人人書

雜誌

保存到桌面 | 簡體人人書 | 手機版
傳記回憶文學理論偵探推理驚悚懸疑詩歌戲曲雜文隨筆小故事書評雜誌
人人書 > 雜誌 > 威脅企業安全的機器行為

威脅企業安全的機器行為

時間:2024-10-31 09:47:36

機器學習推動了企業安全的發展,支持網絡内部的可視化,以便更好地了解用戶行為。然而,惡意攻擊者利用機器學習在企業内部取得的成果來攻擊周邊。

具體來說,這類攻擊包括DNS隧道、附加到Tor網絡上,以及向目錄服務發送惡意認證請求等。RookSecurity的安全運營主管TomGorup說:“除了這些威脅之外,一般來說,從電信詐騙到分發惡意軟件,我們看到用的最多的是網絡釣魚。通常,我們看到他們試圖利用掃描進行攻擊。”

雖然DNS隧道不像以前用的那麼多了,但攻擊者相信大多數人都沒有監控他們的DNS,Gorup說:“這使得黑客能夠繞過保護内部數據免受攻擊的代理服務器和防火牆。”

藍隊也越來越難以使用附加到Tor網絡了,因為保護環境的成本越來越高了。Gorup說:“如果你沒有抓到初始數據包,所有其他的看起來就像SSL流量。一些惡意軟件确實使用Tor,當他們這樣做時,這肯定會很難。這取決于攻擊者的努力程度。”

需要進行不斷監控的另一種威脅是發送身份認證請求。Gorup說:“對目錄服務的認證使黑客能夠詳細了解網絡上的服務器,包括命名、用戶和密碼。”

Exabeam的威脅研究主任BarryShteiman說:“當檢查機器時,應該檢查在沒有人主動提出要求時機器的行為。”

從安全角度來看,這很難檢測到,因為當一個人與機器交互時,就是人類用戶對機器進行了一些操作。Shteiman說:“不管機器做的對還是錯,總是有人類服務啟動了機器的操作。”

最常見的是,在被入侵的機器中,很難準确地辨别發生了什麼。Shteiman說:“DNS隧道是經典的威脅。有人在機器上安裝了一些軟件,通過服務器和IP地址之間使用的協議開始對數據進行過濾。”

黑客知道DNS是強大的。Shteiman說:“它包括元信息。因為有空白文本字段,或者對域名長度幾乎沒有限制,所以,有地方可以自由的輸入文本。黑客把一個文件分成幾塊,然後在網絡外部重新将其連接起來,開始操縱DNS以過濾數據。”

由于DNS是必需的協議,因此從安全或網絡監視的角度看,這些都是合法的。看起來沒什麼奇怪的。Shteiman說:“機器有自己使用的DNS策略。服務是在機器本身,它不需要人類的互動。在封閉的網絡上,這些很常見。”

問題是,黑客會試圖操縱一個可以訪問某些數據的機器,Shteiman說:“使用機器來過濾數據,安全防護人員不能創建不允許DNS訪問的卷,也不能把這些卷列入白名單或者黑名單。這是一個被分成了幾百萬塊的特殊文件。”

Citrix的CSOStanBlack說,機器威脅的問題是還沒有明确地定義它們,也沒有能一緻接受的理解。正在進行的攻擊具有适應和快速找到新二進制文件的能力。

Black說:“從我的角度來看,當我們在内部進行的機器學習被轉到外部用于攻擊我們的周邊時,就出現了機器威脅。機器威脅是指惡意攻擊者試圖使用機器技術來攻擊我們。”

犯罪分子非常善于追逐世界各地的公司,以至于他們現在能夠借助公共信息,通過自動化進行大量的攻擊。Black說:“每季度有50到60億次新攻擊,這些攻擊有多個攻擊單元。過去這需要一個人查看數據,而現在,它是完全自動化的。”

自動化使黑客能夠比以前更智能的進行收集。Black說:“如果您關注一下互聯網數據流,很少有人熟悉将會發生什麼。這些人正在使用連接、運營商、運營商呼叫、健康檢查和模仿分析來更加智能。”

安全防護人員正在監控流量,但Black說:“以前,我們會看到有人正在對我們進行主動掃描。現在,他們能夠利用惡意代碼收集到比以前更多的信息。在物聯網領域這是非常常見的。”

Black說:“返璞歸真可能是最好的防禦措施。發展雖然非常快,但我們應該返璞歸真。應用程序應該在每個端口執行某類操作。我們需要清楚地界定好的數據流是什麼,它應該是什麼樣子。如果它偏離了公布的标準,那就可能是不好的數據流。”

Shteiman說:“依靠建模和機器學習是保護沒有被阻止訪問已知TorIP措施所覆蓋的間隙的另一種方法。我在Tor上工作,但我可以模拟我如何在自己的電腦上工作。隻有在有鍵盤交互或工作期間才允許訪問,這樣,如果我不在計算機上,那就不能使用Tor。”

通常情況下,要想減輕這些威脅則需要教育和培訓。Gorup說:“定期檢查代碼和培訓開發人員能夠降低風險,減少漏洞。”

Black同意并指出:“編程會有重大進步。互聯網和全球運營商已經讓‘髒數據’進門了。作為這些數據的消費者,我們應該要求他們清理我們的管道。”

每個人都厭倦了不斷的破壞和攻擊,更清楚地界定運營商和公司的責任将有助于清理這些管道。

Black說:“我們有權知道有什麼東西會進入我們的設施,會輸出什麼。他們還會看到沒有被企業和國家加密的加密數據流,但如果他們沒有密鑰,他們會阻塞有效載荷。”

Black說:“采用更少的層進行簡化和整合也是清理過程的必要組成。在很長一段時間内,我現在比以前更自信,這有幾個原因。您需要分層的技術正在迅速整合,簡化将會非常重要。”

(作者KacyZurkus是CSO的特約撰稿人,他的文章涉及各種安全和風險主題。)

原文網址:http://www.csoonline/article/3160057/security/machine-behaviors-thatthreaten-enterprise-security.html
   

熱門書籍

熱門文章