劉詢

惡意的內(nèi)部人員和外部網(wǎng)絡(luò)犯罪分子越來越狡猾。他們能更好地融入網(wǎng)絡(luò)，而不會(huì)觸發(fā)任何警告，他們跳過標(biāo)準(zhǔn)安全系統(tǒng)工具和技術(shù)。監(jiān)控和記錄整個(gè)網(wǎng)絡(luò)中的活動(dòng)是不夠的，各組織需要能夠組合多種數(shù)據(jù)來源來發(fā)現(xiàn)在工作中隱形攻擊者的微妙跡象。

逃避機(jī)動(dòng)

高級攻擊者可以使用各種策略和工具來對抗既定的安全措施。攻擊者通常也會(huì)通過HTTPS和DNS路由通信，使得隱藏起來非常容易。普通用戶每天最多可以生成2萬個(gè)DNS查詢，這產(chǎn)生了令人難以置信的大量數(shù)據(jù)需要進(jìn)行分析，以便有機(jī)會(huì)檢測到某些內(nèi)容，如果通信本身沒有明顯的惡意內(nèi)容那就更加困難。

如果沒有任何上下文來豐富這些數(shù)據(jù)，分析師將花費(fèi)很長時(shí)間瀏覽日志來確定警報(bào)是真正的威脅還是虛警。

此外，諸如在工作時(shí)間登錄有效設(shè)備，專注于郵箱中的數(shù)據(jù)和每次只提取少量數(shù)據(jù)等活動(dòng)都不會(huì)給人留下什么印象。創(chuàng)建具有更多權(quán)限的影子帳戶并根據(jù)需要授予權(quán)限，這也有助于他們保持低調(diào)。

如何捕獲規(guī)避威脅的行動(dòng)者

即使是最熟練和最細(xì)致的入侵者也無法完全掩蓋他們在網(wǎng)絡(luò)中的存在。在檢測它們時(shí)，最重要的因素是對組織的人員、過程和技術(shù)有一個(gè)全面的了解。

檢測隱藏威脅參與者的關(guān)鍵行動(dòng)包括：

識別敏感數(shù)據(jù)和文件訪問：第一步是定義敏感數(shù)據(jù)的位置，優(yōu)先考慮個(gè)人身份信息（PII）和受監(jiān)管要求約束的其他數(shù)據(jù)，以及“所有者”及其可以訪問的帳戶。存檔不再主動(dòng)使用的任何數(shù)據(jù)，以減少任何不必要的威脅載體。

管理用戶權(quán)限：應(yīng)該清楚地查看系統(tǒng)上的所有帳戶，包括普通用戶、服務(wù)和特權(quán)帳戶，以及他們擁有的權(quán)限。監(jiān)控權(quán)限更改可以成為發(fā)現(xiàn)可疑行為的寶貴信息。應(yīng)使用最小權(quán)限方法來確保所有用戶只能訪問對其工作至關(guān)重要的文件——應(yīng)根據(jù)“需要知道”確定信息訪問權(quán)限。

啟動(dòng)高價(jià)值用戶分析：將用戶活動(dòng)與特定設(shè)備相關(guān)聯(lián)，有助于檢測入侵者登錄到不同機(jī)器，但不做任何明顯惡意攻擊的微妙跡象。了解公共設(shè)備和個(gè)人設(shè)備使用方式之間的差異也有助于減少噪音和誤報(bào)。

相關(guān)性是關(guān)鍵

最重要的一步是將所有這些數(shù)據(jù)關(guān)聯(lián)起來。如果單獨(dú)查看數(shù)據(jù)集，那么回避入侵者的跡象通常會(huì)過于微妙，而且許多可疑行為模式只有統(tǒng)一的觀點(diǎn)才會(huì)顯現(xiàn)?？紤]到在任何一天都有大量數(shù)據(jù)流過組織，只能通過機(jī)器學(xué)習(xí)驅(qū)動(dòng)的自動(dòng)化方法來實(shí)現(xiàn)。

通過徹底了解正常行為的外觀以及對網(wǎng)絡(luò)上所有活動(dòng)的統(tǒng)一視圖，組織將能夠進(jìn)行高價(jià)值關(guān)聯(lián)，以識別一些最難以捉摸的惡意活動(dòng)跡象。例如，訪問VPN然后登錄其他員工設(shè)備的用戶將不會(huì)觸發(fā)標(biāo)準(zhǔn)安全系統(tǒng)。但是這種行為對于合法用戶來說是非常不尋常的，并且是一個(gè)明顯的跡象，表明某人的憑據(jù)已經(jīng)被破壞。

利用足夠的數(shù)據(jù)，組織可以超越個(gè)人用戶并將同伴關(guān)系構(gòu)建到他們的行為分析中。這將允許他們快速發(fā)現(xiàn)與同行相比顯示異常文件活動(dòng)的用戶，從而顯著減少事件響應(yīng)時(shí)間。一旦組織能夠可靠地檢測到這些跡象，即使是躲避的攻擊者在網(wǎng)絡(luò)中也只有很少的地方可以隱藏。