应对APT攻击新方法 威胁检测公司Endgame推出红蓝对抗自学习模式-阿里云开发者社区

开发者社区> 晚来风急> 正文

应对APT攻击新方法 威胁检测公司Endgame推出红蓝对抗自学习模式

简介:
+关注继续查看

在威胁检测公司Endgame的DNA深处,根植着一对孪生观念:隐形和攻击。这与常见的信息安全观点恰好相反。后者常常把自己打扮成可视的、防护性的。然而,Endgame相信,防护者应该正视现代化对手的攻击手段(隐形攻击),并应按需调整防御措施。

Endgame是干什么的?

据其官网资料显示,Endgame是一个网络操作平台,该平台能够在企业关键基础设置中自动寻找威胁。基于我们在威胁工具、技术及战术的方面的积累,确保您能够在killchain的早期做出反应并遏制入侵。


传统防御无法有效应对APT 威胁检测应该吸收机器学习能力

现代化对手会查找防御措施的蛛丝马迹,然后改变其恶意行为,以规避防御措施或使其失效。此类例子包括所有这样的恶意软件:查找虚拟化征兆,然后尝试规避沙箱,或者直接撒腿就跑避免被分析。另外一个例子是Caspar。Caspar会查Windows 10系统的杀毒软件WMI Class,从而得知主机上安装的杀毒软件,然后采取措施绕过或者规避该杀毒软件。Endgame建议,只有防御性的隐身,才能阻止对手发现检测措施并通过躲藏在类似的安全盲点来规避检测。

Endgame的攻击特性更为常见。传统的防御措施不再能阻止有针对性、隐形的高级攻击。防护者应该承认这一点,并主动地查找或搜寻网络入侵的细微征兆。这样做是为了尽量缩短对手的驻留时间(又叫检测需时)。根据FireEye公司的Mandiant所说,目前这一时间为146天。要发现这些征兆,需要进行大数据异常检测。这是一项高劳动密集型的任务。实际上,这一任务在现实中可以通过机器学习(machine learning)技术来达成,使得电脑自身就可以发现这些异常,并将其关联起来。

简而言之,威胁检测应该纳入机器学习能力,以主动而隐蔽地搜寻对手。但是,这里的隐蔽不是指功能,而是指过程。除了发动攻击之外,攻击者还会持续地侦察和探测防御措施,以寻找防御弱点。为了击败攻击者,防护者需要赶在攻击者发现并利用这些弱点之前找到并修复它们。问题就是如何做到这一点。

用于检测(和生成)恶意的深度对抗性架构

在这周的BSides Las Vegas聚会上,Endgame的主管数据科学家海仑.安德森(Hyrum Anderson)在演讲中提出了一种新方案。演讲题为“用于检测(和生成)恶意的深度对抗性架构”,或者说,也可以加上这样一个副标题“医生,自疗吧!”。

虽然这个方案的数学方法很复杂,但方案的原理很简单。如果机器学习能够教会电脑如何检测细微的高级威胁,那么你同样也能通过机器学习来测试和探索你的防御措施。安德森描述了机器学习红队(用来攻击蓝队,也就是你的内部威胁检测系统)的开发和使用。

在演讲中,安德森解释了如何“在红蓝对抗中使用深度学习来对付深度学习,使红蓝双方都得到提高。红队学会了如何产生恶意样本,而蓝队学会了如何区分恶意事件和良性事件。”

这一过程中,需要教会红队去理解蓝队的运行方式。理解之后,红队开始攻击蓝队。如果攻击成功,攻击经验就会被融入到蓝队的防护算法,清除了一个漏洞或者安全盲点。如果攻击失败,攻击经验就会被融入到红队的攻击算法。然后再重复整个过程。

安德森将其描述为“非合作博弈理论框架”

“一系列攻防回合之后,红队模型生成了恶意样本,用于查找蓝队检测模型中的盲点。反过来,蓝队检测模型学会了修复红队模型发现的盲点。随着两个模型的竞争,红队生成器改善了自己的生成能力,能更好地生成绕过防御措施的对抗性样本。同样的,蓝队检测器也增强了防御能力,能更好地防御红队生成器模拟出来的对抗性攻击。”简而言之,改进机器学习威胁检测的最好方式,就是机器学习模拟攻击。

Accenture和Endgame合作提供“威胁检测即服务” TDAS

昨天,Accenture和Endgame分别宣布,将合作提供“威胁检测即服务”(Threat Detection as a Service)。这项服务将包括Accenture经验丰富的威胁捕捉器和Endgame的技术。Accentrue公司的维克拉姆.德赛(Vikram Desai)说:“相对于建立一个更高的防护墙,我们给了客户主动出击的能力——在对手攻击之前就阻止他们。”

Endgame的CEO内特.菲克(Nate Fick)补充说:“我们需要在企业架构大力搜捕并在恶意行为闹出乱子之前终止它们,从而缩短对手的驻留时间。Endgame和Accenture的合作将会提供一个一直运行的、端到端的猎捕方案,比传统的入侵征兆和基于签名的工具更聪明。”

Endgame历史上一直出名于向政府客户销售攻击性的工具和0day漏洞,在最近几年开始将焦点转到向企业用户销售军事级的安全情报和分析平台。


原文发布时间:2017年3月24日
本文由:securityWeek  发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/red-vs-blue-self-learning-mode-response-to-apt-attacks
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
基于深度学习技术的视频内容检测
短视频APP在UGC场景下出现了大量重复视频内容,该重复视频被重复曝光、重复消费,造成了用户体验较差,甚至于用户流失。本次分享重点介绍基于深度学习CNN技术构建视频重复内容检测服务,并给出该方案的工程实现。该服务上线后,重复检测准确率80%,视频内容分发提效20%。
1089 0
为了抢占机器人的下半身 17家公司疯狂涌入!
机器人底盘这一细分品类已初具规模,在降低服务机器人玩家入局门槛的同时,自身的竞争也在愈渐激烈。
1246 0
技术的温度 | 从一家初创公司起死回生的5天说起
— 1. 我是一家创业公司的创始人。和所有满怀梦想的创业者一样,2016年初,经过前前后后7个月的流程和业务摸索,与另外两个合伙人把公司开了起来,并将业务搭建在云上以节省成本。 公司一直经营的是网络推广服务方面,给创业者和小企业提供在线服务,在2017年11月份的时候,公司开始保本,没有像前面一年那样省吃俭用,相对来说,取得了营收上的第一个春天。
1535 0
机器学习-异常检测算法(二):Local Outlier Factor
Local Outlier Factor(LOF)是基于密度的经典算法(Breuning et.al. 2000), 文章发表于 SIGMOD 2000, 到目前已经有 3000+ 的引用。在 LOF 之前的异常检测算法大多是基于统计方法的,或者是借用了一些聚类算法用于异常点的识别(比如 ,DBSCAN,OPTICS)。
9137 0
为什么不推荐大家去外包公司
其实大家心里都像明镜一样地明白“低技术含量的外包没有前途”,好多人都认为外包没有技术,其实这种思想不对,国外有大量的高端技术外包业务等着我们干,但是反问一句“你们能干吗?”。
2475 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载