当内部机器学习转而针对边界发起攻击时,我们该做什么。
机器学习推动企业安全进步,提升内部网络中的可见性以更好地理解用户行为。然而,恶意黑客正利用机器学习的内部作为,来攻击企业边界。
特别需要指出的是,此类攻击包括:DNS隧道、Tor网络连接,以及向目录服务发送流氓身份验证请求。我们通常看到的,是网络钓鱼,从电汇骗局到恶意软件投放。基本上,发现被扫描了,就是黑客在尝试漏洞利用了。
尽管DNS隧道不像以前那么普遍,攻击者相信,绝大多数人不会监视他们的DNS,也就令黑客有了绕过代理服务器和防火墙染指内部数据的可能。
Tor匿名网络连接也让防御团队越来越头疼,因为防护该环境的代价太高了。只要没捕捉到初始网络包,后面的每个包都像是正常的SSL流量。有些恶意软件确实使用Tor,防御起来绝对难,就看攻击者愿意在这上面花费多少精力了。
另一个需要持续监视的威胁,是身份验证请求发送。目录服务的身份验证可让黑客获悉网络中服务器的更多情报,包括名字、用户和口令。
查看机器的时候,需要在无人操作的情况下观察机器行为表现。
从安全角度看,人机互动时是很难检测异常的。无论机器操作正常与否,总有人触发了该行为。
更多的时候,在一台被入侵的机器上,难以看出到底发生了什么。DNS隧道是个经典威胁,也就是某人在某台机器上安装了点软件,通过服务器和IP地址间的解析协议来渗漏数据。
黑客从中领悟到的,就是DNS非常“健壮”好用。里面包含了元信息,有自由文本字段(即域名长度无限制),可以用来输入任意信息。通过切分文件填入该自由字段再在网外重组,黑客便可以操纵DNS来渗漏数据。
由于DNS是必须的协议,从安全或网络监控的角度都看不出什么问题。机器有DNS策略,服务就在机器本身,不需要人机互动。内网中这些东西太常见了。
问题就在于:黑客会试图操纵能访问到特定数据的机器,用那台机器来渗漏数据,而安全员甚至不能白名单或黑名单掉DNS访问。
关于机器威胁,没有一个明确的定义,也没有一致的公认的理解。正在进行的攻击总能很快找到适应方式,快速制造出新的恶意程序变种。
机器威胁就是我们在内部使用的机器学习,被拿到外部来针对我们的边界发起攻击。恶意黑客尝试使用机器学习技术针对防御团队,就是机器威胁。
坏人太精于全球范围内追踪各大公司了,他们如今也有了利用自动化技术收集公开信息,执行大量攻击的能力。每个季度都会连同多种攻击元素出现500到600亿个新攻击。以前还需要人工分析数据,现在,全都自动化了。
自动化让黑客能够比以前收集更多的情报。其实,极少有人知道正常的网络流量长啥样。黑客们利用连接、运营商、运营商电话、健康核查、模仿分析等手段,收集额外情报。
安全人员确实在监视流量,但以前他们能观察到有人主动扫描网络,如今,这些人能够利用恶意代码收集更多的信息,IoT空间中的信息简直是巨量的。
回归基础,或许会是最佳防御措施。技术发展确实很快,但我们需要回归基础。应用程序应该在端口表现出特定类型的数据传输。我们需要清晰定义出好流量的标准。只要流量偏离了标准,那就可能是不良流量。
依靠建模和机器学习,是已知Tor网络IP访问封锁的有力补充。有人的工作确实需要用到Tor网络,但人的行为都是有章可循的。比方说,我们可以设置访问规则为:有键盘操作,或在工作时间段内,才允许访问Tor网络。
大多数情况下,缓解这些威胁需要教育和培训。经常性的代码审查和开发人员培训,可以降低风险,减少漏洞。
编程是重要一步。互联网和全球各种运营商让脏数据堆到我们门前。作为数据消费者,我们必须要求他们清理管道。
大家都厌烦了接连不断的数据泄露和攻击。创建更加清晰的运营商和公司责任清单,将有助于扫清这些肮脏的信息管道。
我们需要了解哪些数据在进出我们的环境。非公司或国家加密的加密流量肯定是会有的,如果没有密钥,那就封掉好了。
清理过程中,减少层次,简化整合是必要的。需要布设的技术数量正被快速整合,简化也将变得更加关键。
本文转自d1net(转载)
