开展网络行为风险分析的五种办法
发布时间:2022-06-22 14:34:20 所属栏目:安全 来源:互联网
导读:恶意软件泛滥的年代,摆在网络安全负责人面前的一道难题是,如何确保威胁检测能力跟上日益复杂的恶意软件。那些基于恶意软件特征和规则的传统威胁检测技术,似乎已经跟不上时代的步伐,再也无法提供最有效的方法来保护企业免受现代恶意软件的侵扰。因为这种
|
恶意软件泛滥的年代,摆在网络安全负责人面前的一道难题是,如何确保威胁检测能力跟上日益复杂的恶意软件。那些基于恶意软件特征和规则的传统威胁检测技术,似乎已经跟不上时代的步伐,再也无法提供最有效的方法来保护企业免受现代恶意软件的侵扰。因为这种技术只适用于发现不复杂的恶意软件,但却发现不了没有相应特征的新威胁或未知威胁。 因为那些不寻常但低风险的行为常常在不太复杂的解决方案中触发误报警报,举个例子,假设企业营销人员几个月来第一次从SharePoint驱动器访问营销资料,这与该人的正常行为相比有些不寻常,但风险可能比较低。但是如果这同一个员工在大多数员工处于离线状态时从陌生的位置访问代码存储库,这种风险就要大得多,应予以标记。 行为风险分析的五种手段 行为风险分析有几种手段,包括以下这几种: 1. 异常建模:使用机器学习模型和异常检测来识别异常行为,比如用户从无法识别的IP地址访问网络,用户从与其角色无关的敏感文档存储库下载大量知识产权(IP),或者流量从组织没有业务往来的国家或地区的服务器发来。 2. 威胁建模:使用来自威胁情报源的数据和违反规则/策略的情况,寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。 3. 访问异常建模:确定用户是否在访问不寻常的资产或不应该访问的资产。这需要提取用户角色、访问权限及/或身份证件方面的数据。 4. 身份风险剖析:根据人力资源数据、观察名单或外部风险指标,确定事件所涉及的用户风险级别。例如,最近没有被公司考虑升职的员工也许更有可能对公司怀恨在心,企图进行报复。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号