网络行为分析的时代到了

一旦被认为是网络团队的重要领域,网络遥测数据就成为向安全分析提供更完整的企业威胁视图的必要条件。

用抽象趋势线绘制变化和变换。
Thinkstock

在组织捍卫网络外围优势的日子里,他们依靠各种技术,工具和程序。配置和管理此三连击需要专业技能。同时,还需要对超人的知识和技能进行同等程度的管理,以管理网络的健康状况和性能。

创建了高级工具集来监视网络的复杂内部工作。这些工具捕获的数据通常被网络管理员的秘密兄弟会非常接近地归属。 IT或安全团队几乎无法访问宝贵的网络数据源,以便分析整个企业计算环境中发生的活动。

网络数据是安全智能

有时候,作为下游数据泄露者暴露出网络基础架构的错误配置或问题,安全团队被迫与网络对等方进行棘手的对话,就像这样:“嗯,我们认为您的网络设备可能配置不正确。”回应:“你敢吗?”

能够通过使用人工智能和机器学习检测异常活动来消除安全风险的新分析工具集的问世,要求最完整的可用汇总数据收集。包括来自网络工具和设备的数据。例如,近几年来,网络流量的内容已经发生了变化,从提供基本的硬编码信息元素到更加灵活的模型,这些模型使较新的NetFlow数据对于安全监控而言变得更加有意义和有价值。

因此,尽管组织多年来进行孤立的网络监视以了解和解决诸如“是否已发生网络渗透”,“我们能否优化流量”等传统挑战,但日益严峻的安全威胁现在要求我们加紧应对称为网络行为分析。

获得更大的知名度

有了云,自带设备(BYOD)和物联网(IoT),企业网络上发生的活动比以往任何时候都要多,因此攻击面呈指数级增长。实际上,它已经达到了防火墙,入侵检测系统(IDS)和SIEM之类的传统工具不再能够跟上网络中日益增加的漏洞水平的程度。

另一方面,网络行为分析有可能提供对传统网络工具和设备无法检测到的威胁的可见性。与旨在检测特定网络或端点入侵的方法不同,网络行为分析会监视网络流量以建立正常活动的基准,然后查找异常。

与任何形式的分析模型一样,单个行为转变通常不足以进行调查,但是多个行为异常会引发警报。网络行为分析旨在检测跨多个活动数据源的更改,并将这些更改链接到其他威胁指标。通过针对独特行为对传入数据进行建模,可以准确地检测可疑活动,对风险进行评分并发出警报,以采取进一步的调查或补救措施。

识别中间人

让我们考虑几个用例,以说明网络行为分析的好处。

中间人攻击是一种很好的方法,它涉及破坏两方之间的安全通信。当对手与每个受害者建立独立的联系然后在他们之间中继消息时,就会发生典型的中间人攻击,使他们认为他们正在彼此直接通信。

中间人攻击的最流行和最常见形式之一是未加密的公共无线网络。在这种情况下,接收范围内的攻击者会将他/她自己注入不知情的Wi-Fi用户和Wi-Fi服务提供商之间,以将虚假信息发送给一方或双方,分发散布恶意软件的广告等。

随着大量无线设备的使用和公共Wi-Fi网络的普及,这是灾难的根源。特别是由于许多免费的Wi-Fi网络都充满安全问题,因此使用时应格外谨慎。

网络行为分析可用于监视网络流量模式,并根除与活动的谁/什么/地点/时间有关的详细信息。这可以通过创建风险配置文件和机器学习模型来完成,这些模型可以近乎实时地识别与中间人攻击相关的流氓DHCP,SSH或TLS通信。

揭示用户帐户威胁

另一个示例是使用网络行为分析来检测特定帐户的凭据滥用,该特定帐户已成功向网络上的多个不同节点进行身份验证。防御此类威胁的传统方法集中在监视网络上是否存在由恶意用户帐户进行的失败和重复登录尝试(通常称为蛮力攻击)。

使用网络行为分析的新方法更精细。首先,使用机器学习模型为用户帐户每天验证的平均主机数建立基线。当检测到此基准的异常时,会根据几个因素为它们分配风险分数,这些因素包括过多的登录次数,是常规,特权帐户还是域管理员帐户,被访问主机的业务重要性等。可以使用同一模型来检测和警告通常与受感染帐户相关的行为。

与任何分析驱动的系统一样,网络行为分析的可靠性取决于从上游来源提取的数据的质量和完整性。在没有防御边界的情况下,安全和网络团队需要集中其数据源,以支持在造成任何重大破坏之前抵消攻击的共同目标。这可以通过使用所有IT遥测技术来实现。

版权© 2018 IDG通讯,Inc.