內(nèi)部威脅:防止自己人的危害
我們時刻防備高級外部威脅對網(wǎng)絡的侵襲,但有時候卻忽略了潛伏在內(nèi)部的更大威脅。這種威脅可以進入公司辦公大樓,還有登錄公司網(wǎng)絡的口令。它就在我們中間,設置我們的服務器,配置軟件,甚至設定本應保護我們的防護規(guī)則。安全界似乎并未給予內(nèi)部威脅足夠的重視,我們的網(wǎng)絡經(jīng)常對自家雇員敞開大門,尤其是那些有訪問特權(quán)的雇員。
識別:內(nèi)部威脅面面觀
內(nèi)部威脅不是什么新鮮概念。重大網(wǎng)絡安全事件中不少都是源于內(nèi)部人起了壞心思。但我們對內(nèi)部威脅問題并沒有采取太多應對措施。事實上,大多數(shù)安全團隊都只會事后補救而已。難道這是因為內(nèi)部威脅極其難以檢測?或者說,我們僅應付惱人的外部威脅就已經(jīng)疲于奔命了?
內(nèi)部威脅有很多種。最典型的心懷不滿的員工、勒索事件受害者和疏忽大意的用戶都很容易識別出來,但有一小撮可能對公司危害更大的用戶卻經(jīng)常得以逃過審查。那就是特權(quán)用戶,或者說對公司網(wǎng)絡上大多數(shù)敏感數(shù)據(jù)和系統(tǒng)擁有無限訪問權(quán)的用戶。系統(tǒng)管理員、網(wǎng)絡工程師,甚至CISO都會對公司造成最大威脅。我們對他們有任何監(jiān)管嗎?該怎樣防止來自內(nèi)部的損害呢?
此類威脅有時候真的很難檢測,因為特權(quán)用戶是披著合法的外衣在操作。他們通常都知道怎樣避開檢測,也往往直到證據(jù)確鑿才會被懷疑。雖然可能令人意外,但幾乎每周都會發(fā)生涉及特權(quán)用戶的安全事件。
比如說,系統(tǒng)管理員把日志文件發(fā)送到家中電腦加個班,或者數(shù)據(jù)中心管理員利用職務之便修改設置,讓無數(shù)服務器幫他挖礦加密貨幣。CISO違反公司策略使用商業(yè)VPN瀏覽不恰當?shù)木W(wǎng)上內(nèi)容也是其中一例。大多數(shù)內(nèi)部人安全事件都是非惡意內(nèi)部威脅:用戶走個捷徑想讓自己的工作輕松點兒,但最終給公司的安全防護開了個口子。
檢測:找不同
無論動機如何,所有內(nèi)部威脅都有一個共同特征:用戶設備開始表現(xiàn)出異常行為模式。而人工智能(AI)技術(shù)可以立即發(fā)現(xiàn)并將之標記為威脅。有時候這些偏離設備正常“生活軌跡”的模式會特別明顯。但更多情況下這些攻擊指標太過細微,僅捕捉已知威脅的傳統(tǒng)工具無法覺察。但無論指標有多細微,這些設備與網(wǎng)絡上其他類似設備之間總是切實存在差異的。
當今數(shù)字時代,在不斷膨脹的數(shù)據(jù)海洋里尋找刻意逃避的微小數(shù)據(jù)可謂是真正意義上的大海撈針,幾近不可能。我們的網(wǎng)絡日漸復雜,網(wǎng)絡安全和IT人才缺口卻越來越大,找到新興高效的方法來對抗老問題是唯一的出路。機器學習和AI就長于此道——只要用得恰當。
采用以實時數(shù)據(jù)訓練的真正機器學習技術(shù),可以大幅增強并改進當前日志分析平臺。正如業(yè)內(nèi)大多數(shù)人都知道的,精明的攻擊者知道怎么避免留下痕跡,很多時候他們會修改日志以掩蓋他們的行蹤。日志分析是很強大的工具,但其有效性和準確性取決于所饋送的數(shù)據(jù)。網(wǎng)絡級工具可確保日志分析的準確度,快速檢測日志分析與實時網(wǎng)絡行為之間的不一致之處。
響應:忠實踐諾
如果沒有正確實施所制定的策略,那無論事件檢測有多么快速高效都沒用。必須對特權(quán)用戶高標準嚴要求,因為他們可能會對公司造成巨大的傷害。若沒做到這一點,公司遭遇重大內(nèi)部人安全事件的風險會大幅增加。實踐你所承諾的。當然,如果你宣揚的本就是不怎么樣的安全,那數(shù)據(jù)泄露和攻擊也就指日可待了。
但即便擁有了最先進的安全策略和實施機制,人為失誤依然不可避免,而無論惡意還是無意,內(nèi)部威脅永遠不會完全根除。AI網(wǎng)絡防御技術(shù)提供了捕獲微小行為差異的絕佳機會,可以在造成災難性后果之前及時阻止正在進行中的攻擊。
責任編輯:任我行