内部威胁:防止自己人的危害

作者:星期三, 二月 28, 20180

我们时刻防备高级外部威胁对网络的侵袭,但有时候却忽略了潜伏在内部的更大威胁。这种威胁可以进入公司办公大楼,还有登录公司网络的口令。它就在我们中间,设置我们的服务器,配置软件,甚至设定本应保护我们的防护规则。安全界似乎并未给予内部威胁足够的重视,我们的网络经常对自家雇员敞开大门,尤其是那些有访问特权的雇员。

识别:内部威胁面面观

内部威胁不是什么新鲜概念。重大网络安全事件中不少都是源于内部人起了坏心思。但我们对内部威胁问题并没有采取太多应对措施。事实上,大多数安全团队都只会事后补救而已。难道这是因为内部威胁极其难以检测?或者说,我们仅应付恼人的外部威胁就已经疲于奔命了?

内部威胁有很多种。最典型的心怀不满的员工、勒索事件受害者和疏忽大意的用户都很容易识别出来,但有一小撮可能对公司危害更大的用户却经常得以逃过审查。那就是特权用户,或者说对公司网络上大多数敏感数据和系统拥有无限访问权的用户。系统管理员、网络工程师,甚至CISO都会对公司造成最大威胁。我们对他们有任何监管吗?该怎样防止来自内部的损害呢?

此类威胁有时候真的很难检测,因为特权用户是披着合法的外衣在操作。他们通常都知道怎样避开检测,也往往直到证据确凿才会被怀疑。虽然可能令人意外,但几乎每周都会发生涉及特权用户的安全事件。

比如说,系统管理员把日志文件发送到家中电脑加个班,或者数据中心管理员利用职务之便修改设置,让无数服务器帮他挖矿加密货币。CISO违反公司策略使用商业VPN浏览不恰当的网上内容也是其中一例。大多数内部人安全事件都是非恶意内部威胁:用户走个捷径想让自己的工作轻松点儿,但最终给公司的安全防护开了个口子。

检测:找不同

无论动机如何,所有内部威胁都有一个共同特征:用户设备开始表现出异常行为模式。而人工智能(AI)技术可以立即发现并将之标记为威胁。有时候这些偏离设备正常“生活轨迹”的模式会特别明显。但更多情况下这些攻击指标太过细微,仅捕捉已知威胁的传统工具无法觉察。但无论指标有多细微,这些设备与网络上其他类似设备之间总是切实存在差异的。

当今数字时代,在不断膨胀的数据海洋里寻找刻意逃避的微小数据可谓是真正意义上的大海捞针,几近不可能。我们的网络日渐复杂,网络安全和IT人才缺口却越来越大,找到新兴高效的方法来对抗老问题是唯一的出路。机器学习和AI就长于此道——只要用得恰当。

采用以实时数据训练的真正机器学习技术,可以大幅增强并改进当前日志分析平台。正如业内大多数人都知道的,精明的攻击者知道怎么避免留下痕迹,很多时候他们会修改日志以掩盖他们的行踪。日志分析是很强大的工具,但其有效性和准确性取决于所馈送的数据。网络级工具可确保日志分析的准确度,快速检测日志分析与实时网络行为之间的不一致之处。

响应:忠实践诺

如果没有正确实施所制定的策略,那无论事件检测有多么快速高效都没用。必须对特权用户高标准严要求,因为他们可能会对公司造成巨大的伤害。若没做到这一点,公司遭遇重大内部人安全事件的风险会大幅增加。实践你所承诺的。当然,如果你宣扬的本就是不怎么样的安全,那数据泄露和攻击也就指日可待了。

但即便拥有了最先进的安全策略和实施机制,人为失误依然不可避免,而无论恶意还是无意,内部威胁永远不会完全根除。AI网络防御技术提供了捕获微小行为差异的绝佳机会,可以在造成灾难性后果之前及时阻止正在进行中的攻击。

 

分享:

相关文章

写一条评论

 

 

0条评论