91视频导航,亚洲业余自拍

　　正所謂“日防夜防，家賊難防”，大數(shù)據(jù)時(shí)代對(duì)于企業(yè)平臺(tái)而言，內(nèi)部數(shù)據(jù)與信息的管理難度不斷提升，同時(shí)其所面臨的內(nèi)部數(shù)據(jù)泄露問(wèn)題卻日益凸顯。在內(nèi)部數(shù)據(jù)庫(kù)不斷升級(jí)的過(guò)程中，信息被泄露的風(fēng)險(xiǎn)也就越大，越需要更先進(jìn)的技術(shù)作為保障，確保信息的安全。

　　根據(jù)Verizon發(fā)布的《2017年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，絕大多數(shù)內(nèi)部人員和特權(quán)濫用的違規(guī)行為幾個(gè)月甚至幾年都未被發(fā)現(xiàn)(圖1)。更糟糕的是，黑客們通過(guò)各種技術(shù)操作方式，越來(lái)越容易獲取訪問(wèn)權(quán)限并偽裝成內(nèi)部人員。2017年4月，暗網(wǎng)中出現(xiàn)了史上最大的賬號(hào)信息合集，共包含14億條明文賬號(hào)信息。這些有效的未加密用戶名和密碼信息搜集自很多個(gè)數(shù)據(jù)庫(kù)源頭，包括Netflix、MySpace、Badoo、LinkedIn等等。即使是菜鳥(niǎo)黑客，也能夠通過(guò)這些已經(jīng)被泄露的敏感信息中，輕易的找到攻擊點(diǎn)。

　　圖1：內(nèi)部人員和特權(quán)濫用造成的泄露發(fā)現(xiàn)時(shí)間軸，n=77(來(lái)源：2017年Verizon報(bào)告)

　　在此背景下，Imperva Defense Center通過(guò)深度的實(shí)驗(yàn)，對(duì)內(nèi)部人員滲透數(shù)據(jù)庫(kù)的方式方法，以及數(shù)據(jù)庫(kù)信息內(nèi)部泄露的可能進(jìn)行了全方位的探索，總結(jié)出了一系列的可疑數(shù)據(jù)庫(kù)訪問(wèn)命令和訪問(wèn)模式的偵測(cè)方法。該實(shí)驗(yàn)研究成果，已經(jīng)被應(yīng)用于Imperva CounterBreach的最新版本中。這些新型探測(cè)技術(shù)，借助行為建模方法可以大大縮短發(fā)現(xiàn)可疑的內(nèi)部數(shù)據(jù)泄露風(fēng)險(xiǎn)的時(shí)間。

　　換位思考，防患未然

　　作為入侵者，攻擊者在竊取數(shù)據(jù)庫(kù)信息之時(shí)，除了會(huì)偽裝身份，扮成內(nèi)部數(shù)據(jù)檢索人員之外，還會(huì)試圖掩蓋數(shù)據(jù)竊取每個(gè)階段的痕跡。根據(jù)Imperva Defense Center研究發(fā)現(xiàn)，攻擊者的常用方法包括以下三種：

　　1.使用帶有摘要內(nèi)容的動(dòng)態(tài)SQL查詢語(yǔ)句

　　2.向數(shù)據(jù)庫(kù)注入惡意代碼

　　3.使用專(zhuān)用的Shell同數(shù)據(jù)庫(kù)進(jìn)行通信

　　充分掌握以上攻擊者具體攻擊方式是威脅偵測(cè)的關(guān)鍵。Imperva Defense Center通過(guò)對(duì)滲透攻擊工具進(jìn)行逆向工程，掌握了攻擊者攻擊的各種攻擊方法，并將該結(jié)果和專(zhuān)家知識(shí)相結(jié)合，列出了諸多會(huì)造成攻擊行為的命令，以及攻擊者對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的行為特征。在掌握這些信息后，Imperva還在許多已有客戶的數(shù)據(jù)庫(kù)系統(tǒng)上進(jìn)行驗(yàn)證，觀察這些命令和行為特征是否經(jīng)常會(huì)出現(xiàn)在日常數(shù)據(jù)庫(kù)的訪問(wèn)中。

　　鎖定對(duì)數(shù)據(jù)庫(kù)的可疑訪問(wèn)

　　根據(jù)Imperva Defense Center研究發(fā)現(xiàn)，可以將內(nèi)部數(shù)據(jù)泄露的可疑操作命令和訪問(wèn)規(guī)律分為兩組：第一組是正常行為中從未用到過(guò)的命令和訪問(wèn)規(guī)律。執(zhí)行這種命令就代表著非�？赡芫褪枪粜袨�;第二組是正常行為中不太會(huì)使用的命令，但是需要注意的是，一些交互用戶或應(yīng)用在某些場(chǎng)合下還是有一定可能會(huì)使用這些命令，這些命令并不一定一定就是攻擊行為。為了消除虛假警報(bào)，研究中心進(jìn)行了統(tǒng)計(jì)學(xué)方式的推斷，發(fā)現(xiàn)正常用戶在使用第二組中的某些特定命令時(shí)，通常是重復(fù)的而且方式非�？深A(yù)測(cè)。(圖2)

　　圖2：不同用戶的可疑指令查詢數(shù)

　　雙模型——內(nèi)外兼修

　　根據(jù)上面的發(fā)現(xiàn)，我們推薦應(yīng)該同時(shí)采用負(fù)面和正面行為模型，這兩個(gè)模型來(lái)進(jìn)一步的可疑行為的判斷。很多情況下，這兩種方法都能有效探測(cè)潛在的內(nèi)部攻擊者，而且可以起到相互補(bǔ)充的作用。

　　負(fù)面行為建模探測(cè)的目標(biāo)，是偵測(cè)根本就不應(yīng)該存在的可疑行為。相對(duì)而言，正面行為模型則用來(lái)偵測(cè)絕大部分用戶中不太會(huì)進(jìn)行的可疑行為。上述的兩組可疑命令，就可透過(guò)這兩種行為模型進(jìn)行歸類(lèi)。

　　正面行為建模與負(fù)面建模不同，記錄的是日常行為。它記錄每一個(gè)用戶行為、具有相似特征或用戶組的行為(即對(duì)等組)以及整個(gè)組織的行為。模型的行為特征包括對(duì)數(shù)據(jù)的訪問(wèn)規(guī)律、用戶通常在組織內(nèi)訪問(wèn)的儲(chǔ)存數(shù)據(jù)、訪問(wèn)時(shí)間、取回的數(shù)據(jù)量以及很多其他特征。對(duì)每一個(gè)用戶或組行為模型建成后，就可探測(cè)異于相關(guān)模型的可疑行為。這種模型可應(yīng)用于第二組命令和訪問(wèn)規(guī)律。

　　在一些簡(jiǎn)單的場(chǎng)景中，我們可以僅僅使用負(fù)面行為模型(即純負(fù)面行為模型)就偵測(cè)出使用第一組命令的攻擊事件。但是在更復(fù)雜情況中，例如第二種情況(攻擊者的行為混淆與正常訪問(wèn)之中)，那就需要使用兩種模型結(jié)合的方法(即組合的正面與負(fù)面兩種模型)。負(fù)面行為模型使用了相關(guān)領(lǐng)域的專(zhuān)家知識(shí)，而正面行為模型使用了機(jī)器學(xué)習(xí)算法，可以最大程度降低誤報(bào)。

　　探測(cè)實(shí)際攻擊：案例分析

　　在Imperva CounterBreach的最新版本應(yīng)用中，就有如下一則實(shí)際的探測(cè)案例，發(fā)現(xiàn)了客戶數(shù)據(jù)庫(kù)中，有同一名用戶使用了兩條可疑命令，造成了內(nèi)部數(shù)據(jù)的泄露。而通過(guò)Imperva CounterBreach的應(yīng)用，不僅搜索到了可疑命令，而且還解除了其背后的風(fēng)險(xiǎn)。

　　如圖3所示，可以發(fā)現(xiàn)兩條可疑命令在整個(gè)組織內(nèi)的使用情況。第一條命令(圖表中以藍(lán)色顯示)組織中以前從未使用過(guò)。使用純負(fù)面行為模型探測(cè)到，攻擊當(dāng)天該命令被執(zhí)行了51次，所以非�？梢伞５诙䲢l命令(圖表中以橙色顯示)曾經(jīng)有多個(gè)用戶使用過(guò)，但是不太經(jīng)常使用。在這一階段，尚無(wú)法對(duì)這一組命令下任何結(jié)論。

　　圖3：兩條可疑命令在整個(gè)組織內(nèi)的使用情況

　　面對(duì)這種復(fù)雜的情況，通過(guò)進(jìn)一步在第二組命令上使用正面模型，更加證實(shí)了這條命令的可疑性很高。對(duì)該用戶檔案進(jìn)行的分析顯示，這名用戶在44天前，從未進(jìn)行過(guò)這一罕見(jiàn)而又危險(xiǎn)的操作，但是數(shù)據(jù)泄露的這一天執(zhí)行過(guò)3次類(lèi)似指令，由此可見(jiàn)，這一行為的確有問(wèn)題。(圖4)

　　圖4：用戶分析工具捕捉到的罕見(jiàn)可疑命令

　　安全防范很重要

　　大數(shù)據(jù)時(shí)代，數(shù)據(jù)泄露事件每一天都在增加，尤其在內(nèi)部數(shù)據(jù)泄露方面，發(fā)現(xiàn)內(nèi)部人員與特權(quán)濫用導(dǎo)致的泄露，需要花上幾個(gè)月甚至幾年時(shí)間才能查出。在此背景下，要更快探測(cè)出這類(lèi)威脅，并在數(shù)據(jù)遭到竊取之前加以阻止。面臨著困難和挑戰(zhàn)，更要迎難而上。Imperva CounterBreach針對(duì)黑客與數(shù)據(jù)竊取者的操作方式和竊取方法，不斷完善技術(shù)體系，準(zhǔn)確探測(cè)攻擊行為，同時(shí)最大限度降低誤報(bào)。憑借著領(lǐng)域內(nèi)專(zhuān)家知識(shí)的負(fù)面行為模型，以及機(jī)器學(xué)習(xí)算法的正面行為模型，Imperva時(shí)刻保持領(lǐng)先一籌，為客戶做好安全防范。

　　推薦閱讀

　　如何沖出電磁爐紅海？鈦古電器這么做

鈦古電器意識(shí)到，電磁烹飪不只是代表先進(jìn)生產(chǎn)力，還彰顯著烹飪之美、生活之美。甄選進(jìn)口NEG面板，對(duì)跑車(chē)級(jí)油墨進(jìn)行上百次調(diào)色，鈦古以優(yōu)雅的設(shè)計(jì)語(yǔ)言，打造出具有非凡品位視覺(jué)的電磁爐產(chǎn)品。>>>詳細(xì)閱讀

本文標(biāo)題：捕捉自盜威脅：使用行為建模技術(shù)偵測(cè)可疑命令，發(fā)現(xiàn)訪問(wèn)規(guī)律

地址：http://www.sh-jijian.com/a/05/305634.html

1/2 1 2 下一頁(yè)

捕捉自盜威脅：使用行為建模技術(shù)偵測(cè)可疑命令，發(fā)現(xiàn)訪問(wèn)規(guī)律

捕捉自盜威脅：使用行為建模技術(shù)偵測(cè)可疑命令，發(fā)現(xiàn)訪問(wèn)規(guī)律