在雷达下飞行:Darkt服务器的 云race如何检测“低速度”的网

国际 虚拟云 浏览

小编:在雷达下飞行:暗黑竞赛如何检测"低而慢"的网络攻击Dave Palmer,技术总监,2018年12月3日星期一简介当今最先进的威胁的速度可能是毁灭性的。在安全分析师离开屏幕去喝杯咖啡的几分

在雷达下飞行:暗黑竞赛如何检测"低而慢"的网络攻击Dave Palmer,技术总监,2018年12月3日星期一简介当今最先进的威胁的速度可能是毁灭性的。在安全分析师离开屏幕去喝杯咖啡的几分钟内,勒索软件可以在人类团队或传统工具有机会作出反应之前,摧毁数千台计算机。虽然大的、快速的威胁更容易成为头条新闻,但与之相反的网络攻击也同样危险。网络军备竞赛的最新升级表明,攻击者选择隐身而不是速度,而不是狡猾混乱。就像防御者致力于快速部署新的安全和检测技术,恶意软件作者也有类似的创新,致力于找到规避它们的方法。新的"低和慢"攻击能够绕过传统的安全工具,因为每个单独的操作编译的更大的威胁太小,无法检测。这些攻击的目的是在较长的时间内运行,并且通过将对任何数据传输或连接级别的中断降至最低,它们融合到合法的攻击中交通。为了先进和资源充足的行为体,如民族国家,寻求有价值的知识产权或敏感的政治记录,微妙而长时间暴露在他们攻击的系统中是一个显著的好处。当涉及到最复杂的威胁时,缓慢和稳定确实可以赢得种族。不过,使用先进的机器学习技术,可以检测低攻击和慢攻击。要做到这一点,上下文知识是至关重要的;通过对每个用户、设备和整个网络的微妙而独特的"生活模式"进行建模,人工智能支持的防御系统第一次,赢了这个战斗。这个这个博客探讨了攻击者如何在杀戮链的多个阶段使用低速度的技术来达到他们的最终目标。我们研究了三个真实世界的案例研究,这些案例来自7000多个企业免疫系统的部署,以展示网络人工智能如何检测低和缓慢的侦察、数据过滤以及指挥和控制活动。低通过监控设备和用户的行为模式进行缓慢的侦察,暗黑种族人工智能能够学习预期活动的发展概况。有了对网络"正常"的理解,它就可以识别出预示威胁的重大异常。它在不依赖历史数据训练集的情况下完成了所有这些,使技术能够发现威胁,而其他工具小姐。开在欧洲一家金融服务公司的网络中,Darktrace发现了一个服务器,对各种内部计算机进行端口扫描。这种类型的网络扫描通常由管理设备出于合法的测试目的而执行,但它也是攻击者识别漏洞和妥协点的一种策略,这是攻击。完毕在7天的时间里,服务器与276个独特的设备建立了214000个失败的连接。然而,每天只有少数港口成为袭击目标。攻击是连续的,但随着时间的推移缓慢。经过一天的测量,干扰程度很小,足以逃避所有基于规则的防御。然而,随着时间的推移,通过在整个数字业务中学习"自我",网络人工智能可以检测到相对于单个设备、用户或网络而言,与"正常"的最细微的偏差。Darktrace发现了较长的网络扫描模式,并提醒了客户马上。先进搜索视图显示通过扫描到关闭端口的常规连接句号。低一家工业制造公司的数据过滤速度慢,一台台式机被发现有超过2台,在7天内连接到一个罕见的主机上。在此期间,总共有9.15GB的数据被传输到外部。没有一个连接传输的数据超过几MB——如果孤立地看这个数据量,就不必担心了。然而,这些连接的目的地对于网络来说是100%罕见的,并且在整个渗出期间都保持着这种稀有水平。这不仅标志着该活动最初是可疑的,而且阻止了它被吸收到合法的流量中。结合离开网络的累积数据量,Darktrace AI认为这是设备行为的重大偏差,表示有威胁进步。稳定数据在7天内外泄。在稳定的外部数据过滤期间(蓝线)会发生一系列的模型破坏(橙色圆圈)。低速和缓慢的命令和控制暗黑竞赛在恶意软件感染出现在开源威胁列表之前是非常成功的,一个关键的能力,当阻止最严重的,从未见过的威胁。这在很大程度上是通过检测信标模式而不是依赖于签名来实现的。当恶意程序试图与其在线基础设施建立联系时,就会发生信标。与网络扫描类似,它也会导致发送量激增连接。暗黑种族部署在一个公司网络中,发现一个设备以稳定的间隔连接到恶意浏览器扩展。平均连接率为每4小时11个连接-这是一个低活动水平,很容易混入合法的互联网流量。在确定了这些连接的规律性之后,Darktrace的人工智能分配了一个高信标分数,这表明它们很可能是由一个自动化过程启动的。如果我们考虑到目标是罕见的这一事实,那么很明显这是由一个恶意后台程序引起的,该程序在不知情的情况下运行用户。常规7天的低空信标句号。如随着网络安全的进步,攻击者将开发出越来越复杂的方法在雷达下进行操作。传统的网络安全工具基于历史数据以二进制方式工作,无论上传量是否超过预定的限制,都无法跟上。在这个新时代,人工智能将被证明是至关重要的,因为它能够在部署期间学习网络不断演变的"生活模式"。这使得Darktrace人工智能能够有效地定位由恶意或不合规行为引起的连接级别的干扰(无论多小)。从根本上说,这使得暗黑种族能够发现正在进行的攻击,然后自动做出反应,在它们变成危机。高-简介,像NotPetya和WannaCry这样的快速移动的攻击已经鼓励一些组织专注于防止某些类型的威胁,而另一些则是以牺牲其他威胁为代价的,而黑客们正在抓住机会。通过利用强大的人工智能,Darktrace使客户不仅可以防止移动最快的攻击,还可以防止最慢的攻击最微妙的。戴夫PalmerDave是Darktrace的技术总监,负责监督数学和工程团队以及项目策略。戴夫在政府情报部门工作超过13年,曾在英国情报机构GCHQ和军情五处工作,负责提供关键任务基础设施服务,包括更换和保护整个全球网络,发展互联网业务能力和管理重大灾难恢复事件。他是网络安全初创公司和成长期公司的顾问,这些公司来自英国政府的网络安全加速器和赛隆公司。他对人工智能和网络安全未来的见解也经常出现在英国媒体上。他拥有大学计算机科学和软件工程一级学位伯明翰。分享在LinkedIn上的FacebookTweetShare发送电子邮件

当前网址:http://www.vmchk.com//linggan/icon/9507.html

 
你可能喜欢的: