超越签名:实现安全运营现代化
利用 AI 行为检测,领先于高级攻击者
仅凭传统的网络安全模型,根本无法应对当今组织面临的海量、多样化且快速演变的网络威胁。依赖于传统被动式安全模型的安全团队将始终处于被动地位,难以跟上攻击者的步伐。攻击者正在利用日益增多的现成高级工具和 AI 技术发动攻击并逃避检测。
现代安全运营团队必须采用全新的网络安全模型,该模型能够快速检测并响应日益增多的无差别攻击,且能够快速识别并防御由目标明确、精心策划的威胁行为者发起的复杂定向攻击。
各组织如今可以在��现有的安全运营流程与工具基础上,补充以往因成本高昂、耗时费力而难以实施的行为异常分析与检测能力。通过识别偏离既定正常模式的活动,行为分析结合情境定位技术,能够帮助组织在威胁造成损害之前发现、响应并调查这些威胁。
行为异常检测有何独特之处?
行为分析并不是什么新概念。长期以来,针对单一系统行为和孤立使用场景(例如对网络钓鱼电子邮件进行分类 )部署单点解决方案,一直是常见且行之有效的网络安全策略。但直到不久前,大多数组织都难以承受大规模实施行为分析所需的成本和资源。
随着 AI 和 ML 技术的日益普及,这一障碍已显著降低。如今,组织可以利用基于 AI 和 ML 的工具,对来自不同系统和环境的大量数据(包括活动日志、应用使用情况以及网络流量)进行分析与归类。它们能够建立“正常活动”的基线,并持续监控新数据,以识别与该基线的偏差。
在过去,网络安全运营团队依赖于基于签名和规则的工具,这些工具使用先前观察到的攻击模式。他们从实时事件数据和事后调查期间收集的历史日志数据中寻找恶意活动的证据。然而,现代攻击具有复杂的多向量特性,加之高级对手的作战手法不断演进,使得静态检测和缓解技术几乎过时。
行为分析是传统方法的有效替代方案。与现有的安全能力(包括安全信息和事件管理 (SIEM) 和扩展检测与响应 (XDR))结合使用,这种方法能够高效、快速地检测和缓解企业基础设施和公司资产面临的现代和传统威胁。
行为分析的工作方式是识别网络、系统、代理和用户行为中新的异常模式。它不依赖于先前观察和记录的行为模式或攻击指标。换句话说,行为检测旨在检测新的未知威胁,而不是攻击痕迹——这有助于安全团队将工作重点从应对网络攻击的后果转移到从源头预防和阻止攻击。
基于签名的方法与行为分析方法的比较
基于签名或规则的工具……
查找已知威胁(模式、恶意 IP/域名、恶意软件行为)
本质上是被动式的(它们主要是在系统被入侵后才识别攻击)
可能会遗漏内部威胁、zero-day 攻击和其他现代威胁
行为分析……
查找典型行为中的异常和例外情况(例如异常的系统、代理、用户和网络活动)
��它的设计宗旨是主动防御(它能够在攻击发生之前或发生后不久检测到潜在的攻击)
得益于 AI 技术的进步,它价格实惠、易于获取且可扩展
与其他行为检测方法相比的优势
与以往的方法相比,将行为分析作为核心安全策略的组织享有以下三个优势:
1. 增强基于签名的传统检测。
基于签名和模式的可观测性方法是被动式的。仅依赖这些技术的组织只能识别那些已被其他人发现并分析过的攻击模式,这些模式通常以预先打包的签名或危害指标 (IOC) 的形式存在。
相比之下,行为分析是一种主动防御方法。它会在早期阶段寻找异常活动,发现攻击迹象 (IOA),例如网络钓鱼尝试、可疑的网络活动或用户与系统和服务之间不寻常的交互行为。这种基于异常的早期检测使网络安全团队能够领先于攻击者,并在攻击造成损害之前阻止潜在的入侵企图。
2. 获得经济实惠的全面防御生态系统。
传统工具的关注点较为狭窄,例如仅关注系统、用户或网络,而忽略了上下文信息。另一方面,行为分析则整合来自多个来源的数据,从而提供更具上下文信息的分析。内部和外部上下文信息有助于确保并非��所有异常行为都被标记为恶意行为。一旦在系统或网络上训练好模型,行为分析工具就能在指定的概率范围内确定某个活动是恶意行为还是良性行为。
在过去,这种富含上下文信息的分析方法部署成本很高。它需要强大的计算能力和耗时费力的工作流程来存储、处理和查询大量不同的数据集。而 AI 驱动的数据工程和事件关联技术的进步,使得富含上下文信息的分析比以往的人工分析方法更加经济实惠。
3. 增强对现代威胁和工作流程的适应性。
行为分析模型能够持续学习并适应新的威胁和新的工作流程。例如,假设您部署了一个 AI 智能体。随着时间的推移,该模型将学习该智能体的自主行为并将其定义为正常行为。如果该 AI 智能体遭到入侵或偏离了已建立的允许活动模式,该模型将检测到这种异常行为,并在必要时无需人工干预即可暂停该智能体或限制其可以执行的操作。
行为检测还能适应新的工作方式。例如,您可能将业务扩展到全球,并在新的国家/地区设立新的分支机构。经过一段时间的初始调整后,该模型将了解到在特定时间从这些地点进行远程登录并非欺诈行为,而是反映了一种新的正常模式。
行为异常分析策略
许多组织已经在端点、安全或身份验证平台中内置了一些行为分析功能。但并非所有团队都了解如何充分利用这些分散的功能,而且安全倦怠也可能导致疏忽。以下最佳实践可以帮助您的团队有效地实施和使用行为检测功能。
1. 定义范围和集成。
无论您是计划从现有功能和环境中生成的数据中获取更大的价值,还是正在考虑新的解决方案,都应该首先确定潜在的使用场景。例如,您可以重点关注识别潜在的内部威胁、发现横向移动或数据泄露尝试。您甚至可以更具体地定义使用场景。例如,您可以检测“不可能轨迹”,即用户在极短的时间内从两个相距甚远的位置登录网络。或者,您可以阻止重复的数据丢失防护 (DLP) 违规行为,例如员工以违反内部安全策略的方式移动或共享机密信息。
2. 训练和优化模型。
行为分析可以在多个系统和安全执行点上实现自动化和协调。因此,务必优先训练和优化支持这种自动化的 AI 模型和集成系统。初始训练有助于模型理解“正常”行为是什么样的。持续的调整和再训练则有助于您跟上不断演变的威胁行为。
您可以通过主动注入恶意攻击模式来辅助和加速训练过程,而不是被动等待恶意行为发生。随着时间的推移,模型将依赖于学习到的行为,并为其对恶意行为和良性异常的预测分配置信度分数。
3. 利��用 AI 实现先进防御。
在过去,行为分析一直依赖各种机器学习算法来评估和发现异常情况。采用经过微调、本地增强的生成式人工智能 (GenAI) 模型和代理式 AI 可以进一步简化受保护环境中的异常检测。凭借这些更先进的功能,行为分析解决方案可以减轻人工调查人员的工作负担,将异常情况与更广泛的知识库进行交叉比对,并自动执行后续防御措施,包括应用上游控制更改、隔离主机和暂停用户帐户。
4. 注意互操作性。
选择一种能够与现有工具集成的行为分析解决方案。否则,您很可能会花费大量时间和金钱来替换现有解决方案。例如,行为分析解决方案应该与现有的检测和响应功能(包括 SIEM 工具)集成并相互补充。传统的 SIEM 工具实时分析事件,关联来自多个来源的事件数据,以确定并识别预设的攻击模式;而现代 SIEM 系统则包含行为分析功能,用于评估用户和设备随时间推移的行为,并持续完善内部的攻击指标参考模型。
5. 预料到可能会出现误报。
并非所有异常行为都具有恶意。但与许多 AI 驱动的方法一样,也存在误报和漏报的风险。最大限度地减少错误分类的行为可能需要人工干预,包括人机协作。特别是,您需要调整模型以减少噪声并增强行为分类的准确性。您还可以针对受保护环境和业务运营模式实施智能关联和信息增强机制,为发现恶意和异常行为提供更多背景信息。
另外请记住,模型需要时间来稳定并适应环境,且在处理细微或复杂情况时仍需人工监督。成功不仅取决于技术本身,还依赖于具备专业技能的团队,在明确的流程指导下解读检测洞察并采取相应行动。
6. 定义成功的衡量指标。
建立关键绩效指标 (KPI),以衡量行为分析投资的长期价值。例如,您可以衡量首次访问尝试的检测时间,以及预测最佳攻击干预技术的准确性。其他 KPI 可用于衡量攻击者潜伏时间的减少幅度,或评估一次已被缓解的攻击如果成功可能造成的影响。
您是否正在使用正确的异常检测策略?
仅靠基于签名和规则的传统防御措施不足以抵御快速演变的安全威胁和顽固的攻击者。将行为异常检测纳入您的安全运营策略,可以帮助您建立更加主动的整体网络防御体系,在潜在威胁造成损害之前将其识别出来。
Cloudflare 利用各种机器学习和人工智能技术来运营全球连通云,并为企业提供领先的服务。用户和实体行为分析 (UEBA) 是统一风险态势产品的一部分,后者是一套功能套件,将安全服务边缘 (SSE)、Web 应用和 API 安全解决方案整合到一个平台中。将行为检测和风�险评分功能嵌入到 SSE 或安全访问服务边缘 (SASE) 平台中,可以帮助您充分利用这些优势,同时降低管理复杂性并提高运营效率。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《为 AI 时代打造现代化安全体系》电子书,了解应对最新威胁并保护 AI 实施的策略。
作者
James Todd — @jamesctodd
Cloudflare 区域首席技术官
关键要点
阅读本文后,您将能够了解:
为什么传统的被动式网络安全工具已无法满足需求
行为分析如何增强基于签名的检测
实施行为分析的 6 个最佳实践