本文將探討網(wǎng)絡安全中的大數(shù)據(jù)。更確切地說，探討繞過使用大數(shù)據(jù)的保護系統(tǒng)的難易程度;或者換句話說，如何欺騙高級威脅檢測系統(tǒng)。而有些營銷人員聲稱，沒有任何可疑的數(shù)據(jù)可以通過檢測系統(tǒng)的檢測。大數(shù)據(jù)分析系統(tǒng)可以作為檢測可疑活動(如SIEM和XDR)的主要工具之一。

大中型企業(yè)通常使用這樣的平臺。他們擁有龐大的網(wǎng)絡和云計算基礎設施，每小時都會發(fā)生數(shù)百萬個攻擊事件。自然，沒有辦法人工分析它們。它是通過大量使用技術手段進行的。值得注意的是，在大數(shù)據(jù)和網(wǎng)絡安全領域，專家的可用性是一個必要的組成部分。

這樣的系統(tǒng)有什么作用？

它們允許識別大量結構化和非結構化數(shù)據(jù)中未經(jīng)授權活動的跡象?？紤]到在一個平均由1萬個端點組成的網(wǎng)絡中，每天傳輸大約25TB的數(shù)據(jù)，掃描所有這些數(shù)據(jù)的任務變得非常困難。但是，有幾種算法可以提供幫助。

威脅檢測平臺(特別是XDR)的一個基本質量標準是異常檢測的準確性。通常，XDR解決方案包括負責收集和處理事件的SIEM平臺、檢測和響應異常所需的EDR模塊，以及收集有關用戶操作和/或端點、服務器和網(wǎng)絡設備的大量數(shù)據(jù)的UEBA系統(tǒng)，以及然后使用機器學習算法來構建行為模式，并嘗試識別異常情況。

這種異常的最簡單的例子是，例如在深夜，服務器突然開始主動與遠程主機通信，這是以前從未在日志中看到的。這種情況偶爾發(fā)生，不是經(jīng)常發(fā)生，但這一事實看起來可疑。另一個例子：突然之間，從分配給單個員工的辦公設備中，每隔三四天就會有幾十兆字節(jié)的數(shù)據(jù)傳到某個地方，而根據(jù)訪問系統(tǒng)中的信息判斷，這可能有問題。

上面提供的例子通常非常明顯。還有一些不太常見的事件，它們之間的聯(lián)系一點也不明顯，但機器可以看到一切。

機器能看到一切嗎？

在弗蘭克?赫伯特所著的著名科幻小說《沙丘》中，沙蟲會摧毀任何發(fā)出具有節(jié)奏的聲音的東西。無論是人員還是機器。然而，沙漠居民已經(jīng)學會了使用模仿沙漠自然噪音的特殊不規(guī)則步態(tài)來欺騙警惕的沙蟲。為了提高可靠性，他們使用了特殊的分散注意力的裝置，當這些裝置被激活時，會開始發(fā)出響亮的有節(jié)奏的敲擊聲。沙蟲們蜂擁而至，讓人們有時間去他們需要去的地方。

這些類比并不是巧合。事實上，想要繞過大數(shù)據(jù)分析系統(tǒng)的網(wǎng)絡犯罪分子將不得不花費大量時間和精力。這是一個好消息。俁可悲的是，任何安全系統(tǒng)都可以找到弱點。

上述安全系統(tǒng)的基礎是一種知識庫，它是有關潛在威脅以及有關受保護資源的結構和功能的信息的組合。該知識庫有助于確定什么是正常的事件過程，什么是異常。

大數(shù)據(jù)分析系統(tǒng)可以以多種不同的方式工作。例如，可以對Hadoop進行編程以檢測任何進入或離開網(wǎng)絡的事物。通過這種方式，可以在網(wǎng)絡犯罪分子的控制下識別受感染的電腦或服務器與主機之間的可疑通信。還可以配置系統(tǒng)日志的監(jiān)控。

預警平臺可以從受保護的基礎設施內部收集和積累數(shù)據(jù)，確定什么被視為正常行為，從外部收集有關潛在威脅和風險的數(shù)據(jù)，使用大數(shù)據(jù)分析來確定是否在其保護范圍之外觀察到類似的事情。

黑客如何繞過保護

自然，網(wǎng)絡攻擊者知道此類系統(tǒng)的工作原理。他們能做什么?首先，進行針對性攻擊的操作人員將進行偵察。這一步可能需要很多時間。偵察的對象不僅是目標基礎設施的硬件系統(tǒng)和軟件，還包括其操作人員。員工分享自己的信息越多，就越容易對他或他的同事進行網(wǎng)絡釣魚攻擊。眾所周知，相當多的成功攻擊都是從網(wǎng)絡釣魚開始的。

網(wǎng)絡攻擊者的下一個任務是最小化他們對安全系統(tǒng)的可見性。這里有幾個選項。網(wǎng)絡犯罪分子可能會使用目標基礎設施中已有的合法開源工具(例如PowerShell和管理工具等)在受到網(wǎng)絡攻擊的網(wǎng)絡中移動。此外，他們可以使用無文件惡意軟件破壞系統(tǒng)工具，如果沒有檢測到，網(wǎng)絡攻擊者能夠在被攻擊的網(wǎng)絡中不被注意地移動。

然而，如果他們過于活躍和具有規(guī)律，檢測系統(tǒng)就會做出反應，這意味著黑客將不得不盡可能緩慢地行動，而且其間隔沒有規(guī)律。

例如，如果目標基礎設施中只有一兩臺機器每周甚至一個月被掃描一次，那么安全系統(tǒng)幾乎不可能檢測到任何東西。

如果網(wǎng)絡攻擊者所需的數(shù)據(jù)不是由一個受感染的帳戶收集的，而是由十幾個帳戶收集的，并且如果這些數(shù)據(jù)不是在一個遠程服務器上發(fā)送的，而是發(fā)送給許多遠程服務器，那么檢測系統(tǒng)工作所依據(jù)的威脅模型可能是錯誤的。

另一個糟糕的場景是這樣的：員工將一些文件復制到他的閃存驅動器中。離開大樓后，他把口袋里的垃圾扔進垃圾桶，其中包括一個閃存驅動器。數(shù)據(jù)泄露防護(DLP)系統(tǒng)可能無法始終抵御內部威脅，尤其是在專業(yè)人員積極主動地進行攻擊的情況下。

另一個值得關注的方面是針對少量典型場景訓練的開箱即用檢測系統(tǒng)。他們需要一些時間才能從其他系統(tǒng)(威脅源)獲得足夠的關于潛在威脅的信息，并使它們適應他們的模型。

如果網(wǎng)絡攻擊者設法想出一個不太典型的攻擊場景，他們就有機會在安全系統(tǒng)檢測到之前有時間實施它。

當然，當存在多個進入基礎設施的入口點時，網(wǎng)絡攻擊者會安排某種明顯的事件，例如DDoS攻擊或故意檢測到的將某些數(shù)據(jù)傳輸?shù)竭h程主機。而這只是一個煙幕彈，可以分散對實際攻擊的注意力，而實際攻擊是在完全不同的領域進行的。

人們可以在任何系統(tǒng)中找到漏洞并提出利用它們的方案。一般來說，無論是人類還是人工智能都無法預見一切，但有可能使網(wǎng)絡攻擊者的任務變得極其困難。為企業(yè)基礎設施提供所有可用的高級安全工具是可能且必要的。

如何進行保護

現(xiàn)在，網(wǎng)絡犯罪分子和XDR系統(tǒng)之間展開了一場軍競賽。黑客在尋找弱點，而防御者的任務是將進入點的數(shù)量降至最低。

對于大多數(shù)網(wǎng)絡犯罪分子來說，大公司可用的基于大數(shù)據(jù)的技術和工具通常過于昂貴。重大網(wǎng)絡攻擊和數(shù)據(jù)泄露是由高級網(wǎng)絡團伙執(zhí)行的。盡管如此，在大多數(shù)情況下，當今的網(wǎng)絡事件始于對特定用戶的針對性攻擊。

首先，除了使用先進的技術保護手段外，企業(yè)還需要讓其用戶為可能的網(wǎng)絡釣魚攻擊做好準備，并訓練他們應對社會工程技巧。所有員工都應該至少對如何在工作場所內外確保自己的信息安全有基本的了解。由于向遠程工作的大規(guī)模過渡，這一點尤為重要。此外，有必要盡量減少可能的入口點的數(shù)量。這些可以是連接到企業(yè)網(wǎng)絡并可從外部訪問的任何設備。入侵者可以利用配置不正確的驅動器、非常舊但仍在運行的路由器和物聯(lián)網(wǎng)設備。