识别隐藏在网络中的规避性威胁

刘询

恶意的内部人员和外部网络犯罪分子越来越狡猾。他们能更好地融入网络，而不會触发任何警告，他们跳过标准安全系统工具和技术。监控和记录整个网络中的活动是不够的，各组织需要能够组合多种数据来源来发现在工作中隐形攻击者的微妙迹象。

逃避机动

高级攻击者可以使用各种策略和工具来对抗既定的安全措施。攻击者通常也会通过HTTPS和DNS路由通信，使得隐藏起来非常容易。普通用户每天最多可以生成2万个DNS查询，这产生了令人难以置信的大量数据需要进行分析，以便有机会检测到某些内容，如果通信本身没有明显的恶意内容那就更加困难。

如果没有任何上下文来丰富这些数据，分析师将花费很长时间浏览日志来确定警报是真正的威胁还是虚警。

此外，诸如在工作时间登录有效设备，专注于邮箱中的数据和每次只提取少量数据等活动都不会给人留下什么印象。创建具有更多权限的影子帐户并根据需要授予权限，这也有助于他们保持低调。

如何捕获规避威胁的行动者

即使是最熟练和最细致的入侵者也无法完全掩盖他们在网络中的存在。在检测它们时，最重要的因素是对组织的人员、过程和技术有一个全面的了解。

检测隐藏威胁参与者的关键行动包括：

识别敏感数据和文件访问：第一步是定义敏感数据的位置，优先考虑个人身份信息（PII）和受监管要求约束的其他数据，以及“所有者”及其可以访问的帐户。存档不再主动使用的任何数据，以减少任何不必要的威胁载体。

管理用户权限：应该清楚地查看系统上的所有帐户，包括普通用户、服务和特权帐户，以及他们拥有的权限。监控权限更改可以成为发现可疑行为的宝贵信息。应使用最小权限方法来确保所有用户只能访问对其工作至关重要的文件——应根据“需要知道”确定信息访问权限。

启动高价值用户分析：将用户活动与特定设备相关联，有助于检测入侵者登录到不同机器，但不做任何明显恶意攻击的微妙迹象。了解公共设备和个人设备使用方式之间的差异也有助于减少噪音和误报。

相关性是关键

最重要的一步是将所有这些数据关联起来。如果单独查看数据集，那么回避入侵者的迹象通常会过于微妙，而且许多可疑行为模式只有统一的观点才会显现。考虑到在任何一天都有大量数据流过组织，只能通过机器学习驱动的自动化方法来实现。

通过彻底了解正常行为的外观以及对网络上所有活动的统一视图，组织将能够进行高价值关联，以识别一些最难以捉摸的恶意活动迹象。例如，访问VPN然后登录其他员工设备的用户将不会触发标准安全系统。但是这种行为对于合法用户来说是非常不寻常的，并且是一个明显的迹象，表明某人的凭据已经被破坏。

利用足够的数据，组织可以超越个人用户并将同伴关系构建到他们的行为分析中。这将允许他们快速发现与同行相比显示异常文件活动的用户，从而显着减少事件响应时间。一旦组织能够可靠地检测到这些迹象，即使是躲避的攻击者在网络中也只有很少的地方可以隐藏。