什么是行为分析?


行为分析使用机器学习、人工智能、大数据和分析,通过分析与正常的日常活动中的差异来识别恶意行为。

让我们来定义行为分析
恶意攻击有一个共同点 - 它们的行为都不同于系统或网络中的正常日常行为。公司常常可以通过与某些类型的已知攻击直接相关的特征来识别恶意行为。但是,随着攻击者变得越来越老练,他们不断开发新的战术、技术和规程 (TTP),不仅能够进入易受攻击的环境,而且能够在无法察觉的情况下横向移动。

这时行为分析就能派上用场。借助大量未经筛选的端点数据,安全人员现在可以使用基于行为的工具、算法和机器学习来确定日常用户的正常行为,以及哪些行为不正常。行为分析可以识别常态参数之外的当前和历史事件、趋势和模式。

安全团队可以将这些异常锁定,在攻击者完全执行其攻击计划之前,尽早发现并识别意外行为方式。行为分析还有助于发现根本原因,并提供洞察信息,以便未来识别和预测类似攻击。

哪些行为预示着恶意活动?

发生事件的时间异常、操作顺序异常或数据移动增加,只是环境中恶意活动的一些迹象。以下是一些不太正常的行为的具体示例,通过这些行为可能会识别正在进行的攻击。

  • 看似合法的文件中的链接会载入内存,然后远程加载脚本,跟踪发送回攻击者的机密数据。

  • 恶意代码会注入已安装的应用(如 Microsoft Word、Flash、Adobe PDF Reader、Web 浏览器或 JavaScript),以找到漏洞,然后执行恶意代码。

  • Microsoft Windows Management Instrumentation (WMI) 和 Microsoft PowerShell 脚本编写语言这样的原生系统工具通常被认为是高度可信的,它们会被作为目标,使脚本能够在远程运行。

行业动态:行为分析现在是“必备”工具

回首 2016 年初,SANS Institute 在白皮书“Using Analytics to Predict Future Attacks and Breaches”中提出了行为分析的重要性。作者在结论中指出,“利用更先进的数据分析平台来处理更多不同类型的数据,专注于提高网络威胁可见性,并自动执行检测和响应操作,可能会在当下帮助安全团队,并不断发展,在未来应对这些挑战。”

未来已经到来,2018 年,行为分析基本上已成为高级端点安全性的基准要求。事实上,Gartner 在其“端点保护平台魔力象限”报告中将机器学习和行为监控视为有远见者和领导者的强项。该报告还指出,“在 2018 年和 2019 年,最具远见的领先供应商将利用其[端点检测和响应]能力收集数据,并使用这些数据为客户提供量身定制的可行指导和建议。”

在 2017 年,17% 的数据泄露事件是由人为错误(而非故意的恶意意图)造成的。

解决方法:倚仗云功能

要充分释放行为分析的潜力,公司必须利用云及其无限的计算能力、无限的可扩展性和管理的便利性。云提供了一种主动方法,将大数据与强大的分析功能相结合,帮助您防范最新、最具威胁性的新兴攻击。

例如,云支持流分析,可以监控正常和异常端点活动,并将其与任何未经筛选的历史端点数据进行比较。通过分析这些事件流,并将其与看似正常的事件流进行比较,云创造了全球威胁监控系统,不仅可以检测攻击,还可以预测前所未有的攻击。

利用基于签名的传统 AV 解决方案,根本不可能实现这种功能强大的方法,只有通过新一代防病毒 (NGAV) 软件才能实现。

云中的 NGAV 可提供与端点的双向通信,以便监控所有未经筛选的端点数据,并将其转变为预测性分析,主动保护公司免受复杂攻击。

此外,云还提供了大多数公司在其他企业级软件中已经体验到的基础架构优势,包括经过简化、成本更低的运维,更快的部署以及最具创新性的最新技术。

VMware 大数据分析相关产品、解决方案和资源

利用原生安全性保护您的应用和数据

一种全新的安全方法 - 原生安全性是一种与以往完全不同的业务保护方法。

VMware NSX Service-defined Firewall

依靠基于 NSX 构建的分布式有状态第 7 层内部防火墙,跨虚拟、物理、容器化和云计算工作负载保护数据中心流量。

现代数字化工作空间平台

借助智能驱动型数字化工作空间平台 VMware Workspace ONE,您可以在任意设备上便捷、安全地交付和管理任意应用。