每一条规则都有一个例外：如何在没有规则的情况下检测内部威胁网络分析主管drew Tsonchev（周三）2017年6月21日通常，安全控制必须预先定义"好"和"坏"行为，但这种方法不可避免地给人们留下了有意或无意地规避这些规则的空间。在为内幕人士制定规则时，这一点尤其有问题。限制太多，工作流程受阻。太放任了，他们就会对容易预防的威胁敞开大门。例如，为了防止异常的RDP连接（无论是入站还是出站），传统的安全工具（如防火墙）通常会预先定义要允许哪些目标端口以及限制哪些端口。然而，如果一个员工使用一个不受防火墙明确限制的目的端口，理论上他们可以在不发出任何警报的情况下将数据从网络中过滤出去。在安装到一家大型制造公司的企业网络上后，我们的人工智能技术最近发现了一个流氓设备，使RDP连接到一个罕见的外部主机，而这个主机本应被防火墙阻止。10.230.102.143·00:23:18:28:3d:8c对100%稀有外部主机进行了2个RDP连接邮件.klaxcar[.]通信该公司的防火墙被配置为阻止出站RDP连接，但该规则过于简单，是由目标端口定义的。通过更改正在使用的端口，连接可以继续。时间：2017-03-23 14:44:57[UTC]协议：RDP来源：10.230.102.143目的地：217.109.48.125目的港：30005没有观察到网络中的其他设备连接到该主机。这项活动代表了一个主要的偏离模式，正常模式建立在黑暗种族的人工智能算法。连接持续了10多分钟，需要下载近4MB的数据。10.230.102.143于2017年3月23日在网络上首次出现。总持续时间：10分钟34秒总计上载：19.0 MB总下载量：3.77 MB暗黑种族的安提吉纳确定这一活动的威胁性足以需要立即作出反应。它触发了一个自主响应，阻止了来自该设备的所有传出流量10分钟，给了安全团队时间来识别恶意设备并停止RDP活动。经调查，很明显，一名员工将其个人设备连接到公司网络，并试图向外国公司发送有价值的知识产权。外部主机碰巧与一家竞争对手的制造公司有关联。我们很容易得出这样的结论：公司只是需要一个更好的防火墙，但这并没有抓住重点。遗留工具——无论多么昂贵——仍然依赖于规则，每个规则都有例外。当然，防火墙仍然是现代网络安全的一个重要组成部分，但是组织需要接受这样一个事实，即网络威胁总是能够绕过这些工具。在Darktrace，我们的技术不会对恶意做出任何假设。它使用先进的机器学习和人工智能算法来学习网络上每个用户和设备的"正常"。当出现威胁性偏差时，暗黑种族会实时消除威胁。虽然防火墙和其他基于规则的工具阻止了这些异常现象的发生，但像这些微妙的内部威胁却常常未被发现。要了解更多有关Darktrace发现的威胁，请查看我们的威胁用例页面，该页面讲述了一个黑客如何危害高管的视频会议单元的故事会议室，安德鲁TsonchevAndrew是网络安全技术专家，为Darktrace的战略客户提供高级威胁防御建议，人工智能和自主反应。他拥有威胁分析和研究背景，拥有牛津大学一流的物理学学位和伦敦国王学院的一流哲学学位。他对网络安全和国家重要基础设施受到威胁的评论已经在包括CNBC和BBC在内的国际媒体上报道世界。分享在LinkedIn上的FacebookTweetShare发送电子邮件