劉詢

惡意的內(nèi)部人員和外部網(wǎng)絡(luò)犯罪分子越來越狡猾。他們能更好地融入網(wǎng)絡(luò)，而不會觸發(fā)任何警告，他們跳過標(biāo)準(zhǔn)安全系統(tǒng)工具和技術(shù)。監(jiān)控和記錄整個網(wǎng)絡(luò)中的活動是不夠的，各組織需要能夠組合多種數(shù)據(jù)來源來發(fā)現(xiàn)在工作中隱形攻擊者的微妙跡象。

逃避機(jī)動

高級攻擊者可以使用各種策略和工具來對抗既定的安全措施。攻擊者通常也會通過HTTPS和DNS路由通信，使得隱藏起來非常容易。普通用戶每天最多可以生成2萬個DNS查詢，這產(chǎn)生了令人難以置信的大量數(shù)據(jù)需要進(jìn)行分析，以便有機(jī)會檢測到某些內(nèi)容，如果通信本身沒有明顯的惡意內(nèi)容那就更加困難。

如果沒有任何上下文來豐富這些數(shù)據(jù)，分析師將花費很長時間瀏覽日志來確定警報是真正的威脅還是虛警。

此外，諸如在工作時間登錄有效設(shè)備，專注于郵箱中的數(shù)據(jù)和每次只提取少量數(shù)據(jù)等活動都不會給人留下什么印象。創(chuàng)建具有更多權(quán)限的影子帳戶并根據(jù)需要授予權(quán)限，這也有助于他們保持低調(diào)。

如何捕獲規(guī)避威脅的行動者

即使是最熟練和最細(xì)致的入侵者也無法完全掩蓋他們在網(wǎng)絡(luò)中的存在。在檢測它們時，最重要的因素是對組織的人員、過程和技術(shù)有一個全面的了解。

檢測隱藏威脅參與者的關(guān)鍵行動包括：

識別敏感數(shù)據(jù)和文件訪問：第一步是定義敏感數(shù)據(jù)的位置，優(yōu)先考慮個人身份信息（PII）和受監(jiān)管要求約束的其他數(shù)據(jù)，以及“所有者”及其可以訪問的帳戶。存檔不再主動使用的任何數(shù)據(jù)，以減少任何不必要的威脅載體。

管理用戶權(quán)限：應(yīng)該清楚地查看系統(tǒng)上的所有帳戶，包括普通用戶、服務(wù)和特權(quán)帳戶，以及他們擁有的權(quán)限。監(jiān)控權(quán)限更改可以成為發(fā)現(xiàn)可疑行為的寶貴信息。應(yīng)使用最小權(quán)限方法來確保所有用戶只能訪問對其工作至關(guān)重要的文件——應(yīng)根據(jù)“需要知道”確定信息訪問權(quán)限。

啟動高價值用戶分析：將用戶活動與特定設(shè)備相關(guān)聯(lián)，有助于檢測入侵者登錄到不同機(jī)器，但不做任何明顯惡意攻擊的微妙跡象。了解公共設(shè)備和個人設(shè)備使用方式之間的差異也有助于減少噪音和誤報。

相關(guān)性是關(guān)鍵

最重要的一步是將所有這些數(shù)據(jù)關(guān)聯(lián)起來。如果單獨查看數(shù)據(jù)集，那么回避入侵者的跡象通常會過于微妙，而且許多可疑行為模式只有統(tǒng)一的觀點才會顯現(xiàn)?？紤]到在任何一天都有大量數(shù)據(jù)流過組織，只能通過機(jī)器學(xué)習(xí)驅(qū)動的自動化方法來實現(xiàn)。

通過徹底了解正常行為的外觀以及對網(wǎng)絡(luò)上所有活動的統(tǒng)一視圖，組織將能夠進(jìn)行高價值關(guān)聯(lián)，以識別一些最難以捉摸的惡意活動跡象。例如，訪問VPN然后登錄其他員工設(shè)備的用戶將不會觸發(fā)標(biāo)準(zhǔn)安全系統(tǒng)。但是這種行為對于合法用戶來說是非常不尋常的，并且是一個明顯的跡象，表明某人的憑據(jù)已經(jīng)被破壞。

利用足夠的數(shù)據(jù)，組織可以超越個人用戶并將同伴關(guān)系構(gòu)建到他們的行為分析中。這將允許他們快速發(fā)現(xiàn)與同行相比顯示異常文件活動的用戶，從而顯著減少事件響應(yīng)時間。一旦組織能夠可靠地檢測到這些跡象，即使是躲避的攻擊者在網(wǎng)絡(luò)中也只有很少的地方可以隱藏。