安全领导者面临解决威胁检测能力和应对日益复杂的恶意软件的挑战。不幸的是,使用恶意软件签名和规则的传统威胁检测技术不再是保护企业免受现代恶意软件侵害的最有效方法。虽然基于签名的检测(扫描流量以查找指示恶意软件或已知不良文件的哈希值的独特代码模式)对于捕获简单的恶意软件很有用,但它不会捕获新的或未知的威胁,这些威胁的签名不存在。此外,网络攻击者可以轻松地重新打包恶意软件,使其与已知签名不匹配。一个很好的例子是Cryptolocker勒索软件,它于2013年首次被发现。CryptoWall和TorrentLocker等变体使用相同的基本Cryptolocker代码,并且在今天仍然很常见。基于签名的威胁检测平台还有其他局限性——它们因误报和向安全团队发送超出其调查范围的警报而臭名昭著。传统的威胁检测也无法识别员工或网络攻击者通过网络钓鱼攻击或数据泄露获得合法凭证的内部攻击。作为回应,许多企业正在转向行为风险分析,它使用完全不同的过程并且需要大量输入数据才能有效。在本文中,我们探讨了行为风险分析如何帮助克服与传统威胁检测相关的挑战。转向行为风险分析行为风险分析检查网络活动中的异常和高风险行为。这需要机器学习模型对正常网络行为进行基准测试并寻找异常情况。但并非所有不寻常的行为或活动都是有风险的。例如,假设营销人员几个月来第一次从SharePoint驱动器访问营销材料。与此人的正常行为相比,这是不寻常的行为,但风险可能相对较低。但是,当大多数员工处于离线状态时从一个陌生的位置访问代码库可能非常危险,应该被标记出来。进行风险分析涉及确定行动的风险级别,这需要收集大量场景数据(通常放入数据湖中),根据该数据计算风险评分,根据该风险评分查看异常,并相应地对它们进行优先级排序.这有助于减少误报(低风险异常行为,通常会在不太复杂的解决方案中触发误报警报),并通过帮助安全团队确定优先级,将安全团队的工作量减少到更易于管理的水平。此上下文信息是识别哪些操作有风险或无风险的关键。五种行为风险分析技术行为风险分析有多种技术。这些包括以下内容(请注意,它们的内容可能会根据所讨论的具体解决方案而有所不同):(1)异常值建模:使用机器学习基线和异常检测来访问网络的IP地址,用户从无关的敏感文档存储库下载批量IP他们的角色,或来自与企业没有业务往来的国家的服务器流量。(2)威胁建模:使用来自威胁情报源和违反规则/政策的数据来寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。(3)访问异常值建模:确定用户是否正在访问不寻常的内容或他们不应该访问的内容。这需要提取有关用户角色、访问权限的数据。(4)身份风险概况:根据人力资源数据、观察名单或外部风险指标,确定事件涉及用户的风险等级。例如,员工可能更有可能因为最近没有升职而对企业怀恨在心,并希望进行报复。(5)数据分类:标记与事件相关的所有相关数据,例如事件、网段、涉及的资产或帐户,为安全团队调查警报提供上下文。复杂性和多重因素从这些步骤中可以看出,估计预期的风险很复杂,需要考虑许多不同的因素。行为风险分析需要来自广泛来源的输入数据。这些来源包括来自MicrosoftActiveDirectory或IAM解决方案的HR和身份数据,来自防火墙、IDS/IPS、SIEM、DLP和端点管理解决方案等安全解决方案的日志,以及来自云计算、应用程序和数据库数据的数据。外部数据源也很有用,例如公共员工社交媒体帖子(以确定哪些员工有更高的恶意风险)或VirusTotal等威胁源。由于需要大量的上下文数据,一个成功的行为分析解决方案需要许多第三方集成,并且能够接受大量数据输入数据库或数据湖,数据越多越好。行为风险分析成功后,您可以提高效率、减少误报,并检测其他威胁检测方法无法检测到的内部威胁和零日攻击。作为附带好处,所涉及的机器学习分析还可以生成有关系统和设备使用方式的有价值数据(例如,查看系统或设备组的正常使用模式可以让IT团队知道何时关闭系统更新最佳时间)。行为风险分析还可以实现对威胁的自动响应。现代恶意软件可以在几秒钟内关闭数十个系统。运营商不太可能做出足够快的反应来防止这种情况发生。正确完成的行为分析可以生成足够准确的警报以启用自动响应。这种方法提供的大量场景意味着自动修复操作可以非常有针对性,例如删除一个用户对一个系统的访问权限。这意味着意外干扰合法业务流程的可能性较小。反过来,这可能有助于CIO或CISO,并且自动响应是可行的。行为风险分析在提高威胁检测效率和确保企业安全方面具有巨大潜力。随着该技术在下一代SIEM等安全平台中变得更加标准,从足够的输入数据构建强大的机器学习分析将是这种方法在未来几年取得成功的关键。
