安全領(lǐng)導(dǎo)者面臨著需要應(yīng)對(duì)威脅檢測(cè)能力與應(yīng)對(duì)日益復(fù)雜的惡意軟件的挑戰(zhàn)。不幸的是，使用惡意軟件簽名和規(guī)則的傳統(tǒng)威脅檢測(cè)技術(shù)不再是保護(hù)企業(yè)免受現(xiàn)代惡意軟件攻擊的最有效方法。

雖然基于簽名的檢測(cè)(掃描流量以查找指示惡意軟件的唯一代碼模式或已知壞文件的哈希值)對(duì)于捕獲不復(fù)雜的惡意軟件很有用，但它不會(huì)捕獲不存在簽名的新威脅或未知威脅。此外，網(wǎng)絡(luò)攻擊者還可以輕松地重新打包惡意軟件，使其與已知簽名不匹配。

Cryptolocker勒索軟件就是一個(gè)很好的例子，它于2013年首次被發(fā)現(xiàn)。CryptoWall和TorrentLocker等變體使用相同的基本Cryptolocker代碼，并且如今仍然很常見(jiàn)?；诤灻耐{檢測(cè)平臺(tái)還有其他限制——它們以誤報(bào)和向安全團(tuán)隊(duì)發(fā)送超出其調(diào)查范圍的警報(bào)而臭名昭著。

傳統(tǒng)的威脅檢測(cè)也無(wú)法識(shí)別由員工或通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊或數(shù)據(jù)泄露獲得合法憑證的網(wǎng)絡(luò)攻擊者實(shí)施的內(nèi)部攻擊。

作為回應(yīng)，許多企業(yè)正在轉(zhuǎn)向行為風(fēng)險(xiǎn)分析，該分析使用完全不同的過(guò)程，需要大量輸入數(shù)據(jù)才能有效。在本文中，探討了行為風(fēng)險(xiǎn)分析如何幫助克服與傳統(tǒng)威脅檢測(cè)相關(guān)的挑戰(zhàn)。

轉(zhuǎn)向行為風(fēng)險(xiǎn)分析

行為風(fēng)險(xiǎn)分析檢查網(wǎng)絡(luò)活動(dòng)中的異常和高風(fēng)險(xiǎn)行為。這需要機(jī)器學(xué)習(xí)模型以正常網(wǎng)絡(luò)行為為基準(zhǔn)并查找異常。

但并非所有不尋常的行為或活動(dòng)都有風(fēng)險(xiǎn)。例如，假設(shè)營(yíng)銷人員幾個(gè)月來(lái)第一次從SharePoint驅(qū)動(dòng)器訪問(wèn)營(yíng)銷材料。與該人的正常行為相比，這是不尋常的行為，但風(fēng)險(xiǎn)可能相對(duì)較低。但是，當(dāng)大多數(shù)員工離線時(shí)，這名營(yíng)銷人員從一個(gè)陌生的地方訪問(wèn)代碼庫(kù)的行為可能是非常危險(xiǎn)的，應(yīng)該被標(biāo)記。

進(jìn)行風(fēng)險(xiǎn)分析涉及確定行為的風(fēng)險(xiǎn)級(jí)別，這需要收集大量場(chǎng)景數(shù)據(jù)(通常進(jìn)入數(shù)據(jù)湖)，根據(jù)該數(shù)據(jù)計(jì)算風(fēng)險(xiǎn)評(píng)分，根據(jù)該風(fēng)險(xiǎn)評(píng)分查看異常情況，并相應(yīng)地對(duì)其進(jìn)行優(yōu)先級(jí)排序。

這有助于減少誤報(bào)(低風(fēng)險(xiǎn)的不尋常行為在不太復(fù)雜的解決方案中，通常會(huì)觸發(fā)誤報(bào)警報(bào))，并通過(guò)幫助安全團(tuán)隊(duì)確定優(yōu)先級(jí)，將其工作負(fù)載降低到更易于管理的水平。這些場(chǎng)景信息是識(shí)別哪些行為有風(fēng)險(xiǎn)或沒(méi)有風(fēng)險(xiǎn)的關(guān)鍵。

五種行為風(fēng)險(xiǎn)分析技術(shù)

行為風(fēng)險(xiǎn)分析有幾種技術(shù)。其中包括以下內(nèi)容(需要注意的是，其內(nèi)容可能因所討論的具體解決方案而異)：

(1)異常值建模：使用機(jī)器學(xué)習(xí)基線和異常檢測(cè)來(lái)識(shí)別異常行為，例如用戶從無(wú)法識(shí)別的IP地址訪問(wèn)網(wǎng)絡(luò)，用戶從與其角色無(wú)關(guān)的敏感文檔存儲(chǔ)庫(kù)下載大量IP，或者來(lái)自與該企業(yè)沒(méi)有業(yè)務(wù)往來(lái)的國(guó)家/地區(qū)的服務(wù)器流量。

(2)威脅建模：使用來(lái)自威脅情報(bào)源和違反規(guī)則/策略的數(shù)據(jù)來(lái)尋找已知的惡意行為。這可以快速輕松地篩選出簡(jiǎn)單的惡意軟件。

(3)訪問(wèn)異常值建模：確定用戶是否正在訪問(wèn)不尋常的東西或他們不應(yīng)該訪問(wèn)的東西。這需要提取有關(guān)用戶角色、訪問(wèn)權(quán)限的數(shù)據(jù)。

(4)身份風(fēng)險(xiǎn)概況：根據(jù)人力資源數(shù)據(jù)、監(jiān)視列表或外部風(fēng)險(xiǎn)指標(biāo)確定事件中涉及的用戶的風(fēng)險(xiǎn)程度。例如，員工最近由于沒(méi)有升職可能更有可能對(duì)企業(yè)懷恨在心，并想進(jìn)行報(bào)復(fù)。

(5)數(shù)據(jù)分類：標(biāo)記與事件相關(guān)的所有相關(guān)數(shù)據(jù)，如事件、網(wǎng)絡(luò)段、資產(chǎn)或涉及的帳戶，為調(diào)查警報(bào)的安全團(tuán)隊(duì)提供場(chǎng)景。

復(fù)雜性和多因素

正如從這些步驟中看到的那樣，估計(jì)會(huì)有哪些風(fēng)險(xiǎn)很復(fù)雜，需要考慮許多不同的因素。行為風(fēng)險(xiǎn)分析需要來(lái)自廣泛來(lái)源的輸入數(shù)據(jù)。

這些來(lái)源包括來(lái)自Microsoft Active Directory或IAM解決方案的人力資源和身份數(shù)據(jù)，來(lái)自防火墻、IDS/IPS、SIEM、DLP和端點(diǎn)管理解決方案等安全解決方案的日志，以及來(lái)自云計(jì)算、應(yīng)用程序和數(shù)據(jù)庫(kù)的數(shù)據(jù)。

外部數(shù)據(jù)源也很有用，例如公共員工社交媒體帖子(以確定哪些員工的惡意風(fēng)險(xiǎn)較高)或VirusTotal等威脅源。由于需要大量的場(chǎng)景數(shù)據(jù)，成功的行為分析解決方案需要許多第三方集成，并且能夠接受廣泛的數(shù)據(jù)饋送到數(shù)據(jù)庫(kù)或數(shù)據(jù)湖中，數(shù)據(jù)越多越好。

在成功完成行為風(fēng)險(xiǎn)分析之后，可以提高效率，減少誤報(bào)，并檢測(cè)其他威脅檢測(cè)方法無(wú)法檢測(cè)到的內(nèi)部威脅和零日攻擊。作為附帶的好處，所涉及的機(jī)器學(xué)習(xí)分析還可以生成有關(guān)如何使用系統(tǒng)和設(shè)備的有價(jià)值的數(shù)據(jù)(例如，查看一個(gè)系統(tǒng)或一組設(shè)備的正常使用模式，可以讓IT團(tuán)隊(duì)知道關(guān)閉系統(tǒng)進(jìn)行更新的最佳時(shí)間)。

行為風(fēng)險(xiǎn)分析還可以實(shí)現(xiàn)對(duì)威脅的自動(dòng)響應(yīng)?，F(xiàn)代惡意軟件可以在幾秒鐘內(nèi)關(guān)閉數(shù)十個(gè)系統(tǒng)。操作人員不可能做出足夠快的反應(yīng)來(lái)阻止這種情況。

行為分析如果做得正確，可以產(chǎn)生足夠準(zhǔn)確的警報(bào)，以實(shí)現(xiàn)自動(dòng)化響應(yīng)。這種方法提供的大量場(chǎng)景意味著自動(dòng)修復(fù)操作可以非常有針對(duì)性，例如刪除一個(gè)用戶對(duì)一個(gè)系統(tǒng)的訪問(wèn)。這意味著意外干擾合法業(yè)務(wù)流程的可能性較低。反過(guò)來(lái)，這可能為首席信息官或首席信息安全官提供幫助，自動(dòng)化響應(yīng)是可行的。

行為風(fēng)險(xiǎn)分析在提高威脅檢測(cè)效率和保持企業(yè)安全方面具有巨大潛力。隨著該技術(shù)在安全平臺(tái)(例如下一代SIEM)中變得更加標(biāo)準(zhǔn)，從充足的輸入數(shù)據(jù)中構(gòu)建強(qiáng)大的機(jī)器學(xué)習(xí)分析將是該方法在未來(lái)幾年獲得成功的關(guān)鍵。