲庫下載大量知識產權（IP），或者流量從組織沒有業務往來的國家或地區的服務器發來。

2. 威脅建模：使用來自威脅情報源的數據和違反規則/策略的情況，尋找已知的惡意行為。這可以快速輕松地篩選出簡單的惡意軟件。

3. 訪問異常建模：確定用戶是否在訪問不尋常的資產或不應該訪問的資產。這需要提取用戶角色、訪問權限及/或身份證件方面的數據。

4. 身份風險剖析：根據人力資源數據、觀察名單或外部風險指標，確定事件所涉及的用戶風險級別。例如，最近沒有被公司考慮升職的員工也許更有可能對公司懷恨在心，企圖進行報復。

5. 數據分類：標記與事件有關的所有相關數據，如涉及的事件、網段、資產或賬戶，為安全團隊提供上下文信息。