新冠疫情下全球七成企业渴望“零信任架构”
|
她的部门现在每天能查清楚数以千计的警报,但只处理那些需要调查的——每天大约20~40个。Smibert说,好在有人手足够的经验丰富的安全专业人员来完成人工处理工作,所以她没有急于进行更多的流程编排和自动化。 她说:“对于企业非常关键的系统数据和功能,我不太愿意以自动的方式去保护它们”,特别是老应用程序,“但并不意味着这不会发生。其中一些系统并不太适合进行自动化。如果自动产生了一个误报,或者自动产生了连锁反应,那么其负面影响要比小规模的、可控的安全事件的影响大得多。” 网络流量分析让两个人的部门 感觉就像200人的部门 K-12学校不像私人企业那样有网络安全工作人员和相关的预算。West Aurora 129学区转向采用事件响应软件,以帮助填补这方面的空白。 由两个人组成的IT部门负责管理该地区18所学校的基础设施。在2016年8月开学之初,该学区的无线网络崩溃了,没有人(甚至包括该学区的ISP)能够找到问题的根源。Arellano回忆说:“我们的设备都是思科的,但我们缺乏很多功能,而这些功能是可以通过固件更新(通过思科Smartnet服务)来获得的,我们的网络可见性很差。” 他说,ISP提醒我们,学区可能会成为大规模攻击的试验场,“这让我们感到害怕”。这个问题持续了6个多星期,直到Arellano安装了事件响应软件,分析数据流,对数据进行取证,以找出中断的根源。 使用Plixer的网络流量分析系统Scrutinizer,Arellano立刻看到了泛滥的DDoS警报。通过抓取数据包,他发现很多DNS响应来自美国消费者产品安全委员会(CPSC)。他回忆说:“我们由此确定了是哪一类攻击。”利用DNS反射攻击,黑客欺骗学校的地址,并要求CPSC向学校发送大量的记录。下一步就是去阻止它。 通过现在可见的时间戳和IP地址,Arellano缩小了事件范围,只提取与事件有关的数据。所有证据指向了学校二楼的一个网络教室。“我们注意到一名学生在删除旧记录。我们拿到学生的ID之后,我们挖掘出记录,发现他使用一个网络压力网站来发动攻击,这个网站每月收费10美元。自那以后,又阻止了两起类似的袭击事件。” 技术总监Don Ringelestein说:“21世纪版本的‘拉响火警’发动了DDoS攻击。过去我们处于被动的环境中,但现在我们要主动多了。”他说:“在很多情况下,我都能发现问题,并采用事件响应工具,在造成破坏性之前将其阻止。” 外部安全服务提供商可以提供帮助 很多企业面对网络安全威胁感到人手不足或者束手无策,他们正在寻求服务提供商的帮助,为他们提供自动化和流程编排服务。到2020年,Gartner预测,15%的中型企业和大企业将使用托管检测和响应等服务,而2016年这一比例不到1%。 IDC安全战略副总裁Pete Lindstrom表示:“我非常信任服务提供商,因为对很多企业来说,每年都有一、二次这样的事件发生。只有通过服务提供商我们才能了解风险到底在哪里。”他说,Trustwave、FireEye和其他20多家供应商都是如此。 有助于实现安全自动化的5种机器学习技术 据ESG去年秋天进行的一项调查,2/3的企业认为安全分析和操作的自动化是首要任务,39%的企业已经部署了机器学习技术来帮助应对这一挑战。那么这些机器学习技术到底是什么? 1. 异常检测 机器学习技术的一种常见用途是异常检测。如果一家公司拥有网络流量或者用户行为的基准数据集,那么机器学习可以用来发现不合常规的事件。例如,如果一名员工一般都是在正常工作时间工作,从工作计算机上登录,那么下班后从国外登录就是不正常的——而且可能是恶意的。 机器学习系统通常是在历史数据集上进行训练,然后去寻找任何新的或者不正常的东西。员工、网络和其他系统会随着时间而变化,因此,需要定期更新训练。然而,虽然异常检测系统会报告异常事件,但它不会告诉你这些事件是否存在恶意活动的迹象。 2. 聚类分析 另一种常见的机器学习算法是聚类分析。例如,利用规模很大的用户行为数据集,聚类分析能确定有一组员工经常出差并且有某些共同的行为,而另一组员工倾向于在同一个地点工作。 与人类相比,聚类算法能观察到更多的各种因素和行为,并实时更新聚类。通常还是需要有人去观察这些聚类或者异常情况,并确定究竟有什么含义:是因为公司朝着新方向发展,还是因为发生了一些可疑的事情而导致出现了行为怪异的聚类? 3. 分类
如果有足够大的数据集并预先划分为不同的类别,那么,机器学习可以识别出新数据属于哪一类别。例如,如果已经把大量的软件划分为恶意软件和合法应用程序,那么机器学习系统就能判断以前没见过的应用程序是不是恶意的。 (编辑:鞍山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
