我們時(shí)刻防備高級(jí)外部威脅對網(wǎng)絡(luò)的侵襲，但有時(shí)候卻忽略了潛伏在內(nèi)部的更大威脅。這種威脅可以進(jìn)入公司辦公大樓，還有登錄公司網(wǎng)絡(luò)的口令。它就在我們中間，設(shè)置我們的服務(wù)器，配置軟件，甚至設(shè)定本應(yīng)保護(hù)我們的防護(hù)規(guī)則。安全界似乎并未給予內(nèi)部威脅足夠的重視，我們的網(wǎng)絡(luò)經(jīng)常對自家雇員敞開大門，尤其是那些有訪問特權(quán)的雇員。

識(shí)別：內(nèi)部威脅面面觀
內(nèi)部威脅不是什么新鮮概念。重大網(wǎng)絡(luò)安全事件中不少都是源于內(nèi)部人起了壞心思。但我們對內(nèi)部威脅問題并沒有采取太多應(yīng)對措施。事實(shí)上，大多數(shù)安全團(tuán)隊(duì)都只會(huì)事后補(bǔ)救而已。難道這是因?yàn)閮?nèi)部威脅極其難以檢測?或者說，我們僅應(yīng)付惱人的外部威脅就已經(jīng)疲于奔命了?
內(nèi)部威脅有很多種。最典型的心懷不滿的員工、勒索事件受害者和疏忽大意的用戶都很容易識(shí)別出來，但有一小撮可能對公司危害更大的用戶卻經(jīng)常得以逃過審查。那就是特權(quán)用戶，或者說對公司網(wǎng)絡(luò)上大多數(shù)敏感數(shù)據(jù)和系統(tǒng)擁有無限訪問權(quán)的用戶。系統(tǒng)管理員、網(wǎng)絡(luò)工程師，甚至CISO都會(huì)對公司造成最大威脅。我們對他們有任何監(jiān)管嗎?該怎樣防止來自內(nèi)部的損害呢?
此類威脅有時(shí)候真的很難檢測，因?yàn)樘貦?quán)用戶是披著合法的外衣在操作。他們通常都知道怎樣避開檢測，也往往直到證據(jù)確鑿才會(huì)被懷疑。雖然可能令人意外，但幾乎每周都會(huì)發(fā)生涉及特權(quán)用戶的安全事件。
比如說，系統(tǒng)管理員把日志文件發(fā)送到家中電腦加個(gè)班，或者數(shù)據(jù)中心管理員利用職務(wù)之便修改設(shè)置，讓無數(shù)服務(wù)器幫他挖礦加密貨幣。CISO違反公司策略使用商業(yè)VPN瀏覽不恰當(dāng)?shù)木W(wǎng)上內(nèi)容也是其中一例。大多數(shù)內(nèi)部人安全事件都是非惡意內(nèi)部威脅：用戶走個(gè)捷徑想讓自己的工作輕松點(diǎn)兒，但最終給公司的安全防護(hù)開了個(gè)口子。
檢測：找不同
無論動(dòng)機(jī)如何，所有內(nèi)部威脅都有一個(gè)共同特征：用戶設(shè)備開始表現(xiàn)出異常行為模式。而人工智能(AI)技術(shù)可以立即發(fā)現(xiàn)并將之標(biāo)記為威脅。有時(shí)候這些偏離設(shè)備正常“生活軌跡”的模式會(huì)特別明顯。但更多情況下這些攻擊指標(biāo)太過細(xì)微，僅捕捉已知威脅的傳統(tǒng)工具無法覺察。但無論指標(biāo)有多細(xì)微，這些設(shè)備與網(wǎng)絡(luò)上其他類似設(shè)備之間總是切實(shí)存在差異的。
當(dāng)今數(shù)字時(shí)代，在不斷膨脹的數(shù)據(jù)海洋里尋找刻意逃避的微小數(shù)據(jù)可謂是真正意義上的大海撈針，幾近不可能。我們的網(wǎng)絡(luò)日漸復(fù)雜，網(wǎng)絡(luò)安全和IT人才缺口卻越來越大，找到新興高效的方法來對抗老問題是唯一的出路。機(jī)器學(xué)習(xí)和AI就長于此道——只要用得恰當(dāng)。
采用以實(shí)時(shí)數(shù)據(jù)訓(xùn)練的真正機(jī)器學(xué)習(xí)技術(shù)，可以大幅增強(qiáng)并改進(jìn)當(dāng)前日志分析平臺(tái)。正如業(yè)內(nèi)大多數(shù)人都知道的，精明的攻擊者知道怎么避免留下痕跡，很多時(shí)候他們會(huì)修改日志以掩蓋他們的行蹤。日志分析是很強(qiáng)大的工具，但其有效性和準(zhǔn)確性取決于所饋送的數(shù)據(jù)。網(wǎng)絡(luò)級(jí)工具可確保日志分析的準(zhǔn)確度，快速檢測日志分析與實(shí)時(shí)網(wǎng)絡(luò)行為之間的不一致之處。
響應(yīng)：忠實(shí)踐諾
如果沒有正確實(shí)施所制定的策略，那無論事件檢測有多么快速高效都沒用。必須對特權(quán)用戶高標(biāo)準(zhǔn)嚴(yán)要求，因?yàn)樗麄兛赡軙?huì)對公司造成巨大的傷害。若沒做到這一點(diǎn)，公司遭遇重大內(nèi)部人安全事件的風(fēng)險(xiǎn)會(huì)大幅增加。實(shí)踐你所承諾的。當(dāng)然，如果你宣揚(yáng)的本就是不怎么樣的安全，那數(shù)據(jù)泄露和攻擊也就指日可待了。
但即便擁有了最先進(jìn)的安全策略和實(shí)施機(jī)制，人為失誤依然不可避免，而無論惡意還是無意，內(nèi)部威脅永遠(yuǎn)不會(huì)完全根除。AI網(wǎng)絡(luò)防御技術(shù)提供了捕獲微小行為差異的絕佳機(jī)會(huì)，可以在造成災(zāi)難性后果之前及時(shí)阻止正在進(jìn)行中的攻擊。