安全领导者面临着需要应对威胁检测能力与应对日益复杂的恶意软件的挑战。不幸的是,使用恶意软件签名和规则的传统威胁检测技术不再是保护企业免受现代恶意软件攻击的最有效方法。
虽然基于签名的检测(扫描流量以查找指示恶意软件的唯一代码模式或已知坏文件的哈希值)对于捕获不复杂的恶意软件很有用,但它不会捕获不存在签名的新威胁或未知威胁。此外,网络攻击者还可以轻松地重新打包恶意软件,使其与已知签名不匹配。
Cryptolocker勒索软件就是一个很好的例子,它于2013年首次被发现。CryptoWall和TorrentLocker等变体使用相同的基本Cryptolocker代码,并且如今仍然很常见。基于签名的威胁检测平台还有其他限制——它们以误报和向安全团队发送超出其调查范围的警报而臭名昭著。
传统的威胁检测也无法识别由员工或通过网络钓鱼攻击或数据泄露获得合法凭证的网络攻击者实施的内部攻击。
作为回应,许多企业正在转向行为风险分析,该分析使用完全不同的过程,需要大量输入数据才能有效。在本文中,探讨了行为风险分析如何帮助克服与传统威胁检测相关的挑战。
转向行为风险分析
行为风险分析检查网络活动中的异常和高风险行为。这需要机器学习模型以正常网络行为为基准并查找异常。
但并非所有不寻常的行为或活动都有风险。例如,假设营销人员几个月来第一次从SharePoint驱动器访问营销材料。与该人的正常行为相比,这是不寻常的行为,但风险可能相对较低。但是,当大多数员工离线时,这名营销人员从一个陌生的地方访问代码库的行为可能是非常危险的,应该被标记。
进行风险分析涉及确定行为的风险级别,这需要收集大量场景数据(通常进入数据湖),根据该数据计算风险评分,根据该风险评分查看异常情况,并相应地对其进行优先级排序。
这有助于减少误报(低风险的不寻常行为在不太复杂的解决方案中,通常会触发误报警报),并通过帮助安全团队确定优先级,将其工作负载降低到更易于管理的水平。这些场景信息是识别哪些行为有风险或没有风险的关键。
五种行为风险分析技术
行为风险分析有几种技术。其中包括以下内容(需要注意的是,其内容可能因所讨论的具体解决方案而异):
(1)异常值建模:使用机器学习基线和异常检测来识别异常行为,例如用户从无法识别的IP地址访问网络,用户从与其角色无关的敏感文档存储库下载大量IP,或者来自与该企业没有业务往来的国家/地区的服务器流量。
(2)威胁建模:使用来自威胁情报源和违反规则/策略的数据来寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。
(3)访问异常值建模:确定用户是否正在访问不寻常的东西或他们不应该访问的东西。这需要提取有关用户角色、访问权限的数据。
(4)身份风险概况:根据人力资源数据、监视列表或外部风险指标确定事件中涉及的用户的风险程度。例如,员工最近由于没有升职可能更有可能对企业怀恨在心,并想进行报复。
(5)数据分类:标记与事件相关的所有相关数据,如事件、网络段、资产或涉及的帐户,为调查警报的安全团队提供场景。
复杂性和多因素
正如从这些步骤中看到的那样,估计会有哪些风险很复杂,需要考虑许多不同的因素。行为风险分析需要来自广泛来源的输入数据。
这些来源包括来自Microsoft Active Directory或IAM解决方案的人力资源和身份数据,来自防火墙、IDS/IPS、SIEM、DLP和端点管理解决方案等安全解决方案的日志,以及来自云计算、应用程序和数据库的数据。
外部数据源也很有用,例如公共员工社交媒体帖子(以确定哪些员工的恶意风险较高)或VirusTotal等威胁源。由于需要大量的场景数据,成功的行为分析解决方案需要许多第三方集成,并且能够接受广泛的数据馈送到数据库或数据湖中,数据越多越好。
在成功完成行为风险分析之后,可以提高效率,减少误报,并检测其他威胁检测方法无法检测到的内部威胁和零日攻击。作为附带的好处,所涉及的机器学习分析还可以生成有关如何使用系统和设备的有价值的数据(例如,查看一个系统或一组设备的正常使用模式,可以让IT团队知道关闭系统进行更新的最佳时间)。
行为风险分析还可以实现对威胁的自动响应。现代恶意软件可以在几秒钟内关闭数十个系统。操作人员不可能做出足够快的反应来阻止这种情况。
行为分析如果做得正确,可以产生足够准确的警报,以实现自动化响应。这种方法提供的大量场景意味着自动修复操作可以非常有针对性,例如删除一个用户对一个系统的访问。这意味着意外干扰合法业务流程的可能性较低。反过来,这可能为首席信息官或首席信息安全官提供帮助,自动化响应是可行的。
行为风险分析在提高威胁检测效率和保持企业安全方面具有巨大潜力。随着该技术在安全平台(例如下一代SIEM)中变得更加标准,从充足的输入数据中构建强大的机器学习分析将是该方法在未来几年获得成功的关键。
