派拉軟件再添身份安全新能力，帶你制勝“人機(jī)大戰(zhàn)”

回到當(dāng)下，我們發(fā)現(xiàn)，其實(shí)“人機(jī)大戰(zhàn)”早已在現(xiàn)實(shí)生活中不斷上演。與電影《黑客帝國(guó)》不同的是，現(xiàn)實(shí)中的“人機(jī)大戰(zhàn)”往往都是“人人大戰(zhàn)”，是有人在背后操控機(jī)器或工具發(fā)起攻擊或防護(hù)，也就是我們熟知的攻防對(duì)抗。

隨著AI技術(shù)的不斷完善，不法分子借助機(jī)器/工具，發(fā)起大規(guī)模、快速、自動(dòng)化攻擊越來(lái)越頻繁。根據(jù)Distil Networks發(fā)布的報(bào)告顯示，機(jī)器流量約占全網(wǎng)流量的40%，其中惡意機(jī)器流量約占20%。

因此，企業(yè)/組織作為防守方，如何快速、有效識(shí)別人機(jī)并進(jìn)行管控，是應(yīng)對(duì)許多網(wǎng)絡(luò)安全攻擊的有效手段之一。而事實(shí)上，據(jù)權(quán)威調(diào)查數(shù)據(jù)顯示，在網(wǎng)絡(luò)安全攻擊中，80%都是源于身份攻擊。

基于此，派拉軟件身份安全管理平臺(tái)再添新能力，在用戶注冊(cè)、登錄、登錄短信發(fā)送、密碼找回等身份安全場(chǎng)景中，注入人機(jī)識(shí)別能力，有效加強(qiáng)企業(yè)/組織身份威脅檢測(cè)與防護(hù)。

以遭遇攻擊最多的用戶登錄場(chǎng)景為例，通常這里的攻擊需要借助自制的自動(dòng)化工具，也可以理解為機(jī)器人。那機(jī)器人怎么攻擊呢？

我們都知道，用戶登錄需要的關(guān)鍵信息是賬號(hào)與密碼。不法分子要獲取這些賬號(hào)與對(duì)應(yīng)密碼的方式有很多種。其中，人機(jī)通常是最常用，也是最便捷的一種方式。

成熟的攻擊者往往會(huì)借助人機(jī)有效的在登錄各場(chǎng)景中發(fā)起各種攻擊，如驗(yàn)證碼爆破，賬號(hào)、密碼爆破，滑塊驗(yàn)證爆破等等。

而在所有的人機(jī)攻擊中，驗(yàn)證碼的爆破識(shí)別屬于第一步。為什么這么說(shuō)呢？因?yàn)楹芏鄠鹘y(tǒng)產(chǎn)品往往會(huì)通過(guò)對(duì)認(rèn)證登錄監(jiān)測(cè)頁(yè)面強(qiáng)制增加二次認(rèn)證來(lái)降低第一步的人機(jī)攻擊。

也就是說(shuō)在你進(jìn)入系統(tǒng)登錄界面之前，就開(kāi)啟一次驗(yàn)證。這種一刀切的方法，的確可以降低人機(jī)攻擊的行為，但也會(huì)造成很大的誤殺。

為了解決這種一刀切帶來(lái)的問(wèn)題，派拉軟件很早提出了多因素身份認(rèn)證平臺(tái)，通過(guò)設(shè)置各種潛在的威脅場(chǎng)景策略，只有當(dāng)用戶觸發(fā)威脅策略時(shí)，才開(kāi)啟加強(qiáng)驗(yàn)證保護(hù)。比如，在你密碼多次錯(cuò)誤后，自動(dòng)開(kāi)啟加強(qiáng)驗(yàn)證，如滑塊、短信驗(yàn)證等。

但這里其實(shí)也存在很多問(wèn)題。比如，不法分子通過(guò)機(jī)器人不斷的進(jìn)行惡意登錄發(fā)短信，你想想要是你領(lǐng)導(dǎo)不停的收到驗(yàn)證短信，是不是會(huì)抓狂？

所以，從一開(kāi)始就識(shí)別出人機(jī)，并在整個(gè)登錄場(chǎng)景中持續(xù)人機(jī)監(jiān)測(cè)才是真正有效解決問(wèn)題的關(guān)鍵。

為此，派拉軟件身份安全再增新能力。

殺手锏1：動(dòng)靜結(jié)合的分析模型

當(dāng)然，這樣每一步都要進(jìn)行無(wú)感化的人機(jī)檢測(cè)，肯定要保證系統(tǒng)的準(zhǔn)確性。

為此，派拉軟件通過(guò)對(duì)人機(jī)攻擊場(chǎng)景的深度研究發(fā)現(xiàn)，在傳統(tǒng)利用統(tǒng)計(jì)算法進(jìn)行模型訓(xùn)練的基礎(chǔ)上，對(duì)UEBA模型設(shè)計(jì)方面加入了兩部分優(yōu)化：

一方面，UEBA在模型訓(xùn)練階段加入模型調(diào)優(yōu)步驟，通過(guò)配置超參的方式，來(lái)動(dòng)態(tài)調(diào)整統(tǒng)計(jì)閾值，以此平衡因極端值造成的統(tǒng)計(jì)模型偏差；

另一方面，根據(jù)模型訓(xùn)練結(jié)果結(jié)合安全經(jīng)驗(yàn)，提供靜態(tài)的安全閾值。安全閾值在檢測(cè)中作為基線閾值來(lái)輔助動(dòng)態(tài)統(tǒng)計(jì)閾值完成人機(jī)行為識(shí)別。

通過(guò)這種動(dòng)靜結(jié)合的方式，不僅有效提升模型訓(xùn)練階段的準(zhǔn)確度，同時(shí)還能提升模型檢測(cè)效率。

殺手锏2：網(wǎng)關(guān)代理，應(yīng)用0改造

保證了人機(jī)檢測(cè)的準(zhǔn)確率，在系統(tǒng)部署層面，派拉軟件也提出了更加簡(jiǎn)便、低成本、無(wú)縫對(duì)接的輕量改造交付方案。

我們都知道在人機(jī)行為識(shí)別場(chǎng)景中，二次驗(yàn)證是必不可少的環(huán)節(jié)。人機(jī)模型對(duì)當(dāng)前實(shí)體（設(shè)備、用戶以及來(lái)源IP等）進(jìn)行異常識(shí)別，一旦發(fā)現(xiàn)當(dāng)前實(shí)體（設(shè)備、用戶以及來(lái)源IP等）存在人機(jī)攻擊行為，系統(tǒng)就會(huì)調(diào)用二次驗(yàn)證，對(duì)當(dāng)前實(shí)體進(jìn)行增強(qiáng)認(rèn)證。

傳統(tǒng)方案中，二次驗(yàn)證部分需要被檢測(cè)的應(yīng)用來(lái)配合實(shí)現(xiàn)。這就涉及到人機(jī)檢測(cè)模型與被監(jiān)測(cè)應(yīng)用的對(duì)接改造。所以，在人機(jī)識(shí)別方案中，不僅要考慮到企業(yè)的安全檢測(cè)需求，同時(shí)還需要考慮能否在復(fù)雜的應(yīng)用場(chǎng)景中完成輕量交付。

派拉軟件UEBA人機(jī)方案在設(shè)計(jì)中，充分考慮到應(yīng)用服務(wù)的差異性，提出網(wǎng)關(guān)組件方案，由網(wǎng)關(guān)承載被監(jiān)測(cè)應(yīng)用與人機(jī)模型的交互，以此解決因應(yīng)用老舊或改造工作量大導(dǎo)致人機(jī)模型方案無(wú)法落地使用問(wèn)題，讓企業(yè)實(shí)現(xiàn)真正的無(wú)縫對(duì)接、輕量部署。

當(dāng)然，這樣的身份安全防護(hù)能力與人機(jī)識(shí)別能力還可以用于惡意注冊(cè)、批量注冊(cè)等系列場(chǎng)景中。實(shí)際上，派拉軟件身份安全檢測(cè)與防護(hù)能力已經(jīng)覆蓋了賬號(hào)注冊(cè)、用戶登錄、單點(diǎn)認(rèn)證、應(yīng)用訪問(wèn)，也就是用戶應(yīng)用系統(tǒng)訪問(wèn)的全過(guò)程。

而派拉軟件也在持續(xù)基于2000+客戶身份安全建設(shè)與服務(wù)實(shí)戰(zhàn)經(jīng)驗(yàn)，貼合客戶實(shí)際業(yè)務(wù)安全需求，針對(duì)性的不斷完善不同業(yè)務(wù)應(yīng)用場(chǎng)景下身份安全檢測(cè)AI大模型，通過(guò)持續(xù)的學(xué)習(xí)，不斷優(yōu)化。