在网络中建立桥头堡后,攻击者就会用获取到的权限探测周边环境,扩大控制范围,达成最终目的:窃取、篡改或破坏敏感数据。他们会混在合法用户中间潜入企业,在企业网络中隐蔽行动数月乃至数年之久。
传统攻击检测方法给安全团队带来了极大的人工操作负担。企业往往不得不将多个终端产品的安全数据整合到一处,才能发现并阻止恶意行为。其结果就是安全防护陷入“救火队”模式:大量警报产生,但缺乏控制威胁所需的上下文环境,分析师不得不耗费宝贵的时间精力去追寻额外信息,阻止恶意攻击的使命反而遭到阻滞。
“救火队”模式所需的专业技术和人力资源给企业带来了很大负担;而即便全部所需情报都收集到了,安全团队也需要额外的资源和专业技能来分拣警报,然后才可以关联、调查并阻止威胁。所以,很多团队因其中牵涉的大量人力而不去做此类分析也就可以理解了。当然,这么做也就让企业面临了遭遇攻击的风险。
行为分析和机器学习之类新兴方法正是在这种情况下受到了企业的青睐。这些新兴方法重新定义了隐藏安全事件检测和网络攻击防护,未来会被更多的企业所采用。
不过,在购置部署之前,安全团队需要考虑如何最大化行为分析服务的效能。
统一的安全数据集
行为分析服务需要来自正确位置的高品质数据,理想化的是从云端获得。传感器需在云端、终端和网络中都有部署,数据应收集到一个统一的数据集中以方便取用。数据不共享的独立产品太多,是基本不可能构建行为分析的,因为有可能大量时间都花在了规范数据而不是识别并阻止威胁上。安全团队应考虑采用自带跨平台高品质数据持续收集功能的行为分析服务。
原生工作流自动处理能力
行为分析的目的是识别高级攻击、内部人威胁和受感染终端,并在伤害造成之前予以阻止。行为分析的第一步,就是要鉴别出最关键的威胁,发出附带验证攻击所需调查信息的少量实用警报。安全团队不应该在分拣无穷无尽的警报和误报上浪费时间。只要确认攻击,就应有原生工作流予以自动阻止,这样才能最大可能地减少额外的人力付出。行为分析可以直接在警报源头的应用平台上执行防护操作,安全团队也就不用再耗人力与时间弥合各种操作了。
云交付
考虑部署的时候,云是行为分析最理想的交付机制。内部基础设施的部署和管理会持续不断地增加IT运营的复杂度,而且,更重要的是,这种做法提供不了频繁推出安全创新所需的敏捷性和可扩展性。而云却可以:
- 提供极为经济的方式存储行为分析所需的大量数据;
- 快速高效地推送新算法并持续改进其性能;
- 加速部署过程,免除维护或升级内部软件的需要。
行为分析是每家企业都值得考虑的强大工具,应成为安全团队(不仅仅是IT)必备的一部分。安全团队一直在寻找高级攻击发现和清除的新方法,但苦于无法在不添加新的基础设施和人手的情况下引入新功能。将该技术作为集成了传感器、执行终端和分析服务的平台的一部分进行部署,可以实现自动化愿景又不引入额外的复杂性。