超越簽章:實現安全營運現代化
利用 AI 行為偵測,領先於進階攻擊者
僅憑傳統的網路安全模型,根本無法應對當今組織面臨的海量、多樣化且快速演變的網路威脅。依賴于傳統被動式安全模型的安全團隊將始終處於被動地位,難以跟上攻擊者的步伐。攻擊者正在利用日益增多的現成進階工具和 AI 技術發動攻擊並逃避偵測。
現代安全營運團隊必須採用全新的網路安全模型,該模型能夠快速偵測並回應日益增多的無差別攻擊,且能夠快速識別並防禦由目標明確、精心策劃的威脅行為者發起的複雜定向攻擊。
各組織如今可以在現有的安全營運流程與��工具基礎上,補充以往因成本高昂、耗時費力而難以實施的行為異常分析與偵測能力。透過識別偏離既定正常模式的活動,行為分析結合情境定位技術,能夠協助組織在威脅造成損害之前發現、回應並調查這些威脅。
行為異常偵測有何獨特之處?
行為分析並不是什麼新概念。長期以來,針對單一系統行為和孤立使用場景(例如對網路釣魚電子郵件進行分類 )部署單點解決方案,一直是常見且行之有效的網路安全性原則。但直到不久前,大多數組織都難以承受大規模實施行為分析所需的成本和資源。
隨著 AI 和 ML 技術的日益普及,這一障礙已顯著降低。如今,組織可以利用基於 AI 和 ML 的工具,對來自不同系統和環境的大量資料(包括活動記錄、應用程式使用情況以及網路流量)進行分析與歸類。它們能夠建立「正常活動」的基準線,並持續監控新資料,以識別與該基準線的偏差。
在過去,網路安全營運團隊依賴於基於簽章和規則的工具,這些工具使用先前觀察到的攻擊模式。他們從即時事件資料和事後調查期間收集的歷史記錄資料中尋找惡意活動的證據。然而,現代攻擊具有複雜的多向量特性,加之先進對手的作戰手法不斷演進,使得靜態偵測和緩解技術幾乎過時。
行為分析是傳統方法的有效替代方案。與現有的安全能力(包括安全資訊和事件管理 (SIEM) 和�擴展偵測與回應 (XDR))結合使用,這種方法能夠高效、快速地偵測和緩解企業基礎架構和公司資產面臨的現代和傳統威脅。
行為分析的工作方式是識別網路、系統、代理和使用者行為中新的異常模式。它不依賴於先前觀察和記錄的行為模式或攻擊指標。換句話說,行為偵測旨在偵測新的未知威脅,而不是攻擊痕跡——這有助於安全團隊將工作重點從應對網路攻擊的後果轉移到從源頭預防和阻止攻擊。
基於簽章的方法與行為分析方法的比較
基於簽章或規則的工具……
查找已知威脅(模式、惡意 IP/網域、惡意程式碼行為)
本質上屬於被動反應(主要在遭受入侵後才識別攻擊)
可能會遺漏內部人員威脅、零時差攻擊及其他新式威脅
行為分析……
查找典型行為中的異常和例外情況(例如異常的系統、代理、使用者和網路活動)
它的設計宗旨��是主動防禦(它能夠在攻擊發生之前或發生後不久偵測到潛在的攻擊)
得益于 AI 技術的進步,它價格實惠、易於獲取且可擴展
與其他行為偵測方法相比的優勢
與以往的方法相比,將行為分析作為核心安全性原則的組織享有以下三個優勢:
1. 增強基於簽章的傳統偵測。
基於簽章和模式的可觀測性方法是被動式的。僅依賴這些技術的組織只能識別那些已被其他人發現並分析過的攻擊模式,這些模式通常以預先打包的簽章或危害指標 (IOC) 的形式存在。
相比之下,行為分析是一種主動防禦方法。它會在早期階段尋找異常活動,發現攻擊跡象 (IOA),例如網路釣魚嘗試、可疑的網路活動或使用者與系統和服務之間不尋常的互動行為。這種基於異常的早期偵測使網路安全團隊能夠領先於攻擊者,並在攻擊造成損害之前阻止潛在的入侵企圖。
2. 獲得一個全面且經濟實惠的防禦生態系統。
傳統工具的關注點較為狹窄,例如僅關注系統、使用者或網路,而忽略了上下文資訊。另一方面,行為分析則整合來自多個來源的資料,從而提供更具上下文資訊的分析。內部和外部上下文資訊有助於確��保並非所有異常行為都被標記為惡意行為。一旦在系統或網路上訓練好模型,行為分析工具就能在指定的概率範圍內確定某個活動是惡意行為還是良性行為。
在過去,這種富含上下文資訊的分析方法部署成本很高。它需要強大的運算能力和耗時費力的工作流程來儲存、處理和查詢大量不同的資料集。而 AI 驅動的資料工程和事件關聯技術的進步,使得富含上下文資訊的分析比以往的人工分析方法更加經濟實惠。
3. 增強對現代威脅和工作流程的適應能力。
行為分析模型能夠持續學習並適應新的威脅和新的工作流程。例如,假設您部署了一個 AI 智慧體。隨著時間的推移,該模型將學習該智慧體的自主行為並將其定義為正常行為。如果該 AI 智慧體遭到入侵或偏離了已建立的允許活動模式,該模型將偵測到這種異常行為,並在必要時無需人工干預即可暫停該智慧體或限制其可以執行的動作。
行為偵測還能適應新的工作方式。例如,您可能將業務擴展到全球,並在新的國家/地區設立新的分支機搆。經過一段時間的初始調整後,該模型將瞭解到在特定時間從這些地點進行遠端登入並非詐欺行為,而是反映了一種新的正常模式。
行為異常分析策略
許多組織已�經在端點、安全或身分識別平台中內建了一些行為分析功能。但並非所有團隊都瞭解如何充分利用這些分散的功能,而且安全倦怠也可能導致疏忽。以下最佳做法可以幫助您的團隊有效地實施和使用行為偵測功能。
1. 定義範圍和整合。
無論您是計劃從現有功能和環境中產生的資料中獲取更大的價值,還是正在考慮新的解決方案,都應該首先確定潛在的使用場景。例如,您可以重點關注識別潛在的內部人員威脅、發現橫向移動或資料洩露嘗試。您甚至可以更具體地定義使用場景。例如,您可以偵測「異常連線登入」,即使用者在極短的時間內從兩個相距甚遠的位置登入網路。或者,您可以阻止重複的資料丟失預防 (DLP) 違規行為,例如員工以違反內部安全性原則的方式移動或共用機密資訊。
2. 訓練和最佳化模型。
行為分析可以在多個系統和安全執行點上實現自動化和協調。因此,務必優先訓練和最佳化支援這種自動化的 AI 模型和整合系統。初始訓練有助於模型理解「正常」行為是什麼樣的。持續的調整和再訓練則有助於您跟上不斷演變的威脅行為。
您可以透過主動插入惡意攻擊模式來輔助和加速訓練過程,而不是被動等待惡意行為發生。隨著時間的推移,模型將依賴於學習到的行為,並為其對惡意行為和良性異常的預測指派置信度分數。
3. 利用 AI 實現先進防禦。
在過去,行為分析一直依賴各種機器學習演算法來評估和發現異常情況。採用經過微調、本地增強的生成式人工智慧 (GenAI) 模型和自主式 AI 可以進一步簡化受保護環境中的異常偵測。憑藉這些更先進的功能,行為分析解決方案可以減輕人工調查人員的工作負擔,將異常情況與更廣泛的知識庫進行交叉比對,並自動執行後續防禦措施,包括應用上游控制變更、隔離主機和暫停使用者帳戶。
4. 注意互通性。
選擇一種能夠與現有工具整合的行為分析解決方案。否則,您很可能會花費大量時間和金錢來替換現有解決方案。例如,行為分析解決方案應該與現有的偵測和回應功能(包括 SIEM 工具)整合並相互補充。傳統的 SIEM 工具即時分析事件,關聯來自多個來源的事件資料,以確定並識別預設的攻擊模式;而現代 SIEM 系統則包含行為分析功能,用於評估使用者和裝置隨時間推移的行為,並持續完善內部的攻擊指標參考模型。
5. 預料到可能會出現誤判。
並非所有異常行為都具有惡意。但與許多 AI 驅動的方法一樣,也存在誤判和漏報的風險。最大限度地減少錯誤分類的行為可能需要人工干預,包括人機協作。特別是,您需要調整模型以減少雜訊並增強行為分類的準確性。您還可以針對受保護環境和業務營運模式實施智慧關聯和資訊增強機制��,為發現惡意和異常行為提供更多背景資訊。
另外請記住,模型需要時間來穩定並適應環境,且在處理細微或複雜情況時仍需人工監督。成功不僅取決於技術本身,還依賴於具備專業技能的團隊,在明確的流程指導下解讀偵測見解並採取相應行動。
6. 定義成功指標。
建立關鍵績效指標 (KPI),以衡量行為分析投資的長期價值。例如,您可以衡量首次存取嘗試的偵測時間,以及預測最佳攻擊干預技術的準確性。其他 KPI 可用於衡量攻擊者潛伏時間的減少幅度,或評估一次已被緩解的攻擊如果成功可能造成的影響。
您是否正在使用正確的異常偵測策略?
僅靠基於簽章和規則的傳統防禦措施不足以抵禦快速演變的安全威脅和頑固的攻擊者。將行為異常偵測納入您的安全營運策略,可以幫助您建立更加主動的整體網路防禦體系,在潛在威脅造成損害之前將其識別出來。
Cloudflare 利用各種機器學習和人工智慧技術來營運全球連通雲,並為企業提供領先的服務。使用者和實體行為分析 (UEBA) 是統一風險狀態產品的一部分,後者是一套功能套件,將安全服務邊緣 (SSE)、Web 應用程式和 API 安全解決方案整合到一個平台中。將行為偵測和風險評分�功能嵌入到 SSE 或安全存取服務邊緣 (SASE) 平台中,可以幫助您充分利用這些優勢,同時降低管理複雜性並提高營運效率。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《為 AI 時代打造現代化安全體系》電子書,瞭解應對最新威脅並保護 AI 實施的策略。
作者
James Todd — @jamesctodd
Cloudflare 現場技術長
重點
閱讀本文後,您將能夠瞭解:
為什麼傳統的被動式網路安全工具已無法滿足需求
行為分析如何增強基於簽章的偵測
實施行為分析的 6 個最佳做法