三大主流威胁检测方法点评

威胁检测的重要性怎么强调都不为过。Verizon最近的一项研究表明,企业发现攻击行为最主要的方式(超过50%)实际上是攻击者在成功入侵后自己披露的。这意味着,随着攻击方法和复杂度的不断提高,安全团队需要优先考虑威胁检测,以便在攻击发生之前识别可疑活动。

要检测当今的威胁,不仅要考虑使用哪种方法,还要考虑使用哪些数据。端点服务器和工作站日志是一个开始。但是,除非威胁检测可见性扩展到网络和云,否则依然会存在重大盲点。

以下,本文将介绍三种主要的威胁检测方法,包括其主要应用场景和优缺点:

基于签名的威胁检测

基于签名的检测方法包括查找恶意活动的指标(哈希、文件名、键名注册表或文件中显示的字符串)。例如:与c:\windows\system32\bigdrop.exe等投放器恶意软件关联的已知文件名,或者哈希值与已知恶意软件匹配的文件。但也有更通用的签名,例如攻击者为实现驻留在注册表中写入的新数值,具有base64编码的PowerShell脚本或启动PowerShell脚本的Microsoft Word等。

基于签名的检测方法已经存在了很长时间,可用于基于端点和网络的检测。例如,Snort是一个开源入侵防御系统(IPS),它使用规则来检测恶意网络活动并生成警报供分析师查看。Snort还是一个出色的记录系统,可检索到20年前的攻击检测。基于签名的检测系统提供的数量庞大的威胁库支持威胁猎人交叉引用恶意软件指标。

基于签名的检测方法非常适合识别已知攻击,缺点是如果攻击者使用新技术或对旧技术稍作修改,则该方法失去效力。如果没有自动化元素,再加上额外的上下文,这种威胁检测方法可能会难以管理新兴威胁。

基于行为的威胁检测

基于行为的检测方法是识别异常行为的绝佳方法,因为异常行为可能表明对端点、设备等的恶意攻击。安全分析师使用各种技术为用户建立基线,并将这些正常模式与任何非标准操作进行比较。例如,你可以构建单个用户应用程序使用情况的基线,并将其与实际用户行为进行比较,以标记异常用户行为。

基于行为的检测方法需要使用当前信息定期更新基线,以保持相关性和准确性。其中许多方法依赖一次性创建的基线,但用户行为总是在变化,因此需要定期更新基线以覆盖新的、不同的、非可疑的行为。一些基于行为的威胁检测工具可以自动构建行为基线,有些则需要手动干预。

基于机器学习的威胁检测

机器学习(ML)是科技行业流行语之一,不同行业和厂商对机器学习的定义有着很大不同。在威胁检测领域,机器学习提供了一种提高网络安全效率的新方法,方法是大量利用来自端点和网络以及身份服务和云服务等的结构化遥测数据来训练模型。

这些大型数据集可以使用监督或无监督学习方法来显示潜在恶意活动指标的细微变化。机器学习威胁检测可通过对海量数据集的分析,为我们提供对主机和其他实体行为的新见解。

通常,仅靠机器学习可能无法直接发现威胁,但该方法可与更具确定性的检测方法一起使用,以提高保真度并富化和关联警报。例如,具有高风险评分但同时产生异常网络流量的用户:这些信息的关联组合将给分析师提供更具价值的“拼图”。

基于机器学习的威胁检测方法对训练数据的质量和清洁度要求很高。在将结果传达给分析师时如何丰富结果也很重要,因为算法的数学输出需要转换为人类分析师可用的东西。这往往意味着对厂商和用户来说,无论是数据训练、产品使用还是调优,都离不开高级数据分析人才的参与。

结论

黑客攻击正在转向“目标导向”——从专注于感染文件和系统到感染整个企业,企业威胁检测方法也需要同步改进。

随着网络威胁的不断增长,以及不同安全系统数据孤岛被打通,威胁检测解决方案在企业网络安全防御体系中的重要性不断提升。威胁检测使企业能够全面了解整个环境(无论是本地或云中)的安全态势,与此同时,随着企业对威胁检测的重新定义,覆盖广度与深度的深入理解,反过来将影响企业对事件响应的定义和执行。

前一篇2023年数字政府关键技术与投资热点
后一篇预告|2022年第六届工业信息安全技能大赛复赛 倒计时!