開展網路行為風險分析的五種手段

惡意軟體氾濫的年代，擺在網路安全負責人面前的一道難題是，如何確保威脅檢測能力跟上日益複雜的惡意軟體。那些基於惡意軟體特徵和規則的傳統威脅檢測技術，似乎已經跟不上時代的步伐，再也無法提供最有效的方法來保護企業免受現代惡意軟體的侵擾。因為這種技術只適用於發現不復雜的惡意軟體，但卻發現不了沒有相應特徵的新威脅或未知威脅。

基於惡意軟體特徵的威脅檢測平臺還有其他侷限性：經常出現誤報，而且向安全團隊發出過多的警報;如果攻擊者通過網路釣魚攻擊或資料洩露來獲得合法的登入資訊，傳統威脅檢測手段無法識別由攻擊者實施的內部攻擊;此外，攻擊者還可以輕鬆地重新打包惡意軟體，做到與已知特徵不匹配，以繞過傳統威脅檢測手段來實施攻擊。

因此，許多組織開始紛紛轉向行為風險分析，這種分析使用一套全然不同的流程，需要輸入大量資料才能有效。

什麼是行為風險分析

行為風險分析，通常需要收集大量資料，並基於該資料搭建訓練模型，以查詢異常行為和高風險行為。這種方法通常需要為正常的網路行為設定基準，通過機器學習等模型來檢查網路活動並計算風險評分，根據風險評分檢視異常情況，最終確定行為風險級別。這有助於減少誤報並幫助安全團隊確定風險優先順序，從而將安全團隊的工作量減少到更易於管理的水平。

因為那些不尋常但低風險的行為常常在不太複雜的解決方案中觸發誤報警報，舉個例子，假設企業營銷人員幾個月來第一次從SharePoint驅動器訪問營銷資料，這與該人的正常行為相比有些不尋常，但風險可能比較低。但是如果這同一個員工在大多數員工處於離線狀態時從陌生的位置訪問程式碼儲存庫，這種風險就要大得多，應予以標記。

行為風險分析的五種手段

行為風險分析有幾種手段，包括以下這幾種：

1. 異常建模：使用機器學習模型和異常檢測來識別異常行為，比如使用者從無法識別的IP地址訪問網路，使用者從與其角色無關的敏感文件儲存庫下載大量智慧財產權(IP)，或者流量從組織沒有業務往來的國家或地區的伺服器發來。

2. 威脅建模：使用來自威脅情報源的資料和違反規則/策略的情況，尋找已知的惡意行為。這可以快速輕鬆地篩選出簡單的惡意軟體。

3. 訪問異常建模：確定使用者是否在訪問不尋常的資產或不應該訪問的資產。這需要提取使用者角色、訪問許可權及/或身份證件方面的資料。

4. 身份風險剖析：根據人力資源資料、觀察名單或外部風險指標，確定事件所涉及的使用者風險級別。例如，最近沒有被公司考慮升職的員工也許更有可能對公司懷恨在心，企圖進行報復。

5. 資料分類：標記與事件有關的所有相關資料，如涉及的事件、網段、資產或賬戶，為安全團隊提供上下文資訊。