惡意軟件泛濫的年代，擺在網(wǎng)絡(luò)安全負(fù)責(zé)人面前的一道難題是，如何確保威脅檢測能力跟上日益復(fù)雜的惡意軟件。那些基于惡意軟件特征和規(guī)則的傳統(tǒng)威脅檢測技術(shù)，似乎已經(jīng)跟不上時(shí)代的步伐，再也無法提供最有效的方法來保護(hù)企業(yè)免受現(xiàn)代惡意軟件的侵?jǐn)_。因?yàn)檫@種技術(shù)只適用于發(fā)現(xiàn)不復(fù)雜的惡意軟件，但卻發(fā)現(xiàn)不了沒有相應(yīng)特征的新威脅或未知威脅。

基于惡意軟件特征的威脅檢測平臺(tái)還有其他局限性：經(jīng)常出現(xiàn)誤報(bào)，而且向安全團(tuán)隊(duì)發(fā)出過多的警報(bào);如果攻擊者通過網(wǎng)絡(luò)釣魚攻擊或數(shù)據(jù)泄露來獲得合法的登錄信息，傳統(tǒng)威脅檢測手段無法識(shí)別由攻擊者實(shí)施的內(nèi)部攻擊;此外，攻擊者還可以輕松地重新打包惡意軟件，做到與已知特征不匹配，以繞過傳統(tǒng)威脅檢測手段來實(shí)施攻擊。

因此，許多組織開始紛紛轉(zhuǎn)向行為風(fēng)險(xiǎn)分析，這種分析使用一套全然不同的流程，需要輸入大量數(shù)據(jù)才能有效。

什么是行為風(fēng)險(xiǎn)分析

行為風(fēng)險(xiǎn)分析，通常需要收集大量數(shù)據(jù)，并基于該數(shù)據(jù)搭建訓(xùn)練模型，以查找異常行為和高風(fēng)險(xiǎn)行為。這種方法通常需要為正常的網(wǎng)絡(luò)行為設(shè)定基準(zhǔn)，通過機(jī)器學(xué)習(xí)等模型來檢查網(wǎng)絡(luò)活動(dòng)并計(jì)算風(fēng)險(xiǎn)評(píng)分，根據(jù)風(fēng)險(xiǎn)評(píng)分查看異常情況，最終確定行為風(fēng)險(xiǎn)級(jí)別。這有助于減少誤報(bào)并幫助安全團(tuán)隊(duì)確定風(fēng)險(xiǎn)優(yōu)先級(jí)，從而將安全團(tuán)隊(duì)的工作量減少到更易于管理的水平。

因?yàn)槟切┎粚こ５惋L(fēng)險(xiǎn)的行為常常在不太復(fù)雜的解決方案中觸發(fā)誤報(bào)警報(bào)，舉個(gè)例子，假設(shè)企業(yè)營銷人員幾個(gè)月來第一次從SharePoint驅(qū)動(dòng)器訪問營銷資料，這與該人的正常行為相比有些不尋常，但風(fēng)險(xiǎn)可能比較低。但是如果這同一個(gè)員工在大多數(shù)員工處于離線狀態(tài)時(shí)從陌生的位置訪問代碼存儲(chǔ)庫，這種風(fēng)險(xiǎn)就要大得多，應(yīng)予以標(biāo)記。

行為風(fēng)險(xiǎn)分析的五種手段

行為風(fēng)險(xiǎn)分析有幾種手段，包括以下這幾種：

1. 異常建模：使用機(jī)器學(xué)習(xí)模型和異常檢測來識(shí)別異常行為，比如用戶從無法識(shí)別的IP地址訪問網(wǎng)絡(luò)，用戶從與其角色無關(guān)的敏感文檔存儲(chǔ)庫下載大量知識(shí)產(chǎn)權(quán)(IP)，或者流量從組織沒有業(yè)務(wù)往來的國家或地區(qū)的服務(wù)器發(fā)來。

2. 威脅建模：使用來自威脅情報(bào)源的數(shù)據(jù)和違反規(guī)則/策略的情況，尋找已知的惡意行為。這可以快速輕松地篩選出簡單的惡意軟件。

3. 訪問異常建模：確定用戶是否在訪問不尋常的資產(chǎn)或不應(yīng)該訪問的資產(chǎn)。這需要提取用戶角色、訪問權(quán)限及/或身份證件方面的數(shù)據(jù)。

4. 身份風(fēng)險(xiǎn)剖析：根據(jù)人力資源數(shù)據(jù)、觀察名單或外部風(fēng)險(xiǎn)指標(biāo)，確定事件所涉及的用戶風(fēng)險(xiǎn)級(jí)別。例如，最近沒有被公司考慮升職的員工也許更有可能對(duì)公司懷恨在心，企圖進(jìn)行報(bào)復(fù)。

5. 數(shù)據(jù)分類：標(biāo)記與事件有關(guān)的所有相關(guān)數(shù)據(jù)，如涉及的事件、網(wǎng)段、資產(chǎn)或賬戶，為安全團(tuán)隊(duì)提供上下文信息。

參考鏈接：https://www.eweek.com/security/assessing-behavioral-risk-on-the-network/