ACM通信
绕过大数据的保护难吗?
今天我想谈谈网络安全中的大数据,或者说,绕过使用大数据的保护系统有多容易或多困难。换句话说,如何欺骗先进的威胁检测系统,根据营销人员的说法,没有额外的字节可以通过这些系统的全视之眼。我说的是使用大数据分析作为检测可疑活动的主要工具之一的系统像SIEM和XDR.
大中型企业通常使用这样的平台。他们拥有庞大的网络和云基础设施,每小时发生数百万个事件。自然,没有办法手动分析它们。它是密集使用技术手段进行的。值得注意的是,无论是在大数据领域还是在网络安全领域,合格专家的可用性都是一个必要的组成部分。
这样的系统做什么?
它们允许在大量结构化和非结构化数据中识别未经授权活动的迹象。考虑到在一个由10,000个端点组成的平均网络中,每天传输约25tb的数据,扫描所有这些数据的任务变得非常困难。然而,有几种算法可以提供帮助。
威胁检测平台(特别是XDR)的一个基本质量标准是异常检测精度。一般来说,XDR解决方案包括负责收集和处理事件的SIEM平台,功能模块需要对异常进行检测和响应,还有UEBA系统它收集大量关于用户行为和/或端点、服务器和网络设备的数据,然后使用机器学习算法构建行为模式,并试图识别异常。
这种异常的最简单的例子是,例如,在午夜,一个服务器突然开始主动与一个以前从未在日志中看到过的远程主机通信。这种情况偶尔会发生,而不是经常发生,但这个事实看起来很可疑。另一个例子:突然,从分配给一个员工的办公设备中,每隔三四天就有几十兆的数据传输到某个地方,而根据访问系统的信息判断,这个员工此时并不在场。
上面提供的例子通常是相当明显的。还有一些不太规律的事件,它们之间的联系并不明显,但机器能看到一切。
机器能看到一切吗?
在Frank Herbert的《沙丘》中,沙虫破坏了任何能够发出有节奏的声音的东西,不管是人还是机制。然而,沙漠中的居民已经学会了用一种模仿沙漠中自然噪音的特殊不规则步态来欺骗警惕的生物。为了提高可靠性,他们使用了特殊的分散注意力的装置,当这些装置被激活时,就会发出有节奏的敲击声。沙虫会冲向这个声音,给人们留出时间去他们需要去的地方。
这种类比并不完全是巧合。事实上,想要绕过使用大数据分析的保护的网络罪犯将不得不花费大量的时间和精力,这是一个好消息。可悲的是,任何系统的弱点最终都会被发现。
上述安全系统的基础是一种知识库,它是关于潜在威胁的信息和关于受保护资源的结构和功能的信息的组合。这个知识库有助于确定什么被认为是正常的事件过程,什么是异常现象。
大数据分析系统可以以几种不同的方式工作。例如,Hadoop可以被编程检测任何进入或离开网络的信息。通过这种方式,您可以识别受感染的pc机或服务器与受网络犯罪分子控制的主机之间的可疑通信。您还可以配置对系统日志的监视。
早期预警平台可以从受保护的基础设施内部收集和积累数据,确定什么是正常行为,从外部收集关于潜在威胁和风险的数据,并使用大数据分析来确定是否在其保护范围之外观察到类似的情况。
黑客如何绕过你的保护
自然,网络攻击者知道这些系统是如何工作的。他们能做什么?首先,目标攻击操作者将参与侦察。这一步可能需要大量的时间。侦察的对象不仅是目标基础设施的硬件系统和软件,还包括其操作者:人。员工分享自己的信息越多,对他或他的同事进行网络钓鱼攻击就越容易。我们知道相当多的成功攻击开始钓鱼.
攻击者的下一个任务是尽量减少他们对安全系统的可见性。这里有几种选择。不法分子可以使用目标基础设施中已经存在的合法开源工具(例如PowerShell、管理工具等)在被攻击的网络中移动。此外,他们可以使用无文件恶意软件破坏系统工具,如果它没有被检测到,攻击者就可以在不被注意的情况下在被攻击的网络中移动。
然而,如果他们太过活跃和太过频繁,检测系统就会做出反应,这意味着黑客将不得不尽可能慢地行动,没有固定的间隔。
例如,如果目标基础结构中的一台或两台机器每周或甚至每月被扫描一次,那么安全系统几乎不可能检测到任何东西。
如果攻击者所需的数据不是由一个受损的帐户收集的,而是由十几个帐户收集的,并且如果这些数据不是发送到一个远程服务器上,而是发送到多个远程服务器上,那么就可能证明检测系统工作所依据的威胁模型是错误的。
另一个糟糕的场景是这样的:员工将一些文件复制到他的u盘中。离开大楼后,他把口袋里的垃圾扔进垃圾桶,包括一个u盘,然后在他家附近捡了一个装着钱的包裹。的DLP系统(如果它存在的话)不能总是抵御内部威胁,尤其是在动机强烈的专业人员实施攻击的情况下。
另一个值得注意的方面是针对少量典型场景训练的开箱即用检测系统。他们(如果他们有这样的能力)需要一段时间才能获得来自其他系统的潜在威胁的足够信息(威胁源),并使它们适应自己的模式。
如果攻击者想出了一个不太典型的攻击场景,他们就有机会在安全系统检测到它之前有时间实现它。
当然,当存在进入基础设施的几个入口时,攻击者安排了某种明亮的事件,例如,DDoS攻击或有意探测到的将某些数据传输到远程主机的尝试,这是一种典型的破坏选择。这只是一个烟雾弹,分散了人们对实际袭击的注意力,而实际袭击是在完全不同的地方进行的。
您可以在任何系统中找到漏洞,并想出利用它们的方案。一般来说,人类和人工智能都不能预见一切,但它有可能使攻击者的任务变得极其困难。向公司基础设施提供所有可用的高级安全工具是可能的,也是必要的。
如何保护
现在在网络罪犯和XDR系统之间有一种军备竞赛。黑客在寻找弱点,而防御者的任务是将入口点的数量减少到最低限度。
对于大多数网络犯罪分子来说,大公司可用的基于大数据的技术和工具往往过于昂贵。重要的攻击和数据泄露是由先进的网络团伙实施的(这些团伙通常得到国家的支持)。然而,在大多数情况下,今天的网络事件开始于对特定用户的有针对性的攻击。
这是什么意思?首先,除了使用先进的技术保护手段外,你还需要让你的用户对可能的网络钓鱼攻击做好准备,并训练他们进行反击社会工程学伎俩.所有员工都应该至少对如何确保自己的信息安全有一个基本的了解,无论是在工作场所还是在其他地方。由于向远程工作的大规模过渡,这一点尤为重要。此外,有必要尽量减少可能的入口点的数量。这些设备可以是任何连接到公司网络并从外部访问的设备。入侵者可以利用配置错误的驱动器、非常旧但仍在工作的路由器和物联网设备。
亚历克斯Vakulov是一名网络安全研究员,拥有20多年的恶意软件分析经验和强大的恶意软件删除技能。
没有发现记录