机器学习如何威胁企业安全

当内部机器学习转而针对边界发起攻击时，我们该做什么。

机器学习推动企业安全进步，提升内部网络中的可见性以更好地理解用户行为。然而，恶意黑客正利用机器学习的内部作为，来攻击企业边界。

特别需要指出的是，此类攻击包括：DNS隧道、Tor网络连接，以及向目录服务发送流氓身份验证请求。我们通常看到的，是网络钓鱼，从电汇骗局到恶意软件投放。基本上，发现被扫描了，就是黑客在尝试漏洞利用了。

尽管DNS隧道不像以前那么普遍，攻击者相信，绝大多数人不会监视他们的DNS，也就令黑客有了绕过代理服务器和防火墙染指内部数据的可能。

Tor匿名网络连接也让防御团队越来越头疼，因为防护该环境的代价太高了。只要没捕捉到初始网络包，后面的每个包都像是正常的SSL流量。有些恶意软件确实使用Tor，防御起来绝对难，就看攻击者愿意在这上面花费多少精力了。

另一个需要持续监视的威胁，是身份验证请求发送。目录服务的身份验证可让黑客获悉网络中服务器的更多情报，包括名字、用户和口令。

查看机器的时候，需要在无人操作的情况下观察机器行为表现。

从安全角度看，人机互动时是很难检测异常的。无论机器操作正常与否，总有人触发了该行为。

更多的时候，在一台被入侵的机器上，难以看出到底发生了什么。DNS隧道是个经典威胁，也就是某人在某台机器上安装了点软件，通过服务器和IP地址间的解析协议来渗漏数据。

黑客从中领悟到的，就是DNS非常“健壮”好用。里面包含了元信息，有自由文本字段(即域名长度无限制)，可以用来输入任意信息。通过切分文件填入该自由字段再在网外重组，黑客便可以操纵DNS来渗漏数据。

由于DNS是必须的协议，从安全或网络监控的角度都看不出什么问题。机器有DNS策略，服务就在机器本身，不需要人机互动。内网中这些东西太常见了。

问题就在于：黑客会试图操纵能访问到特定数据的机器，用那台机器来渗漏数据，而安全员甚至不能白名单或黑名单掉DNS访问。

关于机器威胁，没有一个明确的定义，也没有一致的公认的理解。正在进行的攻击总能很快找到适应方式，快速制造出新的恶意程序变种。

机器威胁就是我们在内部使用的机器学习，被拿到外部来针对我们的边界发起攻击。恶意黑客尝试使用机器学习技术针对防御团队，就是机器威胁。

坏人太精于全球范围内追踪各大公司了，他们如今也有了利用自动化技术收集公开信息，执行大量攻击的能力。每个季度都会连同多种攻击元素出现500到600亿个新攻击。以前还需要人工分析数据，现在，全都自动化了。

自动化让黑客能够比以前收集更多的情报。其实，极少有人知道正常的网络流量长啥样。黑客们利用连接、运营商、运营商电话、健康核查、模仿分析等手段，收集额外情报。

安全人员确实在监视流量，但以前他们能观察到有人主动扫描网络，如今，这些人能够利用恶意代码收集更多的信息，IoT空间中的信息简直是巨量的。

回归基础，或许会是最佳防御措施。技术发展确实很快，但我们需要回归基础。应用程序应该在端口表现出特定类型的数据传输。我们需要清晰定义出好流量的标准。只要流量偏离了标准，那就可能是不良流量。

依靠建模和机器学习，是已知Tor网络IP访问封锁的有力补充。有人的工作确实需要用到Tor网络，但人的行为都是有章可循的。比方说，我们可以设置访问规则为：有键盘操作，或在工作时间段内，才允许访问Tor网络。

大多数情况下，缓解这些威胁需要教育和培训。经常性的代码审查和开发人员培训，可以降低风险，减少漏洞。

编程是重要一步。互联网和全球各种运营商让脏数据堆到我们门前。作为数据消费者，我们必须要求他们清理管道。

大家都厌烦了接连不断的数据泄露和攻击。创建更加清晰的运营商和公司责任清单，将有助于扫清这些肮脏的信息管道。

我们需要了解哪些数据在进出我们的环境。非公司或国家加密的加密流量肯定是会有的，如果没有密钥，那就封掉好了。

清理过程中，减少层次，简化整合是必要的。需要布设的技术数量正被快速整合，简化也将变得更加关键。

本文转自d1net（转载）