大中型企業(yè)通常使用這樣的平臺(tái)。他們擁有龐大的網(wǎng)絡(luò)和云計(jì)算基礎(chǔ)設(shè)施,每小時(shí)都會(huì)發(fā)生數(shù)百萬個(gè)攻擊事件。自然,沒有辦法人工分析它們。它是通過大量使用技術(shù)手段進(jìn)行的。值得注意的是,在大數(shù)據(jù)和網(wǎng)絡(luò)安全領(lǐng)域,專家的可用性是一個(gè)必要的組成部分。
這樣的系統(tǒng)有什么作用?
它們允許識(shí)別大量結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)中未經(jīng)授權(quán)活動(dòng)的跡象。考慮到在一個(gè)平均由1萬個(gè)端點(diǎn)組成的網(wǎng)絡(luò)中,每天傳輸大約25TB的數(shù)據(jù),掃描所有這些數(shù)據(jù)的任務(wù)變得非常困難。但是,有幾種算法可以提供幫助。
威脅檢測平臺(tái)(特別是XDR)的一個(gè)基本質(zhì)量標(biāo)準(zhǔn)是異常檢測的準(zhǔn)確性。通常,XDR解決方案包括負(fù)責(zé)收集和處理事件的SIEM平臺(tái)、檢測和響應(yīng)異常所需的EDR模塊,以及收集有關(guān)用戶操作和/或端點(diǎn)、服務(wù)器和網(wǎng)絡(luò)設(shè)備的大量數(shù)據(jù)的UEBA系統(tǒng),以及然后使用機(jī)器學(xué)習(xí)算法來構(gòu)建行為模式,并嘗試識(shí)別異常情況。
這種異常的最簡單的例子是,例如在深夜,服務(wù)器突然開始主動(dòng)與遠(yuǎn)程主機(jī)通信,這是以前從未在日志中看到的。這種情況偶爾發(fā)生,不是經(jīng)常發(fā)生,但這一事實(shí)看起來可疑。另一個(gè)例子:突然之間,從分配給單個(gè)員工的辦公設(shè)備中,每隔三四天就會(huì)有幾十兆字節(jié)的數(shù)據(jù)傳到某個(gè)地方,而根據(jù)訪問系統(tǒng)中的信息判斷,這可能有問題。
上面提供的例子通常非常明顯。還有一些不太常見的事件,它們之間的聯(lián)系一點(diǎn)也不明顯,但機(jī)器可以看到一切。
機(jī)器能看到一切嗎?
在弗蘭克•赫伯特所著的著名科幻小說《沙丘》中,沙蟲會(huì)摧毀任何發(fā)出具有節(jié)奏的聲音的東西。無論是人員還是機(jī)器。然而,沙漠居民已經(jīng)學(xué)會(huì)了使用模仿沙漠自然噪音的特殊不規(guī)則步態(tài)來欺騙警惕的沙蟲。為了提高可靠性,他們使用了特殊的分散注意力的裝置,當(dāng)這些裝置被激活時(shí),會(huì)開始發(fā)出響亮的有節(jié)奏的敲擊聲。沙蟲們蜂擁而至,讓人們有時(shí)間去他們需要去的地方。
這些類比并不是巧合。事實(shí)上,想要繞過大數(shù)據(jù)分析系統(tǒng)的網(wǎng)絡(luò)犯罪分子將不得不花費(fèi)大量時(shí)間和精力。這是一個(gè)好消息。俁可悲的是,任何安全系統(tǒng)都可以找到弱點(diǎn)。
上述安全系統(tǒng)的基礎(chǔ)是一種知識(shí)庫,它是有關(guān)潛在威脅以及有關(guān)受保護(hù)資源的結(jié)構(gòu)和功能的信息的組合。該知識(shí)庫有助于確定什么是正常的事件過程,什么是異常。
大數(shù)據(jù)分析系統(tǒng)可以以多種不同的方式工作。例如,可以對Hadoop進(jìn)行編程以檢測任何進(jìn)入或離開網(wǎng)絡(luò)的事物。通過這種方式,可以在網(wǎng)絡(luò)犯罪分子的控制下識(shí)別受感染的電腦或服務(wù)器與主機(jī)之間的可疑通信。還可以配置系統(tǒng)日志的監(jiān)控。
預(yù)警平臺(tái)可以從受保護(hù)的基礎(chǔ)設(shè)施內(nèi)部收集和積累數(shù)據(jù),確定什么被視為正常行為,從外部收集有關(guān)潛在威脅和風(fēng)險(xiǎn)的數(shù)據(jù),使用大數(shù)據(jù)分析來確定是否在其保護(hù)范圍之外觀察到類似的事情。
黑客如何繞過保護(hù)
自然,網(wǎng)絡(luò)攻擊者知道此類系統(tǒng)的工作原理。他們能做什么?首先,進(jìn)行針對性攻擊的操作人員將進(jìn)行偵察。這一步可能需要很多時(shí)間。偵察的對象不僅是目標(biāo)基礎(chǔ)設(shè)施的硬件系統(tǒng)和軟件,還包括其操作人員。員工分享自己的信息越多,就越容易對他或他的同事進(jìn)行網(wǎng)絡(luò)釣魚攻擊。眾所周知,相當(dāng)多的成功攻擊都是從網(wǎng)絡(luò)釣魚開始的。
網(wǎng)絡(luò)攻擊者的下一個(gè)任務(wù)是最小化他們對安全系統(tǒng)的可見性。這里有幾個(gè)選項(xiàng)。網(wǎng)絡(luò)犯罪分子可能會(huì)使用目標(biāo)基礎(chǔ)設(shè)施中已有的合法開源工具(例如PowerShell和管理工具等)在受到網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)中移動(dòng)。此外,他們可以使用無文件惡意軟件破壞系統(tǒng)工具,如果沒有檢測到,網(wǎng)絡(luò)攻擊者能夠在被攻擊的網(wǎng)絡(luò)中不被注意地移動(dòng)。
然而,如果他們過于活躍和具有規(guī)律,檢測系統(tǒng)就會(huì)做出反應(yīng),這意味著黑客將不得不盡可能緩慢地行動(dòng),而且其間隔沒有規(guī)律。
例如,如果目標(biāo)基礎(chǔ)設(shè)施中只有一兩臺(tái)機(jī)器每周甚至一個(gè)月被掃描一次,那么安全系統(tǒng)幾乎不可能檢測到任何東西。
如果網(wǎng)絡(luò)攻擊者所需的數(shù)據(jù)不是由一個(gè)受感染的帳戶收集的,而是由十幾個(gè)帳戶收集的,并且如果這些數(shù)據(jù)不是在一個(gè)遠(yuǎn)程服務(wù)器上發(fā)送的,而是發(fā)送給許多遠(yuǎn)程服務(wù)器,那么檢測系統(tǒng)工作所依據(jù)的威脅模型可能是錯(cuò)誤的。
另一個(gè)糟糕的場景是這樣的:員工將一些文件復(fù)制到他的閃存驅(qū)動(dòng)器中。離開大樓后,他把口袋里的垃圾扔進(jìn)垃圾桶,其中包括一個(gè)閃存驅(qū)動(dòng)器。數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)可能無法始終抵御內(nèi)部威脅,尤其是在專業(yè)人員積極主動(dòng)地進(jìn)行攻擊的情況下。
另一個(gè)值得關(guān)注的方面是針對少量典型場景訓(xùn)練的開箱即用檢測系統(tǒng)。他們需要一些時(shí)間才能從其他系統(tǒng)(威脅源)獲得足夠的關(guān)于潛在威脅的信息,并使它們適應(yīng)他們的模型。
如果網(wǎng)絡(luò)攻擊者設(shè)法想出一個(gè)不太典型的攻擊場景,他們就有機(jī)會(huì)在安全系統(tǒng)檢測到之前有時(shí)間實(shí)施它。
當(dāng)然,當(dāng)存在多個(gè)進(jìn)入基礎(chǔ)設(shè)施的入口點(diǎn)時(shí),網(wǎng)絡(luò)攻擊者會(huì)安排某種明顯的事件,例如DDoS攻擊或故意檢測到的將某些數(shù)據(jù)傳輸?shù)竭h(yuǎn)程主機(jī)。而這只是一個(gè)煙幕彈,可以分散對實(shí)際攻擊的注意力,而實(shí)際攻擊是在完全不同的領(lǐng)域進(jìn)行的。
人們可以在任何系統(tǒng)中找到漏洞并提出利用它們的方案。一般來說,無論是人類還是人工智能都無法預(yù)見一切,但有可能使網(wǎng)絡(luò)攻擊者的任務(wù)變得極其困難。為企業(yè)基礎(chǔ)設(shè)施提供所有可用的高級(jí)安全工具是可能且必要的。
如何進(jìn)行保護(hù)
現(xiàn)在,網(wǎng)絡(luò)犯罪分子和XDR系統(tǒng)之間展開了一場軍競賽。黑客在尋找弱點(diǎn),而防御者的任務(wù)是將進(jìn)入點(diǎn)的數(shù)量降至最低。
對于大多數(shù)網(wǎng)絡(luò)犯罪分子來說,大公司可用的基于大數(shù)據(jù)的技術(shù)和工具通常過于昂貴。重大網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露是由高級(jí)網(wǎng)絡(luò)團(tuán)伙執(zhí)行的。盡管如此,在大多數(shù)情況下,當(dāng)今的網(wǎng)絡(luò)事件始于對特定用戶的針對性攻擊。
首先,除了使用先進(jìn)的技術(shù)保護(hù)手段外,企業(yè)還需要讓其用戶為可能的網(wǎng)絡(luò)釣魚攻擊做好準(zhǔn)備,并訓(xùn)練他們應(yīng)對社會(huì)工程技巧。所有員工都應(yīng)該至少對如何在工作場所內(nèi)外確保自己的信息安全有基本的了解。由于向遠(yuǎn)程工作的大規(guī)模過渡,這一點(diǎn)尤為重要。此外,有必要盡量減少可能的入口點(diǎn)的數(shù)量。這些可以是連接到企業(yè)網(wǎng)絡(luò)并可從外部訪問的任何設(shè)備。入侵者可以利用配置不正確的驅(qū)動(dòng)器、非常舊但仍在運(yùn)行的路由器和物聯(lián)網(wǎng)設(shè)備。
