人工智能(AI)和機(jī)器學(xué)習(xí)(ML)是眾多辯論的主題,特別是在網(wǎng)絡(luò)安全社區(qū)內(nèi)更是如此。那么,機(jī)器學(xué)習(xí)會(huì)是下一個(gè)大的安全趨勢(shì)嗎?人工智能準(zhǔn)備好了接受機(jī)器學(xué)習(xí)推動(dòng)的攻擊嗎?總的來說,人工智能是否做好了使用的準(zhǔn)備?無論你對(duì)于機(jī)器學(xué)習(xí)是否會(huì)成為網(wǎng)絡(luò)安全救世主的看法如何,有兩件事情卻是真實(shí)的:一是分析在安全領(lǐng)域占有一席之地,二是機(jī)器學(xué)習(xí)在一些具體的使用案例中代表了我們今天所能給出的最好答案。
盡管有報(bào)道稱黑客使用了”復(fù)雜老道”的入侵方法,但是很有可能的是黑客或黑客團(tuán)體聰明地使用了常見的攻擊方法攻入了這家銀幕巨頭的系統(tǒng),并使用了 “l(fā)ittle.finger66″(譯注:”小指頭66″,”小指頭”是《權(quán)力的游戲》劇集人物培提爾。貝里席的綽號(hào))這個(gè)綽號(hào)。
下面列舉了一些使用案例,它們代表了一些會(huì)影響每一家企業(yè)的常見安全威脅。不過,機(jī)器學(xué)習(xí)可能是也可能不是網(wǎng)絡(luò)安全的靈丹妙藥,但在下面這些情況中,它肯定會(huì)有所幫助。
使用案例1:”叉魚”(防范網(wǎng)絡(luò)釣魚)
網(wǎng)絡(luò)釣魚是今天最常見的攻擊媒介,而且非常成功。這種攻擊利用了個(gè)人對(duì)通信工具的熟悉,如社交媒體和電子郵件,通過附件或鏈接向不知情的收件人發(fā)送惡意內(nèi)容。這種攻擊的有效性依賴于攻擊者誤導(dǎo)最終用戶點(diǎn)擊或下載惡意有效載荷并在之后繞過內(nèi)部控制的能力。目前其不斷增加的破壞性和勒索軟件有效載荷使得這種攻擊更加嚴(yán)重。
組織可以通過從電子郵件中捕獲元數(shù)據(jù)來檢測(cè)這些威脅,而且這種做法不會(huì)影響用戶的隱私。通過查看電子郵件標(biāo)題以及對(duì)郵件正文數(shù)據(jù)的二次抽樣,機(jī)器學(xué)習(xí)算法可以學(xué)習(xí)識(shí)別能夠暴露惡意發(fā)件人的電子郵件模式。通過提取和標(biāo)記這些微觀行為,我們可以訓(xùn)練我們的模型來檢測(cè)是否有人正在嘗試網(wǎng)絡(luò)釣魚。隨著時(shí)間的推移,機(jī)器學(xué)習(xí)工具可以根據(jù)發(fā)件人的可信賴性構(gòu)建曲線圖。
使用案例2:水坑式攻擊(Watering Holes)
類似于網(wǎng)絡(luò)釣魚攻擊,水坑式攻擊看起來似乎是合法的網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序。但是,這些網(wǎng)站或應(yīng)用程序雖然是真實(shí)的,可已經(jīng)被盜用了,或者根本就是假冒的網(wǎng)站或應(yīng)用程序,旨在引誘沒有疑慮的訪問者輸入個(gè)人信息。這種攻擊也部分依賴于攻擊者誤導(dǎo)用戶以及有效攻擊服務(wù)的能力。
機(jī)器學(xué)習(xí)可以通過分析諸如路徑/目錄遍歷統(tǒng)計(jì)等數(shù)據(jù)來幫助機(jī)構(gòu)對(duì)網(wǎng)絡(luò)應(yīng)用程序服務(wù)進(jìn)行基準(zhǔn)測(cè)試。隨著時(shí)間推移不斷學(xué)習(xí)的算法可以識(shí)別出攻擊者或惡意網(wǎng)站和應(yīng)用程序的常見互動(dòng)。機(jī)器學(xué)習(xí)還可以監(jiān)控到罕見或不尋常的重新定向模式的行為,重新定向可能指向站點(diǎn)主機(jī)或者來自站點(diǎn)主機(jī),還可以監(jiān)控引薦鏈接–所有這些都是典型的風(fēng)險(xiǎn)警示指標(biāo)。
使用案例3:內(nèi)網(wǎng)漫游(Lateral Movement)
這不是一種特定類型的攻擊,內(nèi)網(wǎng)漫游攻擊方法表示攻擊者在網(wǎng)絡(luò)中的移動(dòng),這是他們?cè)诓檎衣┒床?yīng)用不同的技術(shù)來利用這些漏洞。內(nèi)網(wǎng)漫游特別能夠表明風(fēng)險(xiǎn)沿著殺傷鏈–攻擊者從偵察到數(shù)據(jù)提取的活動(dòng)–上升,特別是當(dāng)攻擊者從低級(jí)用戶的機(jī)器轉(zhuǎn)移到更重要的人員(可以訪問有價(jià)值的數(shù)據(jù))時(shí)。
網(wǎng)絡(luò)流量輸入記錄可以告訴您訪問者與網(wǎng)站的互動(dòng)情況。機(jī)器學(xué)習(xí)了解數(shù)據(jù)的語境,可以動(dòng)態(tài)地提供正常通信數(shù)據(jù)的視圖。有了對(duì)典型通信流的更好理解,算法可以完成變化點(diǎn)檢測(cè)(也就是說,當(dāng)給定通信模式的概率分布發(fā)生變化,并變得不太可能像是”正常”的通信活動(dòng)的時(shí)候,它能夠識(shí)別出來),以此監(jiān)測(cè)潛在的威脅。
使用案例4:隱蔽信道檢測(cè)(Covert Channel Detection)
使用隱蔽信道的攻擊者通過不用于通信的信道傳輸信息。使用隱蔽信道讓攻擊者保持對(duì)受到威脅的資產(chǎn)的控制,并使用可以隨時(shí)間執(zhí)行攻擊的戰(zhàn)術(shù),而且不被發(fā)現(xiàn)。
使用隱蔽信道的攻擊通常取決于給定網(wǎng)絡(luò)上所有域的可見性。機(jī)器學(xué)習(xí)技術(shù)可以攝取并分析有關(guān)稀有領(lǐng)域的統(tǒng)計(jì)數(shù)據(jù)。有了這些信息,安全操作團(tuán)隊(duì)可以更輕松地讓云端攻擊者現(xiàn)形。沒有了對(duì)他們打算攻擊的網(wǎng)絡(luò)的整體了解,網(wǎng)絡(luò)犯罪分子更難以將其攻擊沿著殺傷鏈條向前推進(jìn)。
使用案例5:勒索軟件(Ransomware)
勒索軟件”名符其實(shí)”。這種惡意軟件擦除驅(qū)動(dòng)器并鎖定受感染的設(shè)備和計(jì)算機(jī)作為要挾,以換取用戶的加密密鑰。這種形式的網(wǎng)絡(luò)攻擊會(huì)鎖定信息,直到用戶放棄其密鑰,或者在某些情況下,如果不支付贖金,則威脅發(fā)布用戶的個(gè)人信息。
勒索軟件提出了一種具有挑戰(zhàn)性的使用案例,因?yàn)楣艚?jīng)常導(dǎo)致網(wǎng)絡(luò)活動(dòng)日志缺乏證據(jù)。機(jī)器學(xué)習(xí)技術(shù)可以幫助安全分析師跟蹤與勒索軟件相關(guān)的細(xì)小行為,例如與給定的整個(gè)文件系統(tǒng)交互的熵統(tǒng)計(jì)或過程。組織可以將機(jī)器學(xué)習(xí)算法集中在最初感染有效載荷上,試圖識(shí)別出這些證據(jù)碎片。
使用案例6:注入攻擊(Injection Attacks)
Open Web Application Security Project (開放網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目,OWASP)將注入攻擊列為網(wǎng)絡(luò)應(yīng)用程序頭號(hào)安全風(fēng)險(xiǎn)。(注:當(dāng)前版本的OWASP Top-10已被否決,該組織已重新開始安全專業(yè)人士的數(shù)據(jù)調(diào)用和調(diào)查)。注入攻擊讓攻擊者可以在程序中進(jìn)行惡意輸入。例如,攻擊者會(huì)將一行代碼輸入數(shù)據(jù)庫,當(dāng)訪問數(shù)據(jù)庫時(shí),就會(huì)修改或更改網(wǎng)站上的數(shù)據(jù)。
數(shù)據(jù)庫日志是可以幫助識(shí)別潛在攻擊的另一個(gè)信息來源。機(jī)構(gòu)可以使用機(jī)器學(xué)習(xí)算法來構(gòu)建數(shù)據(jù)庫用戶組的統(tǒng)計(jì)概況。隨著時(shí)間的推移,算法學(xué)習(xí)了解了這些組如何訪問企業(yè)中的各個(gè)應(yīng)用程序,并學(xué)習(xí)發(fā)現(xiàn)這些訪問模式中出現(xiàn)的異常。
使用案例7:偵查攻擊(Reconnaissance)
在發(fā)起攻擊之前,黑客會(huì)對(duì)目標(biāo)或目標(biāo)群體進(jìn)行廣泛的偵查。偵查包括探測(cè)網(wǎng)絡(luò)的漏洞。攻擊者將在網(wǎng)絡(luò)的周邊或局域網(wǎng)(LAN)內(nèi)進(jìn)行偵查。典型的偵查攻擊探測(cè)使用了簽名匹配技術(shù),通過網(wǎng)絡(luò)活動(dòng)日志尋找可能代表惡意行為的重復(fù)模式。然而,基于簽名的檢測(cè)通常會(huì)產(chǎn)生一串嘈雜的假警報(bào)。
機(jī)器學(xué)習(xí)可以是網(wǎng)絡(luò)數(shù)據(jù)拓?fù)涞闹改厢槨=?jīng)過訓(xùn)練的算法可以開發(fā)這種拓?fù)鋱D,以便識(shí)別新模式的傳播,這種做法比基于簽名的方法更快。使用機(jī)器學(xué)習(xí)也減少了誤報(bào)的數(shù)量,從而使安全分析人員能夠把時(shí)間花在處理真正重要的報(bào)警上。
使用案例8:網(wǎng)頁木馬(Webshell)
United States Computer Emergency Readiness Team(美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組,US-CERT)對(duì)網(wǎng)頁木馬(Webshell)的定義是”可以上傳到網(wǎng)絡(luò)服務(wù)器的腳本,以便遠(yuǎn)程管理機(jī)器”。通過遠(yuǎn)程管理,攻擊者可以啟動(dòng)數(shù)據(jù)庫數(shù)據(jù)轉(zhuǎn)存、文件傳輸和惡意軟件安裝等進(jìn)程。
網(wǎng)頁木馬(Webshell)攻擊者的目標(biāo)通常是后端的電子商務(wù)平臺(tái),攻擊者通過這些平臺(tái)來瞄準(zhǔn)購物者的個(gè)人信息。機(jī)器學(xué)習(xí)算法可以聚焦正常購物車行為的統(tǒng)計(jì),然后幫助識(shí)別出不應(yīng)該以這種頻率發(fā)生的異常值或行為。
使用案例9:憑證盜竊(Credential Theft)
一些高調(diào)的攻擊,包括對(duì)虛擬專用網(wǎng)(VPN)攻擊,都是憑據(jù)盜竊的結(jié)果。憑證盜竊通常使用諸如網(wǎng)絡(luò)釣魚或水坑式攻擊等手段來實(shí)現(xiàn),攻擊者以此從受害者那里提取登錄憑證,以便訪問組織維護(hù)的敏感信息。
互聯(lián)網(wǎng)用戶–消費(fèi)者–經(jīng)常留下登錄模式。網(wǎng)站和應(yīng)用程序可以跟蹤位置和登錄時(shí)間。機(jī)器學(xué)習(xí)技術(shù)可以跟蹤這些模式以及包含這些模式的數(shù)據(jù),以了解什么樣的用戶行為是正常的,哪些行為則代表了可能有害的活動(dòng)。
使用案例10:遠(yuǎn)程利用攻擊(Remote Exploitation)
最后,許多攻擊模式會(huì)使用遠(yuǎn)程利用攻擊。這些攻擊通常會(huì)通過一系列針對(duì)目標(biāo)系統(tǒng)的惡意事件進(jìn)行操作,以識(shí)別漏洞,然后提供有效負(fù)載(如惡意代碼)來利用漏洞。一旦攻擊投放了有效載荷,它就會(huì)在系統(tǒng)內(nèi)執(zhí)行代碼。
機(jī)器學(xué)習(xí)可以分析系統(tǒng)行為并識(shí)別與典型網(wǎng)絡(luò)行為無關(guān)的順序行為實(shí)例。算法可以隨著時(shí)間的推移進(jìn)行學(xué)習(xí),可以提醒安全分析師有關(guān)意在利用漏洞的有效載荷的傳輸情況。
這里的討論不是機(jī)器學(xué)習(xí)的終點(diǎn),而應(yīng)該是它的起點(diǎn)
準(zhǔn)確的網(wǎng)絡(luò)安全分析系統(tǒng)必須成為現(xiàn)代安全運(yùn)營(yíng)中心的基石。但是,如果沒有數(shù)據(jù)樣本,則不可能開展準(zhǔn)確的分析。采用機(jī)器學(xué)習(xí)思維并使用機(jī)器學(xué)習(xí)技術(shù)的安全團(tuán)隊(duì)可以更快地解決上述各種類型的攻擊。機(jī)器學(xué)習(xí)或其他任何一種技術(shù)都永遠(yuǎn)不會(huì)是任何一個(gè)行業(yè)的終結(jié)和全部。它確實(shí)提供了一種替代的、開放源代碼的哲學(xué)思維,可被用于識(shí)別和處理網(wǎng)絡(luò)攻擊,這能夠改進(jìn)很多目前正在使用的方法。
評(píng)論
查看更多