惡意的內(nèi)部人員和外部網(wǎng)絡(luò)犯罪分子越來越狡猾。他們能更好地融入，而不會(huì)觸發(fā)任何警告。他們跳過了觸發(fā)標(biāo)準(zhǔn)安全系統(tǒng)的工具和技術(shù)。那么除了當(dāng)天合法登錄到網(wǎng)絡(luò)所產(chǎn)生的噪音之外，一家公司怎么能告訴他們呢?

答案就在于環(huán)境。監(jiān)控和記錄整個(gè)網(wǎng)絡(luò)中的活動(dòng)是不夠的，各組織需要能夠組合多種數(shù)據(jù)來源來發(fā)現(xiàn)在工作中隱形攻擊者的微妙跡象。

[[275209]]

逃避機(jī)動(dòng)

高級(jí)攻擊者可以使用各種策略和工具來對(duì)抗既定的安全措施。攻擊者通常也會(huì)通過HTTPS和DNS路由他們的通信，這使得隱藏起來非常容易。普通用戶每天最多可以生成2萬個(gè)DNS查詢，這就產(chǎn)生了令人難以置信的大量數(shù)據(jù)需要進(jìn)行分析，以便有機(jī)會(huì)檢測到某些內(nèi)容，特別是如果通信本身沒有明顯的惡意內(nèi)容。

如果沒有任何上下文來豐富這些數(shù)據(jù)，分析師將花費(fèi)太長時(shí)間瀏覽日志來確定警報(bào)是真正的威脅還是虛警。

此外，諸如在工作時(shí)間登錄有效設(shè)備，專注于郵箱中的數(shù)據(jù)和每次只提取少量數(shù)據(jù)等活動(dòng)都不會(huì)給人留下什么印象。創(chuàng)建具有更多權(quán)限的影子帳戶并根據(jù)需要授予和刪除權(quán)限，這也有助于他們保持低調(diào)。

如何捕獲規(guī)避威脅的行動(dòng)者?

即使是最熟練和最細(xì)致的入侵者也無法完全掩蓋他們在網(wǎng)絡(luò)中的存在。在檢測它們時(shí)，最重要的因素是對(duì)組織的人員，過程和技術(shù)有一個(gè)全面的了解。

檢測隱藏威脅參與者的關(guān)鍵行動(dòng)包括：

• 識(shí)別敏感數(shù)據(jù)和文件訪問：第一步是定義敏感數(shù)據(jù)的位置，優(yōu)先考慮個(gè)人身份信息(PII)和受監(jiān)管要求約束的其他數(shù)據(jù)，以及“所有者”及其可以訪問的帳戶。應(yīng)該存檔不再主動(dòng)使用的任何數(shù)據(jù)，以減少任何不必要的威脅載體。
• 管理用戶權(quán)限：應(yīng)該清楚地查看系統(tǒng)上的所有帳戶，包括普通用戶以及服務(wù)和特權(quán)帳戶，以及他們擁有的權(quán)限和訪問權(quán)限。監(jiān)控權(quán)限更改可以成為發(fā)現(xiàn)可疑行為的寶貴信息的金礦。應(yīng)使用最小權(quán)限方法來確保所有用戶只能訪問對(duì)其工作角色至關(guān)重要的文件：應(yīng)根據(jù)“需要知道”確定信息訪問權(quán)限。
• 啟動(dòng)高價(jià)值用戶分析：將用戶活動(dòng)與特定設(shè)備相關(guān)聯(lián)將有助于檢測入侵者登錄到不同機(jī)器但不做任何明顯惡意攻擊的微妙跡象。了解公共設(shè)備和個(gè)人設(shè)備的使用方式之間的差異也有助于減少噪音和誤報(bào)。

相關(guān)性是關(guān)鍵

最重要的一步是將所有這些數(shù)據(jù)關(guān)聯(lián)起來。如果單獨(dú)查看數(shù)據(jù)集，那么回避入侵者的跡象通常會(huì)過于微妙，而且許多可疑行為模式只有統(tǒng)一的觀點(diǎn)才會(huì)明顯?？紤]到在任何一天流過組織的大量數(shù)據(jù)，這只能通過機(jī)器學(xué)習(xí)驅(qū)動(dòng)的自動(dòng)化方法來實(shí)現(xiàn)。

通過徹底了解正常行為的外觀以及對(duì)網(wǎng)絡(luò)上所有活動(dòng)的統(tǒng)一視圖，組織將能夠進(jìn)行高價(jià)值關(guān)聯(lián)，以識(shí)別一些最難以捉摸的惡意活動(dòng)跡象。例如，訪問VPN然后登錄其他員工設(shè)備的用戶將不會(huì)觸發(fā)標(biāo)準(zhǔn)安全系統(tǒng)。但是這種行為對(duì)于合法用戶來說是非常不尋常的，并且是一個(gè)明顯的跡象表明某人的憑據(jù)已經(jīng)被破壞。

利用足夠的數(shù)據(jù)，組織可以超越個(gè)人用戶并將同伴關(guān)系構(gòu)建到他們的行為分析中。這將允許他們快速發(fā)現(xiàn)與同行相比顯示異常文件活動(dòng)的用戶，從而顯著減少事件響應(yīng)時(shí)間。一旦組織能夠可靠地檢測到這些跡象，即使是最躲避的攻擊者也只有很少的地方可以隱藏在網(wǎng)絡(luò)中。