CISOs指南:机器学习与行为分析

场景1: 员工A(开发工程师)昨晚10点登录到源代码仓库,下载了500兆字节的数据;

场景2: 员工B (公司法务)同一时间,企业账号从北京和上海两个IP登录企业内网;

场景3: 员工C (数据分析师)正在访问一个核心的财务应用系统,而在此之前他从来没有使用过;

场景4:员工D (系统管理员)在过去两周时间里,每天晚上下班后都会连接到客户数据库;

     “你是否知道,来自雇员和其他内部人员发起的网络攻击是一个普遍问题,应该有所计划和防备?正因为他们有信息资产、信息系统的访问权限和足够的技能,使得他们可以通过合法的方式绕过安全措施,真正威胁到你的组织。内部威胁不同于其他网络安全挑战;这种威胁需要不同的策略来防御和解决。”
——CERT内部威胁中心@卡内基梅隆大学软件工程学院

来自内部威胁造成的不利影响,甚至远远超过了外部网络攻击。作为CISOs,工作职能涵盖了保护系统和数据安全的方方面面,如何快速甄别内部所有的异常行为?有哪些安全工具可以使用?UEBA 产品被寄予厚望。

    UEBA:User and Entity Behavior Analytics,用户和实体行为分析(前身是UBA),主要围绕用户行为、以“人”和“相关实体”为中心进行分析,“相关实体”的内容包括端点、网络和应用等。

集成不同实体行为进行关联性分析,会使得分析结果更加准确,更能充分感知企业面临的安全威胁,有效减少误报,从而提高安全分析人员处理威胁的效率。

市场上知名的几款UEBA产品各有千秋,篇幅所限,这个话题以后再谈论,本文以Niara(今年年初被惠普收购,据悉收购后,Niara将在HPE Aruba下运营,并整合Aruba的ClearPass网络安全产品组合用于有线和无线网络基础设施)公司的产品为例,简单介绍一下机器学习在用户行为分析中的应用。

CISOs指南:机器学习与行为分析

机器学习是当下的热门技术,最近几年,各大安全厂商都在不断摸索和实践它在安全环境中的应用。鉴于不断变化的攻击场景以及安全团队所面临的新挑战,机器学习的应用正在迅速增长,并成为企业安全团队的最佳实践之一。

定义内部攻击的危险地带

“ 内部攻击”适用于3种不同的场景:

  1. 员工过失行为
  2. 员工遭遇黑客攻击
  3. 员工恶意行为

CISOs指南:机器学习与行为分析

上述场景中的共同点是:角色要么看起来是一个合法的用户,要么看起来行为符合用户凭据。因此,检测这些威胁不仅需要了解“正常”和“异常”的差别,还要能够判定处哪些异常是“致命的威胁”。

检测内部威胁,面临哪些挑战?

  1. 异常不等于恶意

    员工在工作岗位、工作地点或工作习惯等方面随时可能发生变化,分析师可能已经看到了太多的误报。

  2.  孤证不能定案

    孤立的一个事件,往往不能证明真的遭受了攻击,即使它被检测到。

    发生在内部的攻击,可能会慢慢的循着“杀伤链”(侦察、渗透、传播和爆炸)的轨迹在推进。即使是拥有先进知识库的经验丰富的分析师,也需要足够完整的拼图才能做出决断。

  3. 可追踪的信号惟精惟细

    对于有针对性的攻击而言,攻击者更有可能是小心翼翼地、分阶段地实施攻击行为。大多数攻击者都能熟练的利用工具和技巧巧妙的绕过检测。SIEM产品的相关规则可以发现“已知”的攻击行为,但规则很容易被绕过。举一个典型的例子:某一个规则可以检测到一分钟内5次登录失败的情况,并把这个作为判定异常访问的一个指标,那么如果第五次失败尝试发生在61秒内,情况会怎么样呢? 或者,如果5分钟以上的10次尝试,该如何判定呢?

    有别于基于特征的产品(如上述SIEM的例子),从数据中提炼出机器学习模型,它能够提供一个概率性的结论,将其转化成二进制信号“好的”或者“坏的”。决定的准确率(百分比)可以作为衡量结论有效性的关键。数学是复杂的、计算密集型的科学,因为没有单一的模型可以适用于任何一种攻击技术,模型的选择和用数据驱动模型是至关重要的。

CISOs指南:机器学习与行为分析

无监督的机器学习

大多数组织将用户分配成不一样的部门/小组,以组为单位进行权限分配。这样做面临的一个挑战是,用户和对应的权限很难保持最新状态。

对此,无监督机器学习的方式是:通过查看每个用户的组别和IT权限(如:用户属于哪个组织,上级是谁,允许访问哪些系统和应用程序,什么时候可以访问它们等等),无监督学习模型可以自动的把用户聚类分成“自然的”同位组。比如小A是会计人员,对应的工作职能是应收帐款;小B是隶属于SAP业务团队。

无监督学习模型不需要事先训练或编程,他们只需要分析一组数据并自动识别具有相同属性的组别,建立基线从而帮助识别异常行为。

有监督的机器学习

有些情况下,单纯的分组无法满足需求,有必要引入有监督的机器学习的概念。

假设这里有一包弹球,他们可能是黑色的、白色的或者灰色的,类比于某个行为可能是“好的”、“坏的”或“不确定”的。弹球越接近白色,对应着行为可能是“好的”;越接近黑色,对应着行为可能是“坏的”。通过使用有监督的机器学期方法,数据科学家可以采取一袋子的弹球和“训练”模型,将每个弹球分类为“白色”、“黑色”和“灰色”。一旦模型被训练,遇到一个新的弹珠,它就可以判定这个新的弹球的颜色,并把它分类到“黑色”或“白色”的组里。

CISOs指南:机器学习与行为分析

有监督的学习,是指通过已有的训练样本(即已知数据以及其对应的输出)来训练,从而得到一个最优模型,再利用这个模型将所有新的数据样本映射为相应的输出结果,对输出结果进行简单的判断从而实现分类的目的,那么这个最优模型也就具有了对未知数据进行分类的能力。

监督学习中只要输入样本集,机器就可以从中推演出制定目标变量的可能结果.如协同过滤推荐算法,通过对训练集进行监督学习,并对测试集进行预测,从而达到预测的目的。

机器学习的原理

为了正确的引进和有效的利用机器学习的技术,应当更加专注于了解关键技术的核心概念,而非市场上那些虚假的营销概念。

 

用例(USE CASE)

检测的攻击类型?处于杀链中的哪个阶段?

模型(MODELS)

根据检测目标,哪个模型(算法)是最合适的?

来源(SOURCES)

已经确认好了模型,哪些数据是最具意义的和可操作性的信息?

CISOs指南:机器学习与行为分析

上述三个变量被定义好之后,下一步需要考虑的是:模型可以与数据量和用例范围相结合吗?众所周知,机器学习解决方案是一些经过了精确研究和充分证明的数学模型,基本的算法和实现过程都是公开的,但是如何在一个端到端的系统中使用和实现这些算法,决定了机器学习可以提供的最终价值。

深入了解以下几个机器学习的术语和概念,将加深你对机器学习的理解:

机器学习 | 数据科学家 | 数据 | 特征 | 模型 | 有监督的机器学习 | 无监督的机器学习 | 基线 | 训练 | 质量度量

CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析 CISOs指南:机器学习与行为分析

应用过程中,有监督的和无监督的机器学习区别很大,例如:是否需要训练数据、训练方法、算法模型、检测类型和焦点、攻击方式、用例等。

CISOs指南:机器学习与行为分析

机器学习整体架构图

CISOs指南:机器学习与行为分析

参考资料

Niara:《CISOs_Guide_to_Machine_Learning_and_Behavioral_Analytics》

 

*转载请注明来自MottoIN

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tech/102264.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code