能否预测下一个安全漏洞?

标签:安全漏洞

访客:19171  发表于:2015-09-21 10:25:18

据美国政府问责局称,美国国税局(IRS)在2013年支付了58亿美元退税,但是他们随后在这些退税中发现存在欺诈行为。对于肯塔基税务局来说,这条新闻并不奇怪,他们如今正在采取行动,利用预测分析来查处不断增加的欺诈行为。

能否预测下一个安全漏洞?

预测分析可以通过公开获取的和秘密来源数据判断出未来的行为。通过分析已经发生的事件,机构可以在任何危及机构物理基础设施安全、人力资本或知识产权的事件发生前探测到可能会发生什么。

肯塔基税务局(DOR)已经在适当的位置设置了一个自动的批处理程序,根据特定的标准搜索欺诈征兆。不过,肯塔基税务局并没有透露这些特定标准的详细信息。肯塔基税务局税收政策研究顾问Melody Tudor称,即便使用的是老系统,肯塔基税务局还是阻止了800万至1000万美元的欺诈性纳税申报。尽管如此,他们还需要采取更多的措施,因为“欺诈者如今正变得越来越狡猾。”

Tudor和她的团队已经引入了SAS的政府税收执法欺诈架构(Fraud Framework for Government Tax Enforcement)软件和咨询人员以探索如何利用预测分析强化他们的辨别能力。他们向SAS提供了六年的数据,要求SAS从他们已经处理的检查清单中找出可疑的地方。虽然Tudor并不能确信他们能够发现什么东西,但是她认为她们应当重新检查一下团队已经完成的工作。

SAS提供了一个独特的洞察力,如能够发现来自相同IP地址的相似申报单,而这可能暗示着其中存在着欺诈行为。SAS还能够更为高效地分析小额退税,以确认申报人没有恶意进行多次退税申报。

Tudor的团队在去年对该工具进行了测试,并在今年的纳税申报时期让它们与现有系统平行运行。SAS的工具在2015年年初的几个月里成功地额外阻止了100万美元的欺诈行为。Tudor称,她预计到今年年底这一数额将会翻一倍。

预测分析已经被认定非常具有价值。她称:“我们之前使用的工具虽然也很有帮助,但是它们在大量的退税中无法快速识别一些花招和反常现象。如今我们可以更有效地使用这些海量数据,将不正确的退税拒之门外。”

预测需要耐心

SANS Institute通过调查发现,尽管肯塔基税务局给予了预测分析高度的评价,但是一些机构还是难以发现它们的整个潜力。在2014年的调查中,仅29%的受访者在使用这些智能工具和服务,较2013年的38%出现了下降。

SANS Institute 的认证讲师Phil Hagen 称:“目前虽然市场上已经有许多解决方案,但是许多机构认为这些解决方案都难以被部署。他们正在花时间评估他们是否有足够的人力资源来评估和整合这些智能工具和服务。”

Hagen称:“如果我们今天不能部署预测分析解决方案,那么我们明天就不会得到它们的价值。它们需要成为常态化后才能发现线索和异常。”

即便是最为复杂的预测分析软件也需要人的介入。例如,一旦肯塔基税务局的工具(无论是现有的检查清单还是SAS工具)怀疑有欺诈行为,退税工作将转入人工检查评估环节。Hagen 警告称:“预测分析仅仅擅长于我们灌输给它们的先验知识和我们提出的问题。”

预测分析项目必须要由数据科学家们主导,而不是安全团队。Hagen 认为:“安全团队只是数据的消费者而不是创建者。”

总部位于弗吉尼亚州阿林顿的Surescripts的首席信息安全官Paul Calatayud领导着一个由数据科学家组成的团队。他认为预测分析是公司防范欺诈、数据丢失与盗窃的最佳防御方法之一。Surescripts为一家健康信息网络公司,平均每年负责路由和处理70亿次交易。

由于存储着约2.3亿病人13年的数据,Calatayud必须要先于不法分子和黑客一筹解决存在的安全隐患。他称:“我们所有的合同都依赖于我们确保系统安全性的实力。如果我们的公司发生数据丢失,那么我们也将不复存在。”

Surescripts通过Splunk Enterprise来执行独立的风险计算,发现异常现象。Surescripts的高管们需要同时担心来自内部和外部的威胁,包括用户证书窃贼和/或滥用以及员工不端行为。例如,Splunk Enterprise警告Surescripts应当关注是否有儿科医生开出了七十岁老年人药物,而根据医生个人档案他是没有资格治疗老年病人的。

Splunk Enterprise还负责监控和汇集来自如Active Directory、防火墙、身份与访问管理软件、文档与打印服务器、云应用等原数据点的数据,以分析用户行为。

如果员工访问和传输文件的频率同于正常水平,或是他在LinkedIn等社交平台上过于活跃并且反复更新个人简历文件,那么Splunk Enterprise将认为该员工将离开公司并向Calatayud发出警报。这些行为可能暗示着这名员工将会辞职,并可能会下载专有或是受到保护的健康数据。得到警报后,Calatayud会加大监控力度,并与人力资源部门和该名员工的主管联系,如果需要他们还会中止这名员工的访问权限。

Calatayud称关键还必须与如法务部门、人力资源部、隐私/合规团队、通信、外部执法机构和IT部门等必要的部门实施危机管理桌面演练。这样当出现可疑活动时能够快速响应。他称,如果Surescripts的某位员工的警告值已经达到临界,那么这名员工必须在四个小时内离开公司。Calatayud称,预测分析正在成为公司安全资产中的一部分。

创建自己的解决方案

防务合同商洛克希德-马丁公司分析与任务解决方案副总裁Jason O'Connor称,可以被挑选出来用于侦测威胁的数据源如今在数量上对于许多机构来说已经超出了他们的处理能力,尤其是在社交媒体使用量不断增长的情况下。

他称:“随着威胁变得越来越近实时化,出手需要比这些威胁更快才行(+微信关注网络世界),这就需要进行预测。在过年十年当中几乎每年都会发生重大地缘政治事件,互联网上会有大量的相关信息。”

七年前,洛克希德-马丁公司通过自己的数学家和科学家开发了一个可以预测社会动荡和生物疫情等事件的分析引擎以应对这一挑战。O'Connor 称:“我们不仅希望在战术层上看到将发生什么,我们还希望能够在可推断或是评估结果的数据中找到一些特征和征兆。”

在内部获得成功后,洛克希德-马丁公司在市场上向其供应商和合作伙伴推出了商业化的分析引擎LM Wisdom。目前他们仍然在内部使用LM Wisdom以处理如供应链分析等重大安全问题。

洛克希德-马丁公司有数千家供应家帮助制造平台或是产品,这些供应商都会带来风险。他们需要对供应商进行监控防止出现假零件和材料,需要监控的包括他们的社交媒体动态、网站和互联网商店。LM Wisdom的预测模式可以评估出供应商提供假货的可能性。

O'Connor 称:“没有供应商会说‘过来买假零件吧’,但是LM Wisdom会研究内容和推销材料中的语言特征以及供应商所销售商品的类型。”员工可能使用这些由系统生成的模型核实那些受到信任的供应商,防止出现假货,降低零件交付、零件完整性和遇到奸商的风险。

早期预警以保护人员安全

预测分析还能够被用于保护人力资产,如国际援助机构的志愿者或是跨国石油天然气公司的员工。在一些特定地区,工人会遇到绑架并被勒索数百万美元的赎金。智能软件制造商Expert System USA的首席执行官Luca Scagliarini称,通过监控政治团体的当地社交媒体动态、新闻发布等情况,机构可以预测出外点附近的动荡并要求工人待在保护区内。

对地区动荡的洞察力可以用于弥补有形资产的弱点,降低供应链的风险。通过分析相关社交媒体流和其它数据,石油公司可以对港口罢工进行早期预警,避免满载货物的油轮被困在这些码头上。

企业管理协会安全与风险研究主管David Monahan称,在私营领域,由于可以从公有开源服务和私有付费服务那里获得更多信息,因此预测分析可能会运行的更为出色。

“多个数据提供商通常只是整个策略中的一部分,因为他们只擅长自己关注的领域。”提供商通常会选择聚焦于一些特定的威胁,如人员、地缘政治、有形或信息资产等方面。他认为,除了这些商业来源外,政府机构还有他们自己的数据收集方法。

Monahan 称:“每个机构都会对可能影响他们的事情进行风险预测,并且对他们希望发生的事情有着风险承受能力。尽管没有人真的会 ‘钱不是问题’,但那些有着很高的受攻击风险的公司显然会为预测分析编列更多的预算。”这也就是说,随着预测分析工具的价格越来越亲民,越来越容易使用,它们毫无疑问将具有更大的吸引力。

来源:网界网

能否预测下一个安全漏洞?

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");