什麼是行為分析?


行為分析會使用機器學習、人工智慧、巨量資料和分析技術來分析一般日常活動的差異,進而識別惡意行為。

行為分析的定義
所有惡意攻擊都有一個共通點:其行為會與系統或網路中的一般日常活動大不相同。通常,公司可透過與特定已知攻擊直接相關的簽章來識別惡意行為。然而,隨著攻擊者手法日益縝密,以及新的策略、技巧和程序 (TTP) 不斷推陳出新,攻擊者不僅大舉入侵脆弱的環境,還能在不被發現的情況下橫向移動。

行為分析可有效防範惡意行為。拜大量的未篩選端點資料之賜,現在,安全性人員可運用行為式工具、演算法和機器學習等技術,來判斷哪些行為屬於日常使用者行為,而哪些並不是。行為分析可識別不在日常範疇之內的事件、趨勢和模式 (包括目前和歷史記錄)。

只要鎖定異常情況,安全性團隊就能深入掌握和及早識別非預期的攻擊行為策略,在攻擊者完整執行攻擊計畫前加以防範。行為分析也有助於找出根本原因並提供深入洞悉,以利在日後識別和預測類似的攻擊。

哪些行為會透露惡意活動的跡象?

發生在不尋常時機的事件、動作順序異常,或是資料移動量增加,皆可視為環境中潛藏惡意活動的徵兆。下方提供的非正常行為範例,有助於識別是否有任何攻擊正伺機行動。

  • 在看似合法的檔案內,有個連結會載入至記憶體中,然後遠端載入指令碼,以找出機密資料並將其傳回給攻擊者。

  • 已安裝的應用程式 (例如 Microsoft Word、Flash、Adobe PDF Reader、網頁瀏覽器或 JavaScript) 被植入惡意程式碼,旨在鎖定弱點並執行惡意程式碼。

  • 通常視為高度可信的原生系統工具 (例如 Microsoft Windows Management Instrumentation (WMI) 和 Microsoft PowerShell 指令碼語言) 遭到鎖定,以遠端執行指令碼。

產業脈動:行為分析已成為「必備要項」

SANS Institute 在 2016 年初發表了一份《使用分析技術來預測後續的攻擊和漏洞》(Using Analytics to Predict Future Attacks and Breaches) 白皮書,以說明行為分析的重要性。作者於結論中指出:「運用更先進的資料分析平台來導入更多不同類型的資料、著重日益提升的網路威脅能見度,以及將偵測和回應動作自動化,將有助於協助現行和未來的安全性團隊因應各項挑戰。」

當年提到的未來已近在眼前,在 2018 年,行為分析已成為進階端點安全性的基本需求之一。事實上,Gartner 公司也在《端點保護平台魔力象限評比》(Magic Quadrant for Endpoint Protection Platform) 報告中,將機器學習和行為監控列入遠見卓識者和領導者應具備的優勢。此外,該報告也指出:「在 2018 年和 2019 年奪得最具遠見卓識和領導能力的廠商,勢必將使用其 [端點偵測與回應] 功能所收集的資料,為其客戶提供可行的指引和建議。」

在 2017 年發生的漏洞中,17% 皆源自於人為錯誤 (相對於刻意的惡意意圖)。

解決之道:一切盡在雲端中

若要充分發揮行為分析的潛力,公司勢必得善加運用雲端及其強大的運算威力、無窮盡的延展性,以及管理簡易性。雲端能提供主動式方法,以結合巨量資料和強大的分析技術,進而防範最新且最具威脅性的新興攻擊。

舉例來說,雲端可進行串流分析來監控正常和異常端點活動,並與任何未篩選的歷史端點資料進行比較。雲端能分析這些事件流量,並將其與看似正常的事件進行比較,藉此建立全域的威脅監控系統,除了可偵測攻擊,還會預測過去未曾看過的攻擊。

這個強大方法所實現的效益,僅限新一代防毒 (NGAV) 軟體;而以簽章為基礎的傳統防毒解決方案,則完全無法提供。

新一代防毒軟體能與端點進行雙向通訊,因此所有未篩選的單點資料都會遭到監控,並轉換成預測性分析,繼而主動防範公司遭受計畫周詳的攻擊。

另外,雲端也具備多數公司透過其他企業軟體所取得的基礎架構優勢:簡化、降低作業成本、加快部署速度,以及最新且最創新的技術。

VMware 針對巨量資料分析提供的相關產品、解決方案與資源

以固有安全性保護您的應用程式與資料

固有安全性是一種新的安全性方法,可讓您透過截然不同的方式保護自身業務。

VMware NSX Service-Defined Firewall

運用以 NSX 為基礎、具狀態的分散式第 7 層內部防火牆,保護虛擬、實體、容器化和雲端工作負載之間的資料中心流量。

現代化數位工作區平台

運用智慧導向數位工作區平台 VMware Workspace ONE,在任何裝置上以簡單又安全的方式交付和管理任何應用程式。