博客

Threat Stack 为 ThreatML™ 添加了高级监督学习功能,以实现深度检测

约翰·平克汉姆缩略图
约翰·平克汉姆
2022 年 6 月 7 日发布

Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。

因为异常检测已不足以满足云原生安全的需求

到目前为止,保护云原生基础设施的组织必须依赖异常检测。 甚至这种机器学习的前景也受到技术困难和数据缺乏的限制,阻碍了深入的威胁检测。

不再。

Threat Stack 最新版本的 ThreatML 现在由监督机器学习提供支持。 ThreatML 可供 Threat Stack 客户使用,现已超越当前行业标准的异常检测。 ThreatML 提供基于行为的紧密集中、高效的威胁检测,采用深度检测方法,将 Threat Stack 复杂的规则集与监督机器学习相结合。

超越当前的入侵和威胁检测状态

DevSecOps 团队和其他安全小组在正确运行安全操作时不断受到限制。 根据最近对 200 多名 DevSecOps 团队主管和经理、CISO(首席信息安全官)、云安全工程师和架构师等人员的一项研究,云安全团队经常面临:

  • 人员配备问题/人手不足
  • 预算较少
  • 高管对“无附加值”的看法
  • 时间和资源需求
  • 日常事务中相互竞争的事项太多
  • 实现运营效率的压力

此外,越来越复杂的威胁正在产生不断演变的威胁和漏洞,安全团队需要时刻保持警惕。

大多数云安全供应商都希望提供云安全和运营效率的组合,因此他们尝试通过提供异常检测和报告来解决这些问题。 也就是说,他们开发的程序和解决方案专注于查找和报告与组织历史基线行为不同的项目。

为什么? 很简单: 仅显示异常或与正常基线行为不同的工具和解决方案不需要大量的调整、培训、分类或审查警报。 这为客户提供了必要的入侵检测方法,减轻了日常安全操作的压力。 事实上,一些公司夸口说每天只提供“几份”异常检测报告。 正如我们过去所写的那样,对生成的警报数量进行人为限制并不是一个好的指标——事实上,这可能对组织的云原生安全造成危险。 通过异常检测,组织必须始终问自己: 我们可以错过哪些威胁和入侵警报?

仅拥有这样一种检测方法是不够的。

有几个原因导致异常检测不足以确保云环境的安全:

  1. 与典型基线相比的异常、反常或离群行为并不总是一种威胁。 对此类行为发出警报可能会产生误报。
  2. 看似正常的行为并不一定意味着它是好的。 仅仅因为规则认为某些行为正常而忽略它们会产生假阴性。

仅提供一种检测方法(例如异常检测)的工具会错过表明真正威胁的关键行为。 这些系统的设计目的只是为了让不同的东西浮现出来。 简而言之,单独使用异常检测会为了运营效率而牺牲安全性。

Threat Stack 如何根据客户反馈扩展 ThreatML

当 Threat Stack 的工程团队与客户交谈时,事情变得越来越明显: DevSecOps 和其他云安全团队需要一个能够提供多种解决方案的强大、创新的云安全工具。 它必须:

  1. 全面覆盖已知和未知的安全威胁;
  2. 消除假阴性;
  3. 识别并处理误报
  4. 保持较低的运营限制
  5. 将调查结果限制于真实、可操作的威胁
  6. 创建不会错过关键行为的过滤器和模型
  7. 易于部署、管理和日常运行

超越异常检测,深入威胁检测

为了满足这些客户需求,Threat Stack 希望创建一种深度检测方法,可以发现已知和未知的威胁,同时消除误报。 目标是推进异常检测并更好地描绘客户环境。

解决方案? ThreatML的高级版本,它使用监督学习,通过深度检测的方法对行为进行高效的威胁检测。 Threat Stack 对云安全监督学习的新颖使用,使安全团队能够在提供运营效率的同时保障其组织的数据安全。

具有监督学习的 ThreatML: 机器学习做得对

供应商不利用监督学习的一个主要原因是,使用它需要每天标记数十亿个事件来训练算法。 换句话说,监督学习需要数据,大量的数据,而且这些数据必须被分类。 而且,数据分类可能是一项极其耗费人力的活动,需要许多数据工程师。

ThreatML 采用一种新颖的监督学习方法,利用 Threat Stack 的广泛规则引擎实时对每天超过 600 亿条数据进行分类和标记。 这种大规模标记数据是充分发挥监督学习潜力的必要条件。

一旦行为通过规则引擎,就可以进行分析。 Threat Stack 创建了一个推理引擎,它使用标记和分类数据来预测行为。 推理引擎根据周围事件的数据确定行为是否可以预测。 不可预测的行为代表高优先级威胁,会以警报的形式向客户发出。

在我们的规则引擎中添加监督学习,为 Threat Stack 客户提供了多种检测方法来捕获对其云环境的威胁。 它允许组织回答以下问题: “考虑到该工作负载的历史行为,这种行为是否可以预测?” 可预测的行为可以被安全地忽略,而不可预测的行为则代表着真实的、可操作的威胁。

因此,ThreatML 允许客户只关注其环境中最高优先级的威胁。 这限制了警报疲劳并消耗更少的资源。 监督学习方法依靠规则自动、持续地训练模型,为客户提供一种低接触的方式来获得高效的威胁检测。 它与运营效率异常检测的承诺类似 - 但监督学习方法不会错过对组织环境的最高优先级威胁。

如需讨论 Threat Stack 具有监督学习功能的新型 ThreatML 如何帮助贵组织的日常云安全运营,请立即联系我们。

Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。