威胁企业安全的机器行为.docVIP

威胁企业安全的机器行为 　　机器学习推动了企业安全的发展，支持网络内部的可视化，以便更好地了解用户行为。然而，恶意攻击者利用机器学习在企业内部取得的成果来攻击周边。 具体来说，这类攻击包括DNS隧道、附加到Tor网络上，以及向目录服务发送恶意认证请求等。Rook Security的安全运营主管Tom Gorup说：“除了这些威胁之外，一般来说，从电信诈骗到分发恶意软件，我们看到用的最多的是网络钓鱼。通常，我们看到他们试图利用扫描进行攻击。” 虽然DNS隧道不像以前用的那么多了，但攻击者相信大多数人都没有监控他们的DNS，Gorup说：“这使得黑客能够绕过保护内部数据免受攻击的代理服务器和防火墙。” 蓝队也越来越难以使用附加到Tor网络了，因为保护环境的成本越来越高了。Gorup说：“如果你没有抓到初始数据包，所有其他的看起来就像SSL流量。一些恶意软件确实使用Tor，当他们这样做时，这肯定会很难。这取决于攻击者的努力程度。” 需要进行不断监控的另一种威胁是发送身份认证请求。Gorup说：“对目录服务的认证使黑客能够详细了解网络上的服务器，包括命名、用户和密码。” Exabeam的威胁研究主任Barry Shteiman说：“当检查机器时，应该检查在没有人主动提出要求时机器的行为。” 从安全角度来看，这很难检测到，因为当一个人与机器交互时，就是人类用户对机器进行了一些操作。Shte