機器學習如何威脅企業安全

2021-10-01 00:22:23 字數 1718 閱讀 7379

當內部機器學習轉而針對邊界發起攻擊時,我們該做什麼。

機器學習推動企業安全進步,提公升內部網路中的可見性以更好地理解使用者行為。然而,惡意黑客正利用機器學習的內部作為,來攻擊企業邊界。

特別需要指出的是,此類攻擊包括:dns隧道、tor網路連線,以及向目錄服務傳送流氓身份驗證請求。我們通常看到的,是網路釣魚,從電匯**到惡意軟體投放。基本上,發現被掃瞄了,就是黑客在嘗試漏洞利用了。

儘管dns隧道不像以前那麼普遍,攻擊者相信,絕大多數人不會監視他們的dns,也就令黑客有了繞過**伺服器和防火牆染指內部資料的可能。

tor匿名網路連線也讓防禦團隊越來越頭疼,因為防護該環境的代價太高了。只要沒捕捉到初始網路包,後面的每個包都像是正常的ssl流量。有些惡意軟體確實使用tor,防禦起來絕對難,就看攻擊者願意在這上面花費多少精力了。

另乙個需要持續監視的威脅,是身份驗證請求傳送。目錄服務的身份驗證可讓黑客獲悉網路中伺服器的更多情報,包括名字、使用者和口令。

檢視機器的時候,需要在無人操作的情況下觀察機器行為表現。

從安全角度看,人機互動時是很難檢測異常的。無論機器操作正常與否,總有人觸發了該行為。

黑客從中領悟到的,就是dns非常「健壯」好用。裡面包含了元資訊,有自由文字字段(即網域名稱長度無限制),可以用來輸入任意資訊。通過切分檔案填入該自由欄位再在網外重組,黑客便可以操縱dns來滲漏資料。

由於dns是必須的協議,從安全或網路監控的角度都看不出什麼問題。機器有dns策略,服務就在機器本身,不需要人機互動。內網中這些東西太常見了。

問題就在於:黑客會試圖操縱能訪問到特定資料的機器,用那台機器來滲漏資料,而安全員甚至不能白名單或黑名單掉dns訪問。

關於機器威脅,沒有乙個明確的定義,也沒有一致的公認的理解。正在進行的攻擊總能很快找到適應方式,快速製造出新的惡意程式變種。

機器威脅就是我們在內部使用的機器學習,被拿到外部來針對我們的邊界發起攻擊。惡意黑客嘗試使用機器學習技術針對防禦團隊,就是機器威脅。

壞人太精於全球範圍內追蹤各大公司了,他們如今也有了利用自動化技術收集公開資訊,執行大量攻擊的能力。每個季度都會連同多種攻擊元素出現500到600億個新攻擊。以前還需要人工分析資料,現在,全都自動化了。

自動化讓黑客能夠比以前收集更多的情報。其實,極少有人知道正常的網路流量長啥樣。黑客們利用連線、運營商、運營商**、健康核查、模仿分析等手段,收集額外情報。

安全人員確實在監視流量,但以前他們能觀察到有人主動掃瞄網路,如今,這些人能夠利用惡意**收集更多的資訊,iot空間中的資訊簡直是巨量的。

回歸基礎,或許會是最佳防禦措施。技術發展確實很快,但我們需要回歸基礎。應用程式應該在埠表現出特定型別的資料傳輸。我們需要清晰定義出好流量的標準。只要流量偏離了標準,那就可能是不良流量。

依靠建模和機器學習,是已知tor網路ip訪問封鎖的有力補充。有人的工作確實需要用到tor網路,但人的行為都是有章可循的。比方說,我們可以設定訪問規則為:有鍵盤操作,或在工作時間段內,才允許訪問tor網路。

大多數情況下,緩解這些威脅需要教育和培訓。經常性的**審查和開發人員培訓,可以降低風險,減少漏洞。

程式設計是重要一步。網際網路和全球各種運營商讓髒資料堆到我們門前。作為資料消費者,我們必須要求他們清理管道。

大家都厭煩了接連不斷的資料洩露和攻擊。建立更加清晰的運營商和公司責任清單,將有助於掃清這些骯髒的資訊管道。

我們需要了解哪些資料在進出我們的環境。非公司或國家加密的加密流量肯定是會有的,如果沒有金鑰,那就封掉好了。

清理過程中,減少層次,簡化整合是必要的。需要布設的技術數量正被快速整合,簡化也將變得更加關鍵。

企業如何預防 意外掉電 帶來的資料安全威脅?

先來回顧一起事件,真真實實的發生在我們身邊。2016年4月22日,某公司北京亦莊資料中心ups公升級改造過程中,因供電中斷,導致機房全部裝置斷電,系統宕機,73家村鎮銀行的核心 支付 網銀 手機銀行等業務全部中斷,涉及全國12個省份,且恢復時間長達7個32分鐘,同時造成部分伺服器 儲存裝置損壞,以及...

機器學習與內部威脅

在企業內部,由有各種訪問許可權的員工 合同工 供 承包商和裝置 商構成了企業的內部人員 insider 由他們引起的任何威脅都稱之為內部威脅 insider threats 內部威脅之所以很快引起重視,原因很簡單 其一,在完全被信任的內部一旦產生威脅,造成損失的程度遠遠大於來自外部的攻擊 其二,內部...

如何避免來自企業內部的網路安全威脅(二)

3.確保對企業關鍵資訊的所有訪問都來自於單個使用者 特定的事件需要與特定的人聯絡起來,以便問責。企業需要清楚知道誰正在網路上操作,他們正在做什麼。使用userlock的粒狀規則和策略來保護網路訪問,在出現問題問責的時候使用者就無從抵賴,userlock可自動識別每乙個使用者的每一項活動。4.對可疑或...