Kacy+Zurkus

機(jī)器學(xué)習(xí)推動(dòng)了企業(yè)安全的發(fā)展，支持網(wǎng)絡(luò)內(nèi)部的可視化，以便更好地了解用戶行為。然而，惡意攻擊者利用機(jī)器學(xué)習(xí)在企業(yè)內(nèi)部取得的成果來攻擊周邊。 具體來說，這類攻擊包括DNS隧道、附加到Tor網(wǎng)絡(luò)上，以及向目錄服務(wù)發(fā)送惡意認(rèn)證請(qǐng)求等。Rook Security的安全運(yùn)營主管Tom Gorup說：“除了這些威脅之外，一般來說，從電信詐騙到分發(fā)惡意軟件，我們看到用的最多的是網(wǎng)絡(luò)釣魚。通常，我們看到他們?cè)噲D利用掃描進(jìn)行攻擊?！?雖然DNS隧道不像以前用的那么多了，但攻擊者相信大多數(shù)人都沒有監(jiān)控他們的DNS，Gorup說：“這使得黑客能夠繞過保護(hù)內(nèi)部數(shù)據(jù)免受攻擊的代理服務(wù)器和防火墻。” 藍(lán)隊(duì)也越來越難以使用附加到Tor網(wǎng)絡(luò)了，因?yàn)楸Ｗo(hù)環(huán)境的成本越來越高了。Gorup說：“如果你沒有抓到初始數(shù)據(jù)包，所有其他的看起來就像SSL流量。一些惡意軟件確實(shí)使用Tor，當(dāng)他們這樣做時(shí)，這肯定會(huì)很難。這取決于攻擊者的努力程度?！?需要進(jìn)行不斷監(jiān)控的另一種威脅是發(fā)送身份認(rèn)證請(qǐng)求。Gorup說：“對(duì)目錄服務(wù)的認(rèn)證使黑客能夠詳細(xì)了解網(wǎng)絡(luò)上的服務(wù)器，包括命名、用戶和密碼。” Exabeam的威脅研究主任Barry Shteiman說：“當(dāng)檢查機(jī)器時(shí)，應(yīng)該檢查在沒有人主動(dòng)提出要求時(shí)機(jī)器的行為?！?從安全角度來看，這很難檢測到，因?yàn)楫?dāng)一個(gè)人與機(jī)器交互時(shí)，就是人類用戶對(duì)機(jī)器進(jìn)行了一些操作。Shteiman說：“不管機(jī)器做的對(duì)還是錯(cuò)，總是有人類服務(wù)啟動(dòng)了機(jī)器的操作?！?最常見的是，在被入侵的機(jī)器中，很難準(zhǔn)確地辨別發(fā)生了什么。Shteiman說：“DNS隧道是經(jīng)典的威脅。有人在機(jī)器上安裝了一些軟件，通過服務(wù)器和IP地址之間使用的協(xié)議開始對(duì)數(shù)據(jù)進(jìn)行過濾?！?黑客知道DNS是強(qiáng)大的。Shteiman說：“它包括元信息。因?yàn)橛锌瞻孜谋咀侄?，或者?duì)域名長度幾乎沒有限制，所以，有地方可以自由的輸入文本。黑客把一個(gè)文件分成幾塊，然后在網(wǎng)絡(luò)外部重新將其連接起來，開始操縱DNS以過濾數(shù)據(jù)。” 由于DNS是必需的協(xié)議，因此從安全或網(wǎng)絡(luò)監(jiān)視的角度看，這些都是合法的?？雌饋頉]什么奇怪的。Shteiman說：“機(jī)器有自己使用的DNS策略。服務(wù)是在機(jī)器本身，它不需要人類的互動(dòng)。在封閉的網(wǎng)絡(luò)上，這些很常見?！?問題是，黑客會(huì)試圖操縱一個(gè)可以訪問某些數(shù)據(jù)的機(jī)器，Shteiman說：“使用機(jī)器來過濾數(shù)據(jù)，安全防護(hù)人員不能創(chuàng)建不允許DNS訪問的卷，也不能把這些卷列入白名單或者黑名單。這是一個(gè)被分成了幾百萬塊的特殊文件?！?Citrix的CSO Stan Black說，機(jī)器威脅的問題是還沒有明確地定義它們，也沒有能一致接受的理解。正在進(jìn)行的攻擊具有適應(yīng)和快速找到新二進(jìn)制文件的能力。 Black說：“從我的角度來看，當(dāng)我們?cè)趦?nèi)部進(jìn)行的機(jī)器學(xué)習(xí)被轉(zhuǎn)到外部用于攻擊我們的周邊時(shí)，就出現(xiàn)了機(jī)器威脅。機(jī)器威脅是指惡意攻擊者試圖使用機(jī)器技術(shù)來攻擊我們?！?犯罪分子非常善于追逐世界各地的公司，以至于他們現(xiàn)在能夠借助公共信息，通過自動(dòng)化進(jìn)行大量的攻擊。Black說：“每季度有50到60億次新攻擊，這些攻擊有多個(gè)攻擊單元。過去這需要一個(gè)人查看數(shù)據(jù)，而現(xiàn)在，它是完全自動(dòng)化的。” 自動(dòng)化使黑客能夠比以前更智能的進(jìn)行收集。Black說：“如果您關(guān)注一下互聯(lián)網(wǎng)數(shù)據(jù)流，很少有人熟悉將會(huì)發(fā)生什么。這些人正在使用連接、運(yùn)營商、運(yùn)營商呼叫、健康檢查和模仿分析來更加智能。” 安全防護(hù)人員正在監(jiān)控流量，但Black說：“以前，我們會(huì)看到有人正在對(duì)我們進(jìn)行主動(dòng)掃描。現(xiàn)在，他們能夠利用惡意代碼收集到比以前更多的信息。在物聯(lián)網(wǎng)領(lǐng)域這是非常常見的。” Black說：“返璞歸真可能是最好的防御措施。發(fā)展雖然非?？?，但我們應(yīng)該返璞歸真。應(yīng)用程序應(yīng)該在每個(gè)端口執(zhí)行某類操作。我們需要清楚地界定好的數(shù)據(jù)流是什么，它應(yīng)該是什么樣子。如果它偏離了公布的標(biāo)準(zhǔn)，那就可能是不好的數(shù)據(jù)流?！?Shteiman說：“依靠建模和機(jī)器學(xué)習(xí)是保護(hù)沒有被阻止訪問已知Tor IP措施所覆蓋的間隙的另一種方法。我在Tor上工作，但我可以模擬我如何在自己的電腦上工作。只有在有鍵盤交互或工作期間才允許訪問，這樣，如果我不在計(jì)算機(jī)上，那就不能使用Tor?！?通常情況下，要想減輕這些威脅則需要教育和培訓(xùn)。Gorup說：“定期檢查代碼和培訓(xùn)開發(fā)人員能夠降低風(fēng)險(xiǎn)，減少漏洞?！?Black同意并指出：“編程會(huì)有重大進(jìn)步?；ヂ?lián)網(wǎng)和全球運(yùn)營商已經(jīng)讓‘臟數(shù)據(jù)進(jìn)門了。作為這些數(shù)據(jù)的消費(fèi)者，我們應(yīng)該要求他們清理我們的管道。” 每個(gè)人都厭倦了不斷的破壞和攻擊，更清楚地界定運(yùn)營商和公司的責(zé)任將有助于清理這些管道。 Black說：“我們有權(quán)知道有什么東西會(huì)進(jìn)入我們的設(shè)施，會(huì)輸出什么。他們還會(huì)看到?jīng)]有被企業(yè)和國家加密的加密數(shù)據(jù)流，但如果他們沒有密鑰，他們會(huì)阻塞有效載荷。” Black說：“采用更少的層進(jìn)行簡化和整合也是清理過程的必要組成。在很長一段時(shí)間內(nèi)，我現(xiàn)在比以前更自信，這有幾個(gè)原因。您需要分層的技術(shù)正在迅速整合，簡化將會(huì)非常重要?！?（作者Kacy Zurkus是CSO的特約撰稿人，他的文章涉及各種安全和風(fēng)險(xiǎn)主題。） 原文網(wǎng)址： http：//www.csoonline.com/article/3160057/security/machine-behaviors-that-threaten-enterprise-security.htmlendprint