Awake Security Platform：一款用NTA实现恶意行为检测的工具

随着企业及各类组织机构逐渐将网络的使用转向云和远程，传统网络的定义在逐渐发生变化。同样，物联网设备的使用越来越多，加密和影子系统的使用越来越频繁，我们也就可以理解，为什么一直以来在保持网络和系统安全方面的问题都得不到妥善的解决。

更重要的是，网络犯罪分子也在不断的改变策略：他们越来越依赖恶意软件，并开始将攻击目标转移到窃取合法凭证上，并通过使用已部署在常规环境中的工具生存下来，例如python的脚本、powershell、WMI、PsExec或Microsoft Office的宏命令等。

恶意行为的检测是一项挑战，尤其是在其已经与合法行为相结合的情况下，企业试图通过传统的网络取证工具（如RSA NetWitness）以及一些网络流量分析（NTA）工具（如Darktrace）来解决这些问题。现在，越来越多的服务需求方开始向二者相结合的技术方向发展，这便是Awake Security出现的原因。

网络个体追踪

Awake安全平台可用于分析通信，无论是传统网络数据包，还是vSwitch流量，或者来自云以及针对SaaS应用程序、无服务计算实例的API调用，均可通过Awake平台实现，同时它还侧重于安全团队不可见的运营技术网络。

Awake首席执行官Rahul Kashyap表示，这个安全平台通过传统的网络SPAN或TAP/云TAP/虚拟交换机TAP/SaaS API链接，以访问数据包、通信等，然后，我们通过对这些所得数据等实时分析发现企业或组织机构中的“资产”（设备、用户、应用程序等）以及通信另一方的域来构建安全知识图（我们将其称为EntityIQ）。

Awake Security Platform自动识别和追踪网络上的业务资产

其针对网络上的个体的发现和分析是自主完成的，该平台执行完整数据包和加密流量分析，不依赖（可更改的）IP地址进行追踪。

检测恶意行为和意图

一旦对网络目标进行了分析，该平台就会将行为及其关系进行归类。然后针对性的解决方案就会通过这些个体的属性和行为中提取数百万个信号以及原始通信和网络数据、威胁情报和用户行为分析来检测新的攻击者策略。这些信号将会交于Awake的神经网络和机器学习模型分析。在此过程中，该平台通过相似性分析对网络个体进行聚类，从而可以更好的发现表现出恶意意图的异常数据。

这种方法有效的避开了时间因素、多个网络协议和流的攻击者策略，以及技术和程序（TTP），该公司的研究团队致力于通过于MITRE ATT和CK框架报纸一致来确保TTP的广泛覆盖。

平台成功识别4个IP电话，用于提供语音呼叫信息

Kashyap指出，通过对时间和每个个体行为追踪的分析，我们可以发现网络中的威胁行为、恶意行为以及已知的各类指标。安全团队还可以自行对目标信息进行增补。平台会对每个网络目标提供类似风险评级的信用评分，以及详细的行为和时间戳，向用户说明高风险的原因。

Awake平台根据风险对网络环境中的目标进行评分

每个结果信息都可以通过产品界面进行访问，也可以于企业或组织的SIEM一起使用，并集成到EDR中。可以与业务流程平台的集成，可以与防火墙/代理等相连接。

额外功能添加

随着网络攻击技术的发展，Awake平台也能够进行同步发展。

与亚马逊采取的Alexa平台方法类似，Awake提供了一个开放式平台，能够允许用户通过当前可用的方法具体解决新问题，而不是强制使用整个解决方案来应对最新威胁。

对此，Kashyap表示，Awake平台，分析师可通过一种名为QueryIQ的语言对其进行访问和其他操作。该语言有一个词汇表，可以为平台添加新的检测和响应技能。具体而言，Awake允许用户自行使用这种语言依据实际需求对其进行更改。

Awake平台可以创建新的检测功能，以适应不断变化的网络威胁

加入一个普通的网络攻击者正在使用powershell这种工具连接到类似Twitter这样的已知网站，那么便可以通过“命令和控制—检测这种行为”这样简单的方式对其进行检测，非常易于操作，甚至不需要专门耗时去处理。同样，当一个客户在使用这个平台的时候，如果他担心他们的员工会遭到钓鱼欺骗，那么就可以构建一种检测机制来发现那些虚假的网站或邮箱账号。

任何Awake平台的使用者都可以访问针对域名的攻击信息

简而言之，Awake Security Platform的出现，使得其公司成为了先进的网络流量分析（NTA）解决方案的提供者，可广泛用于各类安全工作者、威胁猎手以及CSO们。

*参考来源： helpnetsecurity ，Karunesh91编译，转载请注明来自FreeBuf.COM