世界上第一次网络攻击发生在 1988 年 11 月,当时 Robert Tappan Morris 编写了第一个分布式拒绝服务(DDoS)计划。在过去的 30 年中,企业的网络攻击变得更加频繁和复杂。
采用数字化转型战略和物联网(IoT)导致易受攻击的目标数量呈指数增长,今天互联网上有数以百万计的连接设备可被利用。
一些网络犯罪统计数据显示了这种影响,仅2018 年就有 1244 个数据泄露和 4.47 亿个隐私暴露记录。马里兰大学的一项研究得出结论,黑客攻击每 39 秒发生一次。瞻博网络研究机构预测,到 2019 年,网络犯罪将使企业损失超过 2 万亿美元。
此外,网络攻击者使用诸如智能网络钓鱼, 恶意软件攻击和零日志攻击等策略。智能网络钓鱼涉及黑客在针对受害者之前进行大量背景研究。
当黑客不是在主机上安装恶意软件时,使用 内置的系统工具(如 PowerShell 和 Windows Management Instrumentation(WMI))来获取特权访问权限。用以检测此类攻击则更加困难,因为在管理员使用这些工具执行例行检测时,这些攻击未被注意到。
当漏洞暴露的同一天发生黑客攻击时,就会发生零日志攻击;由于其隐蔽性非常高,识别这些攻击平均时间高达197天,平均遏制时间(MTTC)在 2018年为69天。
因此,每个企业都需要有效的安全解决方案来保护自己免受威胁。安全信息和事件管理(SIEM)解决方案实时分析网络活动并 帮助检测攻击,以及使用机器学习(ML) 检测用户和实体行为异常。
SIEM 解决方案使企业能够在主页位置收集和存储日志,他们还利用不同的流量协议来跟踪其他网络活动。这使 IT 管理员可以非常方便地在发生安全事件时,设置实时警报阈值和条件。SIEM 解决方案还使 IT 管理员能够将一系列事件关联在一起,以识别可能错过的威胁。这些解决方案依赖于已知模式或“ 签名” 来识别威胁。
管理员需要通过条件或关联规则,或通过自动检索来自STIX 和 TAXII 等威胁情报数据库的数据,将这些数据输入系统。
但是,即使拥有以上功能,也无法阻止所有攻击。凯文米特尼克,可以说是世界上最著名的黑客,他说:“ 你永远不能百分之百的保护自己。你所做的就是尽可能地保护自己,并将风险降低到最低。你永远无法消除所有风险。”
SIEM 解决方案也有助于公司即使发生了攻击,也能采取行动措施。
诸如 Elasticsearch 之类的技术可用于执行取证分析,并深入了解事件的原因。
IT 管理员可以采取措施确保问题得到解决, 并且不会再因相似的原因而受到攻击。
Mangenengine ADAudit Plus UEBA 使用机器学习算法的功能来检测网络上用户和设备的行为异常。这些算法使用统计和概率模型为每个用户和实体建立正常的配置文件。
使用历史数据将用户和实体执行的每个动作与这些模型生成的结果进行比较,如果事件不符合预期的规则,则会立即将其归类为异常,并将此信息提供给管理员,然后管理员可以采取适当的措施。基于机器学习的防御系统会主动学习;随着经验的增加,他们抵御网络威胁的能力也会增强。
UEBA 系统需要至少一天的历史数据才能开始工作,并且至少需要两周的历史数据才能开始有效工作。
由于每个用户和实体的行为会与其相应的基线或“ 平均值” 进行比较,因此会减少漏报和误报。
1.漏报和误报的数量将减少基于规则的警报机制。
2.SIEM解决方案将安全事故视为孤立事件并触发警报,但UEBA解决方案从整体上考 虑安全性并计算每个用户的风险评分。
3.它可以更快速的帮助用户发现攻击行为,即便是匿名攻击。
4.攻击者可能潜伏在网络中很长一段时间,从一台机器转到另一台机器,逐渐增加他们的权限,让人难以发现。UEBA 解决方案可以检测到这种情况。
5.让您不必再依赖开发阈值或相关性规则就可以发现攻击行为。
下一篇我们将介绍“看AI技术如何保护您的业务系列二”
责任编辑: