评估网络上的行为风险:几项核心技术
发布时间:2022-07-26 15:21:17 所属栏目:安全 来源:互联网
导读:安全领导者面临着需要应对威胁检测能力与应对日益复杂的恶意软件的挑战。不幸的是,使用恶意软件签名和规则的传统威胁检测技术不再是保护企业免受现代恶意软件攻击的最有效方法。 虽然基于签名的检测(扫描流量以查找指示恶意软件的唯一代码模式或已知坏文件
|
安全领导者面临着需要应对威胁检测能力与应对日益复杂的恶意软件的挑战。不幸的是,使用恶意软件签名和规则的传统威胁检测技术不再是保护企业免受现代恶意软件攻击的最有效方法。 虽然基于签名的检测(扫描流量以查找指示恶意软件的唯一代码模式或已知坏文件的哈希值)对于捕获不复杂的恶意软件很有用,但它不会捕获不存在签名的新威胁或未知威胁。此外,网络攻击者还可以轻松地重新打包恶意软件,使其与已知签名不匹配。 传统的威胁检测也无法识别由员工或通过网络钓鱼攻击或数据泄露获得合法凭证的网络攻击者实施的内部攻击。 作为回应,许多企业正在转向行为风险分析,该分析使用完全不同的过程,需要大量输入数据才能有效。在本文中,探讨了行为风险分析如何帮助克服与传统威胁检测相关的挑战。 转向行为风险分析 行为风险分析检查网络活动中的异常和高风险行为。这需要机器学习模型以正常网络行为为基准并查找异常。 5种行为风险分析技术 行为风险分析有几种技术。其中包括以下内容(需要注意的是,其内容可能因所讨论的具体解决方案而异): (1)异常值建模:使用机器学习基线和异常检测来识别异常行为,例如用户从无法识别的IP地址访问网络,用户从与其角色无关的敏感文档存储库下载大量IP,或者来自与该企业没有业务往来的国家/地区的服务器流量。 (2)威胁建模:使用来自威胁情报源和违反规则/策略的数据来寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。 (3)访问异常值建模:确定用户是否正在访问不寻常的东西或他们不应该访问的东西。这需要提取有关用户角色、访问权限的数据。 (4)身份风险概况:根据人力资源数据、监视列表或外部风险指标确定事件中涉及的用户的风险程度。例如,员工最近由于没有升职可能更有可能对企业怀恨在心,并想进行报复。 (5)数据分类:标记与事件相关的所有相关数据,如事件、网络段、资产或涉及的帐户,为调查警报的安全团队提供场景。 复杂性和多因素 正如从这些步骤中看到的那样,估计会有哪些风险很复杂,需要考虑许多不同的因素。行为风险分析需要来自广泛来源的输入数据。 这些来源包括来自Microsoft Active Directory或IAM解决方案的人力资源和身份数据,来自防火墙、IDS/IPS、SIEM、DLP和端点管理解决方案等安全解决方案的日志,以及来自云计算、应用程序和数据库的数据。 行为风险分析还可以实现对威胁的自动响应。现代恶意软件可以在几秒钟内关闭数十个系统。操作人员不可能做出足够快的反应来阻止这种情况。 行为分析如果做得正确,可以产生足够准确的警报,以实现自动化响应。这种方法提供的大量场景意味着自动修复操作可以非常有针对性,例如删除一个用户对一个系统的访问。这意味着意外干扰合法业务流程的可能性较低。反过来,这可能为首席信息官或首席信息安全官提供帮助,自动化响应是可行的。 行为风险分析在提高威胁检测效率和保持企业安全方面具有巨大潜力。随着该技术在安全平台(例如下一代SIEM)中变得更加标准,从充足的输入数据中构建强大的机器学习分析将是该方法在未来几年获得成功的关键。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号