繞過使用大數(shù)據(jù)的保護(hù)系統(tǒng)是否困難？

　　本文將探討網(wǎng)絡(luò)安全中的大數(shù)據(jù)。更確切地說，探討繞過使用大數(shù)據(jù)的保護(hù)系統(tǒng)的難易程度;或者換句話說，如何欺騙高級威脅檢測系統(tǒng)。而有些營銷人員聲稱，沒有任何可疑的數(shù)據(jù)可以通過檢測系統(tǒng)的檢測。大數(shù)據(jù)分析系統(tǒng)可以作為檢測可疑活動(如SIEM和XDR)的主要工具之一。

　　大中型企業(yè)通常使用這樣的平臺。他們擁有龐大的網(wǎng)絡(luò)和云計(jì)算基礎(chǔ)設(shè)施，每小時都會發(fā)生數(shù)百萬個攻擊事件。自然，沒有辦法人工分析它們。它是通過大量使用技術(shù)手段進(jìn)行的。值得注意的是，在大數(shù)據(jù)和網(wǎng)絡(luò)安全領(lǐng)域，專家的可用性是一個必要的組成部分。

　　這樣的系統(tǒng)有什么作用？

　　它們允許識別大量結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)中未經(jīng)授權(quán)活動的跡象?？紤]到在一個平均由1萬個端點(diǎn)組成的網(wǎng)絡(luò)中，每天傳輸大約25TB的數(shù)據(jù)，掃描所有這些數(shù)據(jù)的任務(wù)變得非常困難。但是，有幾種算法可以提供幫助。

　　威脅檢測平臺(特別是XDR)的一個基本質(zhì)量標(biāo)準(zhǔn)是異常檢測的準(zhǔn)確性。通常，XDR解決方案包括負(fù)責(zé)收集和處理事件的SIEM平臺、檢測和響應(yīng)異常所需的EDR模塊，以及收集有關(guān)用戶操作和/或端點(diǎn)、服務(wù)器和網(wǎng)絡(luò)設(shè)備的大量數(shù)據(jù)的UEBA系統(tǒng)，以及然后使用機(jī)器學(xué)習(xí)算法來構(gòu)建行為模式，并嘗試識別異常情況。

　　這種異常的最簡單的例子是，例如在深夜，服務(wù)器突然開始主動與遠(yuǎn)程主機(jī)通信，這是以前從未在日志中看到的。這種情況偶爾發(fā)生，不是經(jīng)常發(fā)生，但這一事實(shí)看起來可疑。另一個例子：突然之間，從分配給單個員工的辦公設(shè)備中，每隔三四天就會有幾十兆字節(jié)的數(shù)據(jù)傳到某個地方，而根據(jù)訪問系統(tǒng)中的信息判斷，這可能有問題。

　　上面提供的例子通常非常明顯。還有一些不太常見的事件，它們之間的聯(lián)系一點(diǎn)也不明顯，但機(jī)器可以看到一切。

　　機(jī)器能看到一切嗎？

　　在弗蘭克赫伯特所著的著名科幻小說《沙丘》中，沙蟲會摧毀任何發(fā)出具有節(jié)奏的聲音的東西。無論是人員還是機(jī)器。然而，沙漠居民已經(jīng)學(xué)會了使用模仿沙漠自然噪音的特殊不規(guī)則步態(tài)來欺騙警惕的沙蟲。為了提高可靠性，他們使用了特殊的分散注意力的裝置，當(dāng)這些裝置被激活時，會開始發(fā)出響亮的有節(jié)奏的敲擊聲。沙蟲們蜂擁而至，讓人們有時間去他們需要去的地方。

　　這些類比并不是巧合。事實(shí)上，想要繞過大數(shù)據(jù)分析系統(tǒng)的網(wǎng)絡(luò)犯罪分子將不得不花費(fèi)大量時間和精力。這是一個好消息。俁可悲的是，任何安全系統(tǒng)都可以找到弱點(diǎn)。

　　上述安全系統(tǒng)的基礎(chǔ)是一種知識庫，它是有關(guān)潛在威脅以及有關(guān)受保護(hù)資源的結(jié)構(gòu)和功能的信息的組合。該知識庫有助于確定什么是正常的事件過程，什么是異常。

　　大數(shù)據(jù)分析系統(tǒng)可以以多種不同的方式工作。例如，可以對Hadoop進(jìn)行編程以檢測任何進(jìn)入或離開網(wǎng)絡(luò)的事物。通過這種方式，可以在網(wǎng)絡(luò)犯罪分子的控制下識別受感染的電腦或服務(wù)器與主機(jī)之間的可疑通信。還可以配置系統(tǒng)日志的監(jiān)控。

　　預(yù)警平臺可以從受保護(hù)的基礎(chǔ)設(shè)施內(nèi)部收集和積累數(shù)據(jù)，確定什么被視為正常行為，從外部收集有關(guān)潛在威脅和風(fēng)險(xiǎn)的數(shù)據(jù)，使用大數(shù)據(jù)分析來確定是否在其保護(hù)范圍之外觀察到類似的事情。

　　黑客如何繞過保護(hù)

　　自然，網(wǎng)絡(luò)攻擊者知道此類系統(tǒng)的工作原理。他們能做什么?首先，進(jìn)行針對性攻擊的操作人員將進(jìn)行偵察。這一步可能需要很多時間。偵察的對象不僅是目標(biāo)基礎(chǔ)設(shè)施的硬件系統(tǒng)和軟件，還包括其操作人員。員工分享自己的信息越多，就越容易對他或他的同事進(jìn)行網(wǎng)絡(luò)釣魚攻擊。眾所周知，相當(dāng)多的成功攻擊都是從網(wǎng)絡(luò)釣魚開始的。

　　網(wǎng)絡(luò)攻擊者的下一個任務(wù)是最小化他們對安全系統(tǒng)的可見性。這里有幾個選項(xiàng)。網(wǎng)絡(luò)犯罪分子可能會使用目標(biāo)基礎(chǔ)設(shè)施中已有的合法開源工具(例如PowerShell和管理工具等)在受到網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)中移動。此外，他們可以使用無文件惡意軟件破壞系統(tǒng)工具，如果沒有檢測到，網(wǎng)絡(luò)攻擊者能夠在被攻擊的網(wǎng)絡(luò)中不被注意地移動。

　　然而，如果他們過于活躍和具有規(guī)律，檢測系統(tǒng)就會做出反應(yīng)，這意味著黑客將不得不盡可能緩慢地行動，而且其間隔沒有規(guī)律。

　　例如，如果目標(biāo)基礎(chǔ)設(shè)施中只有一兩臺機(jī)器每周甚至一個月被掃描一次，那么安全系統(tǒng)幾乎不可能檢測到任何東西。

　　如果網(wǎng)絡(luò)攻擊者所需的數(shù)據(jù)不是由一個受感染的帳戶收集的，而是由十幾個帳戶收集的，并且如果這些數(shù)據(jù)不是在一個遠(yuǎn)程服務(wù)器上發(fā)送的，而是發(fā)送給許多遠(yuǎn)程服務(wù)器，那么檢測系統(tǒng)工作所依據(jù)的威脅模型可能是錯誤的。

　　另一個糟糕的場景是這樣的：員工將一些文件復(fù)制到他的閃存驅(qū)動器中。離開大樓后，他把口袋里的垃圾扔進(jìn)垃圾桶，其中包括一個閃存驅(qū)動器。數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)可能無法始終抵御內(nèi)部威脅，尤其是在專業(yè)人員積極主動地進(jìn)行攻擊的情況下。

　　另一個值得關(guān)注的方面是針對少量典型場景訓(xùn)練的開箱即用檢測系統(tǒng)。他們需要一些時間才能從其他系統(tǒng)(威脅源)獲得足夠的關(guān)于潛在威脅的信息，并使它們適應(yīng)他們的模型。

　　如果網(wǎng)絡(luò)攻擊者設(shè)法想出一個不太典型的攻擊場景，他們就有機(jī)會在安全系統(tǒng)檢測到之前有時間實(shí)施它。

　　當(dāng)然，當(dāng)存在多個進(jìn)入基礎(chǔ)設(shè)施的入口點(diǎn)時，網(wǎng)絡(luò)攻擊者會安排某種明顯的事件，例如DDoS攻擊或故意檢測到的將某些數(shù)據(jù)傳輸?shù)竭h(yuǎn)程主機(jī)。而這只是一個煙幕彈，可以分散對實(shí)際攻擊的注意力，而實(shí)際攻擊是在完全不同的領(lǐng)域進(jìn)行的。

　　人們可以在任何系統(tǒng)中找到漏洞并提出利用它們的方案。一般來說，無論是人類還是人工智能都無法預(yù)見一切，但有可能使網(wǎng)絡(luò)攻擊者的任務(wù)變得極其困難。為企業(yè)基礎(chǔ)設(shè)施提供所有可用的高級安全工具是可能且必要的。

　　如何進(jìn)行保護(hù)

　　現(xiàn)在，網(wǎng)絡(luò)犯罪分子和XDR系統(tǒng)之間展開了一場軍競賽。黑客在尋找弱點(diǎn)，而防御者的任務(wù)是將進(jìn)入點(diǎn)的數(shù)量降至最低。

　　對于大多數(shù)網(wǎng)絡(luò)犯罪分子來說，大公司可用的基于大數(shù)據(jù)的技術(shù)和工具通常過于昂貴。重大網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露是由高級網(wǎng)絡(luò)團(tuán)伙執(zhí)行的。盡管如此，在大多數(shù)情況下，當(dāng)今的網(wǎng)絡(luò)事件始于對特定用戶的針對性攻擊。

　　首先，除了使用先進(jìn)的技術(shù)保護(hù)手段外，企業(yè)還需要讓其用戶為可能的網(wǎng)絡(luò)釣魚攻擊做好準(zhǔn)備，并訓(xùn)練他們應(yīng)對社會工程技巧。所有員工都應(yīng)該至少對如何在工作場所內(nèi)外確保自己的信息安全有基本的了解。由于向遠(yuǎn)程工作的大規(guī)模過渡，這一點(diǎn)尤為重要。此外，有必要盡量減少可能的入口點(diǎn)的數(shù)量。這些可以是連接到企業(yè)網(wǎng)絡(luò)并可從外部訪問的任何設(shè)備。入侵者可以利用配置不正確的驅(qū)動器、非常舊但仍在運(yùn)行的路由器和物聯(lián)網(wǎng)設(shè)備。

(作者：Harris編譯)