解决安全运营中的"VR金发女郎问题"Photobox Group Security的检测和安全创新主管Jon Hawes和Darktrace的威胁搜索主管Max Heinemeyer于2019年3月5日星期二首先，有关VRSecurity操作团队的一些背景在"发现问题"时面临两个基本挑战。第一个是获取并保持对环境中发生的事情的适当可见性。通过数据（例如遥测、日志）提供可见性。可见性数据源的三位一体关系到帐户/凭证、设备和网络交通。那个第二个挑战是在可见范围内获得良好的识别。从根本上说，识别是关于您可以实施和自动化哪些警报和工作流，以响应可疑或恶意的。可见性而每一种认可都有各自不同的关联问题。可见性是一个关于什么是和可以被生成的问题，或者被读取为遥测，或者记录并存储在本地，或者运到中央平台。可视性的时间线和完整性取决于一些因素，如您可以或不能在生成数据的设备上本地存储多少数据，以及存储多长时间；您的数据管道和数据平台是什么样子（例如，如果您试图集中数据进行分析）；或者主机软件代理的能力，你必须处理某些信息本地的对可见性的限制为覆盖率、时间线和你能获得的认可的完整性等因素设置了门槛。如果没有可见性，我们根本就认不出来。在能见度有限的情况下，我们所能识别的可能没有多大价值。有了正确的可见性，我们仍然可能无法识别正确的事物。如果认识太多，我们的感官会很快超载，一个很好的例子就是Darktrace，它提供了在网络层解决这些挑战的机会。他们的技术从网络流量的角度提供了对设备及其相关帐户/凭证的数据的可见性。然后，他们通过使用机器学习（ML）模型进行异常检测，在此基础上提供识别。他们的模型对可能指示威胁活动的广泛活动发出警报（例如恶意软件的执行和命令和控制、技术漏洞利用、数据过滤等）。与传统的入侵检测系统（IDS）和其他同样使用ML进行网络异常检测的供应商相比，它们提供的主要优势是，你可以a）调整他们的算法的灵敏度，b）建立你自己的识别特定模式的兴趣。例如，如果要监视与一个或两个服务器的连接，可以设置对预期模式的任何更改的警报。这意味着您可以根据企业上下文创建和调整自定义识别，并根据上下文的变化轻松地对其进行调整时间。那个Goldilocks VR MatrixBelow是PBX Group Security的VR Goldilocks Matrix。我们用它来评估技术，衡量我们自己的能力和流程，并问自己一些难以回答的问题，即我们需要集中精力从预算中获得最大价值，如果我们需要削减投资到。内方格是一些例子，说明你（也许）应该考虑做什么，如果你发现自己好了。很重要关于可视性和识别性的一个问题是，它们"总是开着"并不是既定的。有时存在可见性故障模式（导致下游识别问题）。有时会有一些故障模式或情况，你想暂停承认。那个关于这一点你必须有答案的关键问题包括：在什么下面我可能会失去视线？我怎么知道我有没有？这种丢失是一个盲点（即在给定的时间段内数据丢失）……还是"暂时性延迟"（例如，连接失败，数据批量从a移动到B，但在几个小时内不会发生这种情况）？哪些认知可能会受到上述任何一项的影响？从"警报原因"到"响应工作流"，我对SLA的期望是什么？在什么情况下，我愿意暂停识别、更改识别时发生的工作流程，还是一起停止？什么是"必须、应该、可以"对所有认可度的堆叠排名，为什么？警报。警报到处都是。更多通常情况下，由于某些数据源发出嘈杂的警报，安全操作团队要付出浪费时间的代价。因此，他们很难挑出恶意行为是可疑的还是良性的。对于Web代理和域控制器之类的源，由于现成的SIEM平台配置而生成的警报数量通常过多，而调整这些规则的成本也可能令人不快。因此，团队可以打电话关闭警报，而不是尝试调整警报，直到有人找到更好的方法。假设性的识别是没有用的，但是没有工作流来处理生成的内容（除了遵从性），这就是使用ML的技术可以帮助的地方。有两种基本方法……一种是在满足多个条件，表明威胁活动发生的可能性很高之前避免警报。在这种情况下，不是在第1、第2、第3和第4个"可疑活动"上发出警报，而是等到指标达到临界值，然后生成一个高保真警报，该警报的权重更大，表示恶意。这就要求警报具有高精度和高准确性，当然，在恶意活动警报发出之前，需要在时间上进行一些权衡生成的另一种方法是对"可疑活动1-4"发出警报，让分析员或自动化流程来决定这是否值得进一步调查。这种方法牺牲了精确性而牺牲了准确性，但是提供了一个或多个条件是否满足的快速上下文，这些条件会将机器推到分类队列中的优先级列表上。为了解决较低的准确度，这种方法可以决定警报持续多长时间。例如，如果一个主机触发多个异常检测模型，而不是继续发送警报（并冒着SOC决定关闭警报的风险），该技术可以在某个阈值之后暂停警报。如果在标记了10个高度可疑的行为之后，机器没有被隔离或从网络上取下，那么有一个合理的假设，即分析员会深入研究这些行为并发现活动是合法的。笑料1： 即使在"非恶意"暂停检测的主题在最近PBX集团安全部和Darktrace联合演习，测试Darktrace的认可度。在PBX红队使用的一台机器违反了Darktrace上的多个高优先级模型后，该技术停止了对进一步活动的警报。这是因为最初的警报会严重到足以触发SOC工作流。此方法旨在解决行为异常但实际上并非恶意的计算机上的警报过载问题。而不是让SOC关闭该机器的警报（以后可能被恶意使用），而是暂停了。一个测试的结果之一是，PBX检测团队建议他们仍然希望这些警报存在，以便在上下文中查看机器还做了什么（即了解其生命模式）。现在，与其暂停警报，Darktrace正在向客户显示规则暂停的位置，并创建一个选项来继续查看违反多个规则的计算机的警报模型。哪个引导我们进入下一个要点…妙语2：探测需要原子测试暗黑种族和Photobox安全都非常相信原子红队的测试，它涉及到"单元测试"，即重复（或以特定频率）使用代码测试检测。单元测试在发现控制优势（您希望持续监控正常运行时间）或控制差距（您希望在关闭时监控这些差距）时自动执行红色团队的工作。您可以设计原子测试来在链式事件中从一台机器启动一系列特定的攻击/威胁参与者操作。或者你可以从不同的机器上启动不同的谨慎操作，每个机器都没有做坏事的前因后果。这允许您缩放样本大小，以测试您的识别能力（通过ML或更传统的SIEM警报）。这样做也意味着你不必再要求红队重复同样的测试，让他们专注于不同的威胁路径来实现目标。米特Att&ck是一个非常宝贵的框架。许多供应商现在正与Att&ck结盟，以展示他们可以识别的与攻击ttp（工具、战术和程序）相关的内容。这使安全团队能够绘制出与他们相关的TTP（例如，通过使用威胁情报，了解针对他们的威胁参与者团体的活动）。然后可以使用原子红队测试来确保预期的探测是可操作的或者找到需要的缺口结束。如果如果你错过了探测，你就知道你需要优化你的识别能力。如果在原子测试条件之外获得了太多的识别，则由于网络的性质，您要么必须接受较高的误报率，要么可以调整检测灵敏度。利用基于ML和异常检测的技术来实现这一点的机会是非常重要的，因为你可以很快看到新的攻击类型，单元测试告诉你你当前的检测结果，以及你认为你已经达到的覆盖范围是"如预期的"。妙招3：利用结构良好的红队演习为赢家提供合作，可以帮助你组织和您的技术合作伙伴将学习如何共同发现和制止邪恶的新事物。它们还可以帮助维护者了解更多关于构建ML模型的良好假设，以及覆盖边缘