行为分析使用机器学习、人工智能、大数据和分析,通过分析日常活动中的差异来识别恶意行为。
让我们定义行为分析
恶意攻击有一个共同点——它们的行为都与系统或网络中的正常日常行为不同。公司通常可以通过与某些类型的知名攻击直接相关的签名来识别恶意行为。然而,随着攻击者变得越来越老练,他们不断开发新的策略、技术和程序 (TTP),使他们不仅能够进入易受攻击的环境,而且还能在不被发现的情况下横向移动。
这就是行为分析的用武之地。借助大量未经过滤的端点数据,安全人员现在可以使用基于行为的工具、算法和机器学习来确定日常用户的正常行为是什么——什么不是。行为分析可以识别日常规范参数之外的事件、趋势和模式(包括当前的和历史的)。
通过关注这些异常情况,安全团队可以在攻击者完全执行攻击计划之前及早获得可见性并识别攻击者的意外行为策略。行为分析还可以帮助发现根本原因,并为未来识别和预测类似攻击提供洞察力。
哪些行为说明了不法活动?
异常的事件时间、异常的操作顺序或增加的数据移动只是环境中恶意活动的几个迹象。以下是一些可能导致识别正在进行的攻击的不那么正常行为的具体示例。
- 看起来合法的文件中的链接加载到内存中,然后远程加载脚本以追踪发送回攻击者的机密数据。
- 恶意代码被注入到已安装的应用程序(如 Microsoft Word、Flash、Adobe PDF Reader、Web 浏览器或 JavaScript)中,以针对漏洞然后执行恶意代码。
- 本机系统工具(例如通常被认为高度可信的 Microsoft Windows Management Instrumentation (WMI) 和 Microsoft PowerShell 脚本语言)旨在让脚本远程运行。
行业脉搏:行为分析现在是“必备”
早在 2016 年初,SANS 研究所就在白皮书《使用分析预测未来的攻击和违规》中认识到行为分析的重要性。作者在结论中指出:“利用更先进的数据分析平台来获取更多不同类型的数据,专注于提高网络威胁可见性,以及自动化检测和响应行动,可能会在安全团队现在和未来帮助他们发展到迎接这些挑战。”
好吧,未来就在这里,在 2018 年,行为分析本质上是高级端点安全的基线要求。事实上,在其端点保护平台魔力象限报告中,Gartner 将机器学习和行为监控视为有远见者和领导者的优势。该报告还指出,“2018 年和 2019 年最具远见和领先的供应商将是那些使用从其 [端点检测和响应] 能力收集的数据来提供为其客户量身定制的可行指导和建议的供应商。”2017 年 17% 的违规行为是由人为错误造成的(而不是蓄意的恶意)。
答案:仰望云端
为了充分发挥行为分析的作用,公司必须利用云及其巨大的计算能力、无限的可扩展性和易于管理。云提供了一种主动方法,将大数据与强大的分析相结合,以帮助智取最新、最具威胁性的新兴攻击。
例如,云支持流式分析,可以监控正常和异常的端点活动,并将其与任何未过滤的历史端点数据进行比较。通过分析这些事件流并将它们与看起来像正常的事件流进行比较,云创建了一个全球威胁监控系统,不仅可以检测攻击,还可以预测以前从未见过的攻击。
这种强大的方法对于基于签名的传统 AV 解决方案根本不可能,但对于下一代防病毒(NGAV) 软件来说却是不可能的。云中的 NGAV 提供与端点的双向通信,因此可以监控所有未过滤的端点数据并将其转化为预测分析,从而主动保护公司免受复杂的攻击。此外,云提供了大多数公司已经通过其他企业软件体验到的基础设施优势——简化、成本更低的运营、更快的部署以及最新和最具创新性的技术。