高德纳(Gartner)分析师的这张幻灯片Avivah Litan和托尼Bussa在年度高德纳安全与风险管理峰会(Gartner Security and Risk Management Summit)上的演讲给我留下了深刻的印象,因为它与安全应该如何发展息息相关。在她关于分析的演讲中,阿维娃强调了一个思考分析的框架。分析在网络安全和内部用例中的应用可以被视为一个范围,包括:
- 描述性分析:分析来解释正在发生的异常事件。例如,恶意软件在端点上通信。
- 诊断分析分析可以帮助确定事情发生的原因。例如,用户Joe点击了电子邮件附件,或者经常是在事件发生很久之后。
- 预测分析:分析可以帮助预测破坏发生前的事情。例如,用户Joe的行为开始非常奇怪,可能会将您的数据置于风险之中。
图1:高德纳报告,“2016年安全分析的快速发展状态”,Avivah Litan和Toby Bussa,高德纳安全与风险管理峰会,2016年6月13-16日
关于“预测分析”的部分引起了我的注意,因为到目前为止,安全解决方案还没有把重点放在更主动地帮助客户在破坏发生之前识别环境中的安全事件上。传统的系统专注于检测感染(IDS或专门的威胁分析和保护解决方案)或外泄(DLP产品)阶段。
越来越多的证据表明,对于当今的许多网络威胁来说,仅仅关注感染阶段是不够的。在泄漏阶段检测事件的问题是,在这个阶段检测这些事件可能太晚了,无法在损害发生之前阻止威胁。毕竟,如果安全分析师刚刚发现用户上传了一堆敏感文件到他们的个人Dropbox账户,这又有什么用呢?如果事先有警告,他/她是否会处于一个更好的位置?
大多数现代攻击通常是多阶段的,涉及许多活动以及许多维度,并且通常在最终的外泄阶段之前涉及许多阶段,如下面的图2所示。
图2:显示感染阶段和数据丢失的图表,以及准确检测各个阶段所需的分析数据源
这就是为什么预测分析能够在泄漏阶段之前探测到许多此类攻击和安全事件,并在破坏发生之前阻止它们。如果有一种方法能以积极主动的方式快速识别情况呢?例如:
- Michele很可能在不久的将来泄露数据,因为她的账户似乎被泄露了。
- Joe很可能会带走你们公司的敏感信息,因为他是以一种非常不寻常的方式获取这些敏感信息的。
- Bob有离开公司的风险,因为他在网络中的行为总和看起来与他通常的行为非常不同。例如,他在工作现场更活跃,或者看起来更有活力。
这可能有助于分析人员在敏感数据离开您的网络并造成损害之前检测、调查和阻止这些事件。预测分析检测场景可以覆盖早期检测受攻击者影响的受攻击用户,以及可能出于疏忽或恶意行为的内部人员。
考虑到大多数攻击/安全事件在感染和泄漏阶段之间可能存在几个阶段,尽可能多地检测这些阶段将使您的组织处于挫败这些威胁的最佳位置。仅基于一个活动或一个阶段的检测而发出警报将产生过多的假阳性。为了确保只有高保真度的事件被升级到分析人员的解决方案,需要有能力通过多个阶段的异常行为,并描绘出一个全面、宏观的画面,了解用户或主机可能真正发生的情况。这将极大地帮助安全分析师在破坏造成之前阻止攻击。
想了解更多?学习如何Aruba IntroSpect预测分析使用行为技术来帮助检测和阻止高级威胁之前的损害。
