计算机专家一直在努力寻找保护企业和当局免受网络入侵的解决方案。这是因为有太多关于潜在攻击的模糊指标。有了PA-SIEM, IT经理就有了一个解决方案,可以有效地保护他们的系统,同时比传统软件更快地暴露数据窃贼和犯罪黑客。
2015年,当黑客攻击德国议会时,它成了头条新闻。令人担忧的是,这次攻击在相当长的一段时间内都没有被发现。事实上,它只是偶然被发现的,那时16gb的数据——主要由文档、电子邮件和键盘日志组成——已经落到未经授权的手中。类似这样的网络攻击经常袭击当局、企业和其他组织。作为最初的切入点,攻击者通常使用钓鱼电子邮件进入收件人的电脑,或者感染受害者经常访问的网站。就目前情况来看,IT安全专家几乎无法阻止这种情况的发生。尽管许多组织在其安全信息和事件管理(SIEM)系统中收集与安全相关的事件日志,但这些系统还包含大量有关合法日常操作的数据,如用户登录的详细信息和访问的网站的日志。计算机专家根本不可能从这无尽的数据海洋中找出暗示潜在攻击的警报。在现实中,SIEM系统通常类似于数据墓地。
从事件日志中检测和关联指标
在未来,将有可能揭示网络攻击更快。这要感谢德国波恩Fraunhofer通信、信息处理和人机工程学FKIE研究所的研究人员,他们与OTH Regensburg和NETZWERK GmbH的同事合作开发了SIEM系统的基于配置文件的异常检测软件PA-SIEM。PA-SIEM项目由德国联邦教育和研究部(BMBF)资助。“PA-SIEM不是仅仅依靠预定义的规则来检测网络攻击,而是根据不完整或薄弱的指标计算出典型的攻击模式,”FKIE的科学家拉斐尔•乌茨(Rafael Uetz)表示。“这使我们能够更快速、更有效地检测网络攻击。”
科学家们的工作基于三个步骤:首先,SIEM软件像往常一样从个人电脑和服务器收集事件日志。然后,在第二步中,特殊的算法扫描这些日志,查看任何异常或已知的威胁指示器——本质上是任何偏离标准行为的情况。搜索结果可能表明有攻击,但不一定。例如,攻击的迹象可能是一台计算机突然开始向互联网发送显著的大量数据。然而,这也可能只是一名员工向客户发送了异常大的文件。已经有系统可以检测到这种异常,但它们通常有很高的假阳性率。即使这一比率仅为每千分之一,也就是说每千分之一警报会被错误地识别为威胁,但根据公司的规模,它可以在一天内迅速引发数千个虚假警报。
一连串的事件铺就成功之路
Uetz解释说:“但关键是第三阶段:我们结合了指标,这使我们大大降低了错误率。”这可以用一个简单的数字例子来证明:对于一个指标,在90%的情况下是由攻击触发的,假阳性率将是10%。如果两个这样的指标连续出现,比如说,如果一封带有PDF附件的电子邮件进来,然后发送到互联网的数据量激增——这个比率已经从10%降到了1%。如果再增加第三次,假阳性率再次降低,现在只有0.1%。顺便说一句,德国议会有类似的一系列事件的牺牲品,而专家称为“入侵杀伤链”:攻击者首先发送一个鱼叉式网络钓鱼电子邮件安装恶意软件,进而捕获密码和管理员证书,因此给他们他们需要的所有信息窃取,删除和操作数据.PA-SIEM软件本可以更快地检测出整个事件。
了下:工业自动化
