機(jī)器學(xué)習(xí)如何威脅企業(yè)安全
當(dāng)內(nèi)部機(jī)器學(xué)習(xí)轉(zhuǎn)而針對(duì)邊界發(fā)起攻擊時(shí),我們?cè)撟鍪裁础?/p>
機(jī)器學(xué)習(xí)推動(dòng)企業(yè)安全進(jìn)步,提升內(nèi)部網(wǎng)絡(luò)中的可見(jiàn)性以更好地理解用戶行為。然而,惡意黑客正利用機(jī)器學(xué)習(xí)的內(nèi)部作為,來(lái)攻擊企業(yè)邊界。
特別需要指出的是,此類攻擊包括:DNS隧道、Tor網(wǎng)絡(luò)連接,以及向目錄服務(wù)發(fā)送流氓身份驗(yàn)證請(qǐng)求。我們通常看到的,是網(wǎng)絡(luò)釣魚,從電匯騙局到惡意軟件投放。基本上,發(fā)現(xiàn)被掃描了,就是黑客在嘗試漏洞利用了。
盡管DNS隧道不像以前那么普遍,攻擊者相信,絕大多數(shù)人不會(huì)監(jiān)視他們的DNS,也就令黑客有了繞過(guò)代理服務(wù)器和防火墻染指內(nèi)部數(shù)據(jù)的可能。
Tor匿名網(wǎng)絡(luò)連接也讓防御團(tuán)隊(duì)越來(lái)越頭疼,因?yàn)榉雷o(hù)該環(huán)境的代價(jià)太高了。只要沒(méi)捕捉到初始網(wǎng)絡(luò)包,后面的每個(gè)包都像是正常的SSL流量。有些惡意軟件確實(shí)使用Tor,防御起來(lái)絕對(duì)難,就看攻擊者愿意在這上面花費(fèi)多少精力了。
另一個(gè)需要持續(xù)監(jiān)視的威脅,是身份驗(yàn)證請(qǐng)求發(fā)送。目錄服務(wù)的身份驗(yàn)證可讓黑客獲悉網(wǎng)絡(luò)中服務(wù)器的更多情報(bào),包括名字、用戶和口令。
查看機(jī)器的時(shí)候,需要在無(wú)人操作的情況下觀察機(jī)器行為表現(xiàn)。
從安全角度看,人機(jī)互動(dòng)時(shí)是很難檢測(cè)異常的。無(wú)論機(jī)器操作正常與否,總有人觸發(fā)了該行為。
更多的時(shí)候,在一臺(tái)被入侵的機(jī)器上,難以看出到底發(fā)生了什么。DNS隧道是個(gè)經(jīng)典威脅,也就是某人在某臺(tái)機(jī)器上安裝了點(diǎn)軟件,通過(guò)服務(wù)器和IP地址間的解析協(xié)議來(lái)滲漏數(shù)據(jù)。
黑客從中領(lǐng)悟到的,就是DNS非常“健壯”好用。里面包含了元信息,有自由文本字段(即域名長(zhǎng)度無(wú)限制),可以用來(lái)輸入任意信息。通過(guò)切分文件填入該自由字段再在網(wǎng)外重組,黑客便可以操縱DNS來(lái)滲漏數(shù)據(jù)。
由于DNS是必須的協(xié)議,從安全或網(wǎng)絡(luò)監(jiān)控的角度都看不出什么問(wèn)題。機(jī)器有DNS策略,服務(wù)就在機(jī)器本身,不需要人機(jī)互動(dòng)。內(nèi)網(wǎng)中這些東西太常見(jiàn)了。
問(wèn)題就在于:黑客會(huì)試圖操縱能訪問(wèn)到特定數(shù)據(jù)的機(jī)器,用那臺(tái)機(jī)器來(lái)滲漏數(shù)據(jù),而安全員甚至不能白名單或黑名單掉DNS訪問(wèn)。
關(guān)于機(jī)器威脅,沒(méi)有一個(gè)明確的定義,也沒(méi)有一致的公認(rèn)的理解。正在進(jìn)行的攻擊總能很快找到適應(yīng)方式,快速制造出新的惡意程序變種。
機(jī)器威脅就是我們?cè)趦?nèi)部使用的機(jī)器學(xué)習(xí),被拿到外部來(lái)針對(duì)我們的邊界發(fā)起攻擊。惡意黑客嘗試使用機(jī)器學(xué)習(xí)技術(shù)針對(duì)防御團(tuán)隊(duì),就是機(jī)器威脅。
壞人太精于全球范圍內(nèi)追蹤各大公司了,他們?nèi)缃褚灿辛死米詣?dòng)化技術(shù)收集公開(kāi)信息,執(zhí)行大量攻擊的能力。每個(gè)季度都會(huì)連同多種攻擊元素出現(xiàn)500到600億個(gè)新攻擊。以前還需要人工分析數(shù)據(jù),現(xiàn)在,全都自動(dòng)化了。
自動(dòng)化讓黑客能夠比以前收集更多的情報(bào)。其實(shí),極少有人知道正常的網(wǎng)絡(luò)流量長(zhǎng)啥樣。黑客們利用連接、運(yùn)營(yíng)商、運(yùn)營(yíng)商電話、健康核查、模仿分析等手段,收集額外情報(bào)。
安全人員確實(shí)在監(jiān)視流量,但以前他們能觀察到有人主動(dòng)掃描網(wǎng)絡(luò),如今,這些人能夠利用惡意代碼收集更多的信息,IoT空間中的信息簡(jiǎn)直是巨量的。
回歸基礎(chǔ),或許會(huì)是最佳防御措施。技術(shù)發(fā)展確實(shí)很快,但我們需要回歸基礎(chǔ)。應(yīng)用程序應(yīng)該在端口表現(xiàn)出特定類型的數(shù)據(jù)傳輸。我們需要清晰定義出好流量的標(biāo)準(zhǔn)。只要流量偏離了標(biāo)準(zhǔn),那就可能是不良流量。
依靠建模和機(jī)器學(xué)習(xí),是已知Tor網(wǎng)絡(luò)IP訪問(wèn)封鎖的有力補(bǔ)充。有人的工作確實(shí)需要用到Tor網(wǎng)絡(luò),但人的行為都是有章可循的。比方說(shuō),我們可以設(shè)置訪問(wèn)規(guī)則為:有鍵盤操作,或在工作時(shí)間段內(nèi),才允許訪問(wèn)Tor網(wǎng)絡(luò)。
大多數(shù)情況下,緩解這些威脅需要教育和培訓(xùn)。經(jīng)常性的代碼審查和開(kāi)發(fā)人員培訓(xùn),可以降低風(fēng)險(xiǎn),減少漏洞。
編程是重要一步。互聯(lián)網(wǎng)和全球各種運(yùn)營(yíng)商讓臟數(shù)據(jù)堆到我們門前。作為數(shù)據(jù)消費(fèi)者,我們必須要求他們清理管道。
大家都厭煩了接連不斷的數(shù)據(jù)泄露和攻擊。創(chuàng)建更加清晰的運(yùn)營(yíng)商和公司責(zé)任清單,將有助于掃清這些骯臟的信息管道。
我們需要了解哪些數(shù)據(jù)在進(jìn)出我們的環(huán)境。非公司或國(guó)家加密的加密流量肯定是會(huì)有的,如果沒(méi)有密鑰,那就封掉好了。
清理過(guò)程中,減少層次,簡(jiǎn)化整合是必要的。需要布設(shè)的技術(shù)數(shù)量正被快速整合,簡(jiǎn)化也將變得更加關(guān)鍵。
【本文是51CTO專欄作者李少鵬的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
