超级会员免费看
前言
在数字时代,安全威胁如影随形,不断演变。从早期的安全运营中心(SOC)到如今的安全信息和事件管理系统(SIEM),再到当下大数据驱动的用户和实体行为分析(UEBA),人们一直在积极探索,运用各种技术和机制来检测安全威胁。UEBA 作为一种新兴的安全分析技术,借助机器学习算法对用户和实体行为进行深度分析。它不仅能够检测已知威胁,更具备识别未知威胁的能力,同时支持实时和离线两种检测模式。通过 UEBA,安全团队能够获得直观的风险评级和详尽的证据分析,从而及时响应并处理异常情况与安全威胁。
背景
传统恶意检测方法的局限性
在过往的安全防护工作中,恶意检测主要依赖于对异常行为设定规则进行判断,同时借助各种防御设备,如入侵检测系统(IDS)、Web 应用防火墙(WAF)等来监控网络流量。然而,这些系统存在着明显的扩展性问题。当网络流量突然大幅增长时,传统检测系统往往难以迅速做出响应,无法及时有效地识别潜在的安全威胁。
与此同时,基于流量的检测方式在可见性方面也存在不足。在交换机的接入层,由于成本限制,通常难以部署全面的检测设备,这就导致部分网络流量无法被有效监控。而且,这种检测方式难以获取其他网段的上下文信息来辅助分析,使得攻击者有机会通过巧妙的手段绕过检测设备,发动隐蔽攻击。
在终端层面,通过安装软件来监控设备之间的数据传输,虽然能够在一定程度上提升检测能力,但软件同样面临着可扩展性和可见性欠佳的问题。一方面,随着终端设备数量的不断增加,软件的部署和管理难度加大,难以实现大规模的有效监控;另一方面,由于软件自身的局限性,对于一些复杂的攻击行为,可能无法准确识别和处理。
传统安全产品的弊端
事实
订阅专栏 解锁全文
扫一扫
113
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
