至頂網安全頻道 10月18日 綜合消息: 即使是瑟曦.蘭尼斯特的陰謀詭計或者喬拉.莫爾蒙爵士父親般的保護(譯注:兩者都是HBO劇集《權力的遊戲》中的人物)也無法阻止攻擊者攻破HBO的網路並竊取了1.5TB的資料(包括未播出的《權力的遊戲》劇集)。 然而, 機器學習可能已經為HBO的虛擬要塞提供了更好的防護。
人工智慧(AI)和機器學習(ML)是眾多辯論的主題, 特別是在網路安全社區內更是如此。 那麼, 機器學習會是下一個大的安全趨勢嗎?人工智慧準備好了接受機器學習推動的攻擊嗎?總的來說, 人工智慧是否做好了使用的準備?無論你對於機器學習是否會成為網路安全救世主的看法如何,
儘管有報導稱駭客使用了"複雜老道"的入侵方法, 但是很有可能的是駭客或駭客團體聰明地使用了常見的攻擊方法攻入了這家銀幕巨頭的系統, 並使用了 "little.finger66"(譯注:"小指頭66", "小指頭"是《權力的遊戲》劇集人物培提爾.貝裡席的綽號)這個綽號。
下面列舉了一些使用案例, 它們代表了一些會影響每一家企業的常見安全威脅。 不過, 機器學習可能是也可能不是網路安全的靈丹妙藥, 但在下面這些情況中, 它肯定會有所幫助。
使用案例1:"叉魚"(防範網路釣魚)
網路釣魚是今天最常見的攻擊媒介, 而且非常成功。 這種攻擊利用了個人對通信工具的熟悉, 如社交媒體和電子郵件, 通過附件或連結向不知情的收件人發送惡意內容。 這種攻擊的有效性依賴於攻擊者誤導最終用戶點擊或下載惡意有效載荷並在之後繞過內部控制的能力。 目前其不斷增加的破壞性和勒索軟體有效載荷使得這種攻擊更加嚴重。
組織可以通過從電子郵件中捕獲中繼資料來檢測這些威脅, 而且這種做法不會影響用戶的隱私。 通過查看電子郵件標題以及對郵件正文資料的二次抽樣, 機器學習演算法可以學習識別能夠暴露惡意寄件者的電子郵件模式。
使用案例2:水坑式攻擊(Watering Holes)
類似於網路釣魚攻擊, 水坑式攻擊看起來似乎是合法的網站或網路應用程式。 但是, 這些網站或應用程式雖然是真實的, 可已經被盜用了, 或者根本就是假冒的網站或應用程式, 旨在引誘沒有疑慮的訪問者輸入個人資訊。 這種攻擊也部分依賴於攻擊者誤導使用者以及有效攻擊服務的能力。
機器學習可以通過分析諸如路徑/目錄遍歷統計等資料來説明機構對網路應用程式服務進行基準測試。 隨著時間推移不斷學習的演算法可以識別出攻擊者或惡意網站和應用程式的常見互動。
使用案例3:內網漫遊(Lateral Movement)
這不是一種特定類型的攻擊, 內網漫遊攻擊方法表示攻擊者在網路中的移動, 這是他們在查找漏洞並應用不同的技術來利用這些漏洞。 內網漫遊特別能夠表明風險沿著殺傷鏈--攻擊者從偵察到資料提取的活動--上升, 特別是當攻擊者從低級用戶的機器轉移到更重要的人員(可以訪問有價值的資料)時。
網路流量輸入記錄可以告訴您訪問者與網站的互動情況。
使用案例4:隱蔽通道檢測(Covert Channel Detection)
使用隱蔽通道的攻擊者通過不用於通信的通道傳輸資訊。 使用隱蔽通道讓攻擊者保持對受到威脅的資產的控制, 並使用可以隨時間執行攻擊的戰術, 而且不被發現。
使用隱蔽通道的攻擊通常取決於給定網路上所有域的可見性。 機器學習技術可以攝取並分析有關稀有領域的統計資料。 有了這些資訊, 安全操作團隊可以更輕鬆地讓雲端攻擊者現形。 沒有了對他們打算攻擊的網路的整體瞭解,網路犯罪分子更難以將其攻擊沿著殺傷鏈條向前推進。
使用案例5:勒索軟體(Ransomware)
勒索軟體"名符其實"。這種惡意軟體擦除驅動器並鎖定受感染的設備和電腦作為要脅,以換取用戶的加密金鑰。這種形式的網路攻擊會鎖定資訊,直到使用者放棄其金鑰,或者在某些情況下,如果不支付贖金,則威脅發佈使用者的個人資訊。
勒索軟體提出了一種具有挑戰性的使用案例,因為攻擊經常導致網路活動日誌缺乏證據。機器學習技術可以幫助安全分析師跟蹤與勒索軟體相關的細小行為,例如與給定的整個檔案系統交互的熵統計或過程。組織可以將機器學習演算法集中在最初感染有效載荷上,試圖識別出這些證據碎片。
使用案例6:注入攻擊(Injection Attacks)
Open Web Application Security Project (開放網路應用程式安全專案,OWASP)將注入攻擊列為網路應用程式頭號安全風險。(注:當前版本的OWASP Top-10已被否決,該組織已重新開始安全專業人士的資料調用和調查)。注入攻擊讓攻擊者可以在程式中進行惡意輸入。例如,攻擊者會將一行代碼輸入資料庫,當訪問資料庫時,就會修改或更改網站上的資料。
資料庫日誌是可以説明識別潛在攻擊的另一個資訊來源。機構可以使用機器學習演算法來構建資料庫使用者組的統計概況。隨著時間的推移,演算法學習瞭解了這些組如何訪問企業中的各個應用程式,並學習發現這些訪問模式中出現的異常。
使用案例7:偵查攻擊(Reconnaissance)
在發起攻擊之前,駭客會對目標或目標群體進行廣泛的偵查。偵查包括探測網路的漏洞。攻擊者將在網路的周邊或局域網(LAN)內進行偵查。典型的偵查攻擊探測使用了簽名匹配技術,通過網路活動日誌尋找可能代表惡意行為的重複模式。然而,基於簽名的檢測通常會產生一串嘈雜的假警報。
機器學習可以是網路資料拓撲的指南針。經過訓練的演算法可以開發這種拓撲圖,以便識別新模式的傳播,這種做法比基於簽名的方法更快。使用機器學習也減少了誤報的數量,從而使安全分析人員能夠把時間花在處理真正重要的報警上。
使用案例8:網頁木馬(Webshell)
United States Computer Emergency Readiness Team(美國電腦應急準備小組,US-CERT)對網頁木馬(Webshell)的定義是"可以上傳到網路服務器的腳本,以便遠端系統管理機器"。通過遠端系統管理,攻擊者可以啟動資料庫資料轉存、檔案傳輸和惡意軟體安裝等進程。
網頁木馬(Webshell)攻擊者的目標通常是後端的電子商務平臺,攻擊者通過這些平臺來瞄準購物者的個人資訊。機器學習演算法可以聚焦正常購物車行為的統計,然後幫助識別出不應該以這種頻率發生的異常值或行為。
使用案例9:憑證盜竊(Credential Theft)
一些高調的攻擊,包括對虛擬私人網路(VPN)攻擊,都是憑據盜竊的結果。憑證盜竊通常使用諸如網路釣魚或水坑式攻擊等手段來實現,攻擊者以此從受害者那裡提取登錄憑證,以便訪問組織維護的敏感資訊。
互聯網使用者--消費者--經常留下登錄模式。網站和應用程式可以跟蹤位置和登錄時間。機器學習技術可以跟蹤這些模式以及包含這些模式的資料,以瞭解什麼樣的用戶行為是正常的,哪些行為則代表了可能有害的活動。
使用案例10:遠端利用攻擊(Remote Exploitation)
最後,許多攻擊模式會使用遠端利用攻擊。這些攻擊通常會通過一系列針對目標系統的惡意事件進行操作,以識別漏洞,然後提供有效負載(如惡意程式碼)來利用漏洞。一旦攻擊投放了有效載荷,它就會在系統內執行代碼。
機器學習可以分析系統行為並識別與典型網路行為無關的順序行為實例。演算法可以隨著時間的推移進行學習,可以提醒安全分析師有關意在利用漏洞的有效載荷的傳輸情況。
這裡的討論不是機器學習的終點,而應該是它的起點
準確的網路安全分析系統必須成為現代安全運營中心的基石。但是,如果沒有資料樣本,則不可能開展準確的分析。採用機器學習思維並使用機器學習技術的安全團隊可以更快地解決上述各種類型的攻擊。機器學習或其他任何一種技術都永遠不會是任何一個行業的終結和全部。它確實提供了一種替代的、開放原始程式碼的哲學思維,可被用於識別和處理網路攻擊,這能夠改進很多目前正在使用的方法。
沒有了對他們打算攻擊的網路的整體瞭解,網路犯罪分子更難以將其攻擊沿著殺傷鏈條向前推進。使用案例5:勒索軟體(Ransomware)
勒索軟體"名符其實"。這種惡意軟體擦除驅動器並鎖定受感染的設備和電腦作為要脅,以換取用戶的加密金鑰。這種形式的網路攻擊會鎖定資訊,直到使用者放棄其金鑰,或者在某些情況下,如果不支付贖金,則威脅發佈使用者的個人資訊。
勒索軟體提出了一種具有挑戰性的使用案例,因為攻擊經常導致網路活動日誌缺乏證據。機器學習技術可以幫助安全分析師跟蹤與勒索軟體相關的細小行為,例如與給定的整個檔案系統交互的熵統計或過程。組織可以將機器學習演算法集中在最初感染有效載荷上,試圖識別出這些證據碎片。
使用案例6:注入攻擊(Injection Attacks)
Open Web Application Security Project (開放網路應用程式安全專案,OWASP)將注入攻擊列為網路應用程式頭號安全風險。(注:當前版本的OWASP Top-10已被否決,該組織已重新開始安全專業人士的資料調用和調查)。注入攻擊讓攻擊者可以在程式中進行惡意輸入。例如,攻擊者會將一行代碼輸入資料庫,當訪問資料庫時,就會修改或更改網站上的資料。
資料庫日誌是可以説明識別潛在攻擊的另一個資訊來源。機構可以使用機器學習演算法來構建資料庫使用者組的統計概況。隨著時間的推移,演算法學習瞭解了這些組如何訪問企業中的各個應用程式,並學習發現這些訪問模式中出現的異常。
使用案例7:偵查攻擊(Reconnaissance)
在發起攻擊之前,駭客會對目標或目標群體進行廣泛的偵查。偵查包括探測網路的漏洞。攻擊者將在網路的周邊或局域網(LAN)內進行偵查。典型的偵查攻擊探測使用了簽名匹配技術,通過網路活動日誌尋找可能代表惡意行為的重複模式。然而,基於簽名的檢測通常會產生一串嘈雜的假警報。
機器學習可以是網路資料拓撲的指南針。經過訓練的演算法可以開發這種拓撲圖,以便識別新模式的傳播,這種做法比基於簽名的方法更快。使用機器學習也減少了誤報的數量,從而使安全分析人員能夠把時間花在處理真正重要的報警上。
使用案例8:網頁木馬(Webshell)
United States Computer Emergency Readiness Team(美國電腦應急準備小組,US-CERT)對網頁木馬(Webshell)的定義是"可以上傳到網路服務器的腳本,以便遠端系統管理機器"。通過遠端系統管理,攻擊者可以啟動資料庫資料轉存、檔案傳輸和惡意軟體安裝等進程。
網頁木馬(Webshell)攻擊者的目標通常是後端的電子商務平臺,攻擊者通過這些平臺來瞄準購物者的個人資訊。機器學習演算法可以聚焦正常購物車行為的統計,然後幫助識別出不應該以這種頻率發生的異常值或行為。
使用案例9:憑證盜竊(Credential Theft)
一些高調的攻擊,包括對虛擬私人網路(VPN)攻擊,都是憑據盜竊的結果。憑證盜竊通常使用諸如網路釣魚或水坑式攻擊等手段來實現,攻擊者以此從受害者那裡提取登錄憑證,以便訪問組織維護的敏感資訊。
互聯網使用者--消費者--經常留下登錄模式。網站和應用程式可以跟蹤位置和登錄時間。機器學習技術可以跟蹤這些模式以及包含這些模式的資料,以瞭解什麼樣的用戶行為是正常的,哪些行為則代表了可能有害的活動。
使用案例10:遠端利用攻擊(Remote Exploitation)
最後,許多攻擊模式會使用遠端利用攻擊。這些攻擊通常會通過一系列針對目標系統的惡意事件進行操作,以識別漏洞,然後提供有效負載(如惡意程式碼)來利用漏洞。一旦攻擊投放了有效載荷,它就會在系統內執行代碼。
機器學習可以分析系統行為並識別與典型網路行為無關的順序行為實例。演算法可以隨著時間的推移進行學習,可以提醒安全分析師有關意在利用漏洞的有效載荷的傳輸情況。
這裡的討論不是機器學習的終點,而應該是它的起點
準確的網路安全分析系統必須成為現代安全運營中心的基石。但是,如果沒有資料樣本,則不可能開展準確的分析。採用機器學習思維並使用機器學習技術的安全團隊可以更快地解決上述各種類型的攻擊。機器學習或其他任何一種技術都永遠不會是任何一個行業的終結和全部。它確實提供了一種替代的、開放原始程式碼的哲學思維,可被用於識別和處理網路攻擊,這能夠改進很多目前正在使用的方法。