威脅企業(yè)安全的機(jī)器行為

Kacy+Zurkus

機(jī)器學(xué)習(xí)推動(dòng)了企業(yè)安全的發(fā)展，支持網(wǎng)絡(luò)內(nèi)部的可視化，以便更好地了解用戶行為。然而，惡意攻擊者利用機(jī)器學(xué)習(xí)在企業(yè)內(nèi)部取得的成果來(lái)攻擊周邊。 具體來(lái)說(shuō)，這類攻擊包括DNS隧道、附加到Tor網(wǎng)絡(luò)上，以及向目錄服務(wù)發(fā)送惡意認(rèn)證請(qǐng)求等。Rook Security的安全運(yùn)營(yíng)主管Tom Gorup說(shuō)：“除了這些威脅之外，一般來(lái)說(shuō)，從電信詐騙到分發(fā)惡意軟件，我們看到用的最多的是網(wǎng)絡(luò)釣魚(yú)。通常，我們看到他們?cè)噲D利用掃描進(jìn)行攻擊。” 雖然DNS隧道不像以前用的那么多了，但攻擊者相信大多數(shù)人都沒(méi)有監(jiān)控他們的DNS，Gorup說(shuō)：“這使得黑客能夠繞過(guò)保護(hù)內(nèi)部數(shù)據(jù)免受攻擊的代理服務(wù)器和防火墻。” 藍(lán)隊(duì)也越來(lái)越難以使用附加到Tor網(wǎng)絡(luò)了，因?yàn)楸Ｗo(hù)環(huán)境的成本越來(lái)越高了。Gorup說(shuō)：“如果你沒(méi)有抓到初始數(shù)據(jù)包，所有其他的看起來(lái)就像SSL流量。一些惡意軟件確實(shí)使用Tor，當(dāng)他們這樣做時(shí)，這肯定會(huì)很難。這取決于攻擊者的努力程度。” 需要進(jìn)行不斷監(jiān)控的另一種威脅是發(fā)送身份認(rèn)證請(qǐng)求。Gorup說(shuō)：“對(duì)目錄服務(wù)的認(rèn)證使黑客能夠詳細(xì)了解網(wǎng)絡(luò)上的服務(wù)器，包括命名、用戶和密碼。” Exabeam的威脅研究主任Barry Shteiman說(shuō)：“當(dāng)檢查機(jī)器時(shí)，應(yīng)該檢查在沒(méi)有人主動(dòng)提出要求時(shí)機(jī)器的行為。” 從安全角度來(lái)看，這很難檢測(cè)到，因?yàn)楫?dāng)一個(gè)人與機(jī)器交互時(shí)，就是人類用戶對(duì)機(jī)器進(jìn)行了一些操作。Shteiman說(shuō)：“不管機(jī)器做的對(duì)還是錯(cuò)，總是有人類服務(wù)啟動(dòng)了機(jī)器的操作。” 最常見(jiàn)的是，在被入侵的機(jī)器中，很難準(zhǔn)確地辨別發(fā)生了什么。Shteiman說(shuō)：“DNS隧道是經(jīng)典的威脅。有人在機(jī)器上安裝了一些軟件，通過(guò)服務(wù)器和IP地址之間使用的協(xié)議開(kāi)始對(duì)數(shù)據(jù)進(jìn)行過(guò)濾。” 黑客知道DNS是強(qiáng)大的。Shteiman說(shuō)：“它包括元信息。因?yàn)橛锌瞻孜谋咀侄危蛘邔?duì)域名長(zhǎng)度幾乎沒(méi)有限制，所以，有地方可以自由的輸入文本。黑客把一個(gè)文件分成幾塊，然后在網(wǎng)絡(luò)外部重新將其連接起來(lái)，開(kāi)始操縱DNS以過(guò)濾數(shù)據(jù)。” 由于DNS是必需的協(xié)議，因此從安全或網(wǎng)絡(luò)監(jiān)視的角度看，這些都是合法的。看起來(lái)沒(méi)什么奇怪的。Shteiman說(shuō)：“機(jī)器有自己使用的DNS策略。服務(wù)是在機(jī)器本身，它不需要人類的互動(dòng)。在封閉的網(wǎng)絡(luò)上，這些很常見(jiàn)。” 問(wèn)題是，黑客會(huì)試圖操縱一個(gè)可以訪問(wèn)某些數(shù)據(jù)的機(jī)器，Shteiman說(shuō)：“使用機(jī)器來(lái)過(guò)濾數(shù)據(jù)，安全防護(hù)人員不能創(chuàng)建不允許DNS訪問(wèn)的卷，也不能把這些卷列入白名單或者黑名單。這是一個(gè)被分成了幾百萬(wàn)塊的特殊文件。” Citrix的CSO Stan Black說(shuō)，機(jī)器威脅的問(wèn)題是還沒(méi)有明確地定義它們，也沒(méi)有能一致接受的理解。正在進(jìn)行的攻擊具有適應(yīng)和快速找到新二進(jìn)制文件的能力。 Black說(shuō)：“從我的角度來(lái)看，當(dāng)我們?cè)趦?nèi)部進(jìn)行的機(jī)器學(xué)習(xí)被轉(zhuǎn)到外部用于攻擊我們的周邊時(shí)，就出現(xiàn)了機(jī)器威脅。機(jī)器威脅是指惡意攻擊者試圖使用機(jī)器技術(shù)來(lái)攻擊我們。” 犯罪分子非常善于追逐世界各地的公司，以至于他們現(xiàn)在能夠借助公共信息，通過(guò)自動(dòng)化進(jìn)行大量的攻擊。Black說(shuō)：“每季度有50到60億次新攻擊，這些攻擊有多個(gè)攻擊單元。過(guò)去這需要一個(gè)人查看數(shù)據(jù)，而現(xiàn)在，它是完全自動(dòng)化的。” 自動(dòng)化使黑客能夠比以前更智能的進(jìn)行收集。Black說(shuō)：“如果您關(guān)注一下互聯(lián)網(wǎng)數(shù)據(jù)流，很少有人熟悉將會(huì)發(fā)生什么。這些人正在使用連接、運(yùn)營(yíng)商、運(yùn)營(yíng)商呼叫、健康檢查和模仿分析來(lái)更加智能。” 安全防護(hù)人員正在監(jiān)控流量，但Black說(shuō)：“以前，我們會(huì)看到有人正在對(duì)我們進(jìn)行主動(dòng)掃描。現(xiàn)在，他們能夠利用惡意代碼收集到比以前更多的信息。在物聯(lián)網(wǎng)領(lǐng)域這是非常常見(jiàn)的。” Black說(shuō)：“返璞歸真可能是最好的防御措施。發(fā)展雖然非常快，但我們應(yīng)該返璞歸真。應(yīng)用程序應(yīng)該在每個(gè)端口執(zhí)行某類操作。我們需要清楚地界定好的數(shù)據(jù)流是什么，它應(yīng)該是什么樣子。如果它偏離了公布的標(biāo)準(zhǔn)，那就可能是不好的數(shù)據(jù)流。” Shteiman說(shuō)：“依靠建模和機(jī)器學(xué)習(xí)是保護(hù)沒(méi)有被阻止訪問(wèn)已知Tor IP措施所覆蓋的間隙的另一種方法。我在Tor上工作，但我可以模擬我如何在自己的電腦上工作。只有在有鍵盤交互或工作期間才允許訪問(wèn)，這樣，如果我不在計(jì)算機(jī)上，那就不能使用Tor。” 通常情況下，要想減輕這些威脅則需要教育和培訓(xùn)。Gorup說(shuō)：“定期檢查代碼和培訓(xùn)開(kāi)發(fā)人員能夠降低風(fēng)險(xiǎn)，減少漏洞。” Black同意并指出：“編程會(huì)有重大進(jìn)步。互聯(lián)網(wǎng)和全球運(yùn)營(yíng)商已經(jīng)讓‘臟數(shù)據(jù)進(jìn)門了。作為這些數(shù)據(jù)的消費(fèi)者，我們應(yīng)該要求他們清理我們的管道。” 每個(gè)人都厭倦了不斷的破壞和攻擊，更清楚地界定運(yùn)營(yíng)商和公司的責(zé)任將有助于清理這些管道。 Black說(shuō)：“我們有權(quán)知道有什么東西會(huì)進(jìn)入我們的設(shè)施，會(huì)輸出什么。他們還會(huì)看到?jīng)]有被企業(yè)和國(guó)家加密的加密數(shù)據(jù)流，但如果他們沒(méi)有密鑰，他們會(huì)阻塞有效載荷。” Black說(shuō)：“采用更少的層進(jìn)行簡(jiǎn)化和整合也是清理過(guò)程的必要組成。在很長(zhǎng)一段時(shí)間內(nèi)，我現(xiàn)在比以前更自信，這有幾個(gè)原因。您需要分層的技術(shù)正在迅速整合，簡(jiǎn)化將會(huì)非常重要。” （作者Kacy Zurkus是CSO的特約撰稿人，他的文章涉及各種安全和風(fēng)險(xiǎn)主題。） 原文網(wǎng)址： http：//www.csoonline.com/article/3160057/security/machine-behaviors-that-threaten-enterprise-security.htmlendprint