如何发现恶意内幕人士:使用行为指标来对付内部威胁

来源：https://www.exabeam.com/security-operations-center/how-to-find-malicious-insiders-tackling-insider-threats-using-behavioral-indicators/

这是一个关于网络研讨会的摘要，有五件重要的事情要了解内部威胁。

内部威胁是阴险的。因为它们在您的网络中工作，可以访问关键系统和资产，并使用已知的设备——它们可能很难检测。

1 两种内部威胁

一个内部的威胁是由那些被委托在一个组织的网络中工作的人所犯下的。有两种类型:

内部受损人士—使用内幕人士的被黑凭证来访问您的系统的外部行为者。当未被发现和成功的时候，这个黑客可以代表一个长期的，高级的持久威胁，或者使用秘密和连续的过程来攻击你的组织。

恶意的内部人员——雇员、承包人、合作伙伴或其他受信任的人，他们被授予某种程度的权限进入你的系统。他们可能会利用你的数据或网络开发第二种收入来源，破坏你的公司，或者在出门的路上窃取你的IP。

2 -为什么内部威胁如此难以察觉?

有必要让合法用户访问他们需要的资源来完成他们的工作，无论是电子邮件、云服务还是网络资源。当然，有些员工必须能接触到诸如财务、专利等敏感信息。

内部威胁很难找到，因为它们使用合法的凭证和已知的机器，使用您授予的特权。在许多安全产品的情况下，它们的行为表现正常，不会引起任何警报。

如果攻击者执行横向移动——更改他们的凭证、IP地址或设备来隐藏他们的跟踪和访问高价值目标，那么检测这些威胁就变得更加复杂。

3 -内部威胁有多普遍?

根据威瑞森的数据泄露调查报告，前五名中的四名与内部威胁有关。第一个漏洞是使用被盗或泄露的凭证。第四种是恶意内部人士的特权滥用。前两项和三次违反都与受害用户有关，这可能会导致后来的内部威胁事件。

内部威胁不仅非常普遍，而且在很长一段时间内都不会被发现。

根据去年的VDBIR报告，在被发现的恶意内幕交易中，有39%被发现已经超过了1年，42%的则超过了几个月的时间。

4 -指向可能的内部威胁活动的行为。

内部威胁通常会随着时间的推移并在多个网络资源上出现。如果你知道去哪儿找，你可以找到他们。

以下是五个行为指标:

异常特权升级——这包括创建新的特权或管理帐户，然后切换到该帐户执行活动或利用应用程序漏洞或逻辑，以增加对网络或应用程序的访问。

C2通信-任何流量或通信到已知的命令和控制域或IP地址。如果有任何正当的理由让员工访问这些地点，那是非常少的。

数据漏出——这可能是数字或物理。数字上，它可能包括一些敏感信息，比如知识产权、客户名单、或被复制到可移动设备的专利、附加到电子邮件或发送到云存储。使用默认名称“document1.doc”的用户过多地打印文档，是一种不寻常的行为，可能表明数据被盗。

快速的数据加密-快速扫描和随后的加密和文件的删除可以显示一个ransomware攻击。一般来说，ransomware来自于一个受害的内部人员，但是它也可以由流氓，恶意的内部人员来执行。

横向移动——切换用户帐户、机器或IP地址(寻找更有价值的资产)是在内部攻击中经常执行的行为。这很难被发现，因为它是分布式的，通常只会在各种各样的安全工具的日志中留下微弱的提示。

5 -如何更可靠地侦测内部威胁?

对于过去的单一维度攻击，如SQL注入、签名或关联规则通常是一种有效的检测手段。今天，内部威胁攻击将多重身份和机器编织成错综复杂的网络。这些攻击涉及受信任的各方，跨越数月或数年。对于这些长期的攻击，不可能创建足够的触发器或签名。然而，可以通过另一种方式来检测内部威胁:行为分析。

进入UEBA——用户和实体行为分析

UEBA通过使用数据科学和机器学习来检测机器和人类的正常行为，然后发现有危险和异常的活动偏离了常规。每次检测到异常行为时，风险点都会被添加到风险评分中，直到用户或机器越过一个阈值，并将其升级为安全分析师进行审查。

为什么这是一种更有效的方法呢?

上下文——通过映射用户或机器通常的操作方式，它考虑了该用户的正常情况。如果他们是市场营销的一部分，那么他们的活动将与会计人员不同。UEBA构建的基线包括这个上下文，这有助于提高检测的准确性。

整体分析——UEBA能够从任何类型的安全工具中获取数据，并将其与其他上下文数据(如active directory或CMDB)结合在一起。这意味着你可以看到一个攻击的完整图片，而不是一个更大的谜题。

未来的证据- UEBA寻找异常，即使是正在展开的攻击从未见过。这意味着不需要获得新的签名，或者不断地创建和更新规则集。