当内部机器学习转而针对边界发起攻击时，我们该做什么。

　　机器学习推动企业安全进步，提升内部网络中的可见性以更好地理解用户行为。然而，恶意黑客正利用机器学习的内部作为，来攻击企业边界。

　　特别需要指出的是，此类攻击包括：DNS隧道、Tor网络连接，以及向目录服务发送流氓身份验证请求。我们通常看到的，是网络钓鱼，从电汇骗局到恶意软件投放。基本上，发现被扫描了，就是黑客在尝试漏洞利用了。

　　尽管DNS隧道不像以前那么普遍，攻击者相信，绝大多数人不会监视他们的DNS，也就令黑客有了绕过代理服务器和防火墙染指内部数据的可能。

　　Tor匿名网络连接也让防御团队越来越头疼，因为防护该环境的代价太高了。只要没捕捉到初始网络包，后面的每个包都像是正常的SSL流量。有些恶意软件确实使用Tor，防御起来绝对难，就看攻击者愿意在这上面花费多少精力了。

　　另一个需要持续监视的威胁，是身份验证请求发送。目录服务的身份验证可让黑客获悉网络中服务器的更多情报，包括名字、用户和口令。

　　查看机器的时候，需要在无人操作的情况下观察机器行为表现。

　　从安全角度看，人机互动时是很难检测异常的。无论机器操作正常与否，总有人触发了该行为。

　　更多的时候，在一台被入侵的机器上，难以看出到底发生了什么。DNS隧道是个经典威胁，也就是某人在某台机器上安装了点软件，通过服务器和IP地址间的解析协议来渗漏数据。

　　黑客从中领悟到的，就是DNS非常“健壮”好用。里面包含了元信息，有自由文本字段（即域名长度无限制），可以用来输入任意信息。通过切分文件填入该自由字段再在网外重组，黑客便可以操纵DNS来渗漏数据。

　　由于DNS是必须的协议，从安全或网络监控的角度都看不出什么问题。机器有DNS策略，服务就在机器本身，不需要人机互动。内网中这些东西太常见了。

　　问题就在于：黑客会试图操纵能访问到特定数据的机器，用那台机器来渗漏数据，而安全员甚至不能白名单或黑名单掉DNS访问。

　　关于机器威胁，没有一个明确的定义，也没有一致的公认的理解。正在进行的攻击总能很快找到适应方式，快速制造出新的恶意程序变种。

　　机器威胁就是我们在内部使用的机器学习，被拿到外部来针对我们的边界发起攻击。恶意黑客尝试使用机器学习技术针对防御团队，就是机器威胁。

　　坏人太精于全球范围内追踪各大公司了，他们如今也有了利用自动化技术收集公开信息，执行大量攻击的能力。每个季度都会连同多种攻击元素出现500到600亿个新攻击。以前还需要人工分析数据，现在，全都自动化了。

　　自动化让黑客能够比以前收集更多的情报。其实，极少有人知道正常的网络流量长啥样。黑客们利用连接、运营商、运营商电话、健康核查、模仿分析等手段，收集额外情报。

　　安全人员确实在监视流量，但以前他们能观察到有人主动扫描网络，如今，这些人能够利用恶意代码收集更多的信息，IoT空间中的信息简直是巨量的。

　　回归基础，或许会是最佳防御措施。技术发展确实很快，但我们需要回归基础。应用程序应该在端口表现出特定类型的数据传输。我们需要清晰定义出好流量的标准。只要流量偏离了标准，那就可能是不良流量。

　　依靠建模和机器学习，是已知Tor网络IP访问封锁的有力补充。有人的工作确实需要用到Tor网络，但人的行为都是有章可循的。比方说，我们可以设置访问规则为：有键盘操作，或在工作时间段内，才允许访问Tor网络。

　　大多数情况下，缓解这些威胁需要教育和培训。经常性的代码审查和开发人员培训，可以降低风险，减少漏洞。

　　编程是重要一步。互联网和全球各种运营商让脏数据堆到我们门前。作为数据消费者，我们必须要求他们清理管道。

　　大家都厌烦了接连不断的数据泄露和攻击。创建更加清晰的运营商和公司责任清单，将有助于扫清这些肮脏的信息管道。

　　我们需要了解哪些数据在进出我们的环境。非公司或国家加密的加密流量肯定是会有的，如果没有密钥，那就封掉好了。

　　清理过程中，减少层次，简化整合是必要的。需要布设的技术数量正被快速整合，简化也将变得更加关键。
第三十六届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。