當內部機器學習轉而針對邊界發起攻擊時，我們該做什么。

機器學習推動企業安全進步，提升內部網絡中的可見性以更好地理解用戶行為。然而，惡意黑客正利用機器學習的內部作為，來攻擊企業邊界。

特別需要指出的是，此類攻擊包括：DNS隧道、Tor網絡連接，以及向目錄服務發送流氓身份驗證請求。我們通常看到的，是網絡釣魚，從電匯騙局到惡意軟件投放。基本上，發現被掃描了，就是黑客在嘗試漏洞利用了。

盡管DNS隧道不像以前那么普遍，攻擊者相信，絕大多數人不會監視他們的DNS，也就令黑客有了繞過代理服務器和防火墻染指內部數據的可能。

Tor匿名網絡連接也讓防御團隊越來越頭疼，因為防護該環境的代價太高了。只要沒捕捉到初始網絡包，后面的每個包都像是正常的SSL流量。有些惡意軟件確實使用Tor，防御起來絕對難，就看攻擊者愿意在這上面花費多少精力了。

另一個需要持續監視的威脅，是身份驗證請求發送。目錄服務的身份驗證可讓黑客獲悉網絡中服務器的更多情報，包括名字、用戶和口令。

查看機器的時候，需要在無人操作的情況下觀察機器行為表現。

從安全角度看，人機互動時是很難檢測異常的。無論機器操作正常與否，總有人觸發了該行為。

更多的時候，在一臺被入侵的機器上，難以看出到底發生了什么。DNS隧道是個經典威脅，也就是某人在某臺機器上安裝了點軟件，通過服務器和IP地址間的解析協議來滲漏數據。

黑客從中領悟到的，就是DNS非常“健壯”好用。里面包含了元信息，有自由文本字段(即域名長度無限制)，可以用來輸入任意信息。通過切分文件填入該自由字段再在網外重組，黑客便可以操縱DNS來滲漏數據。

由于DNS是必須的協議，從安全或網絡監控的角度都看不出什么問題。機器有DNS策略，服務就在機器本身，不需要人機互動。內網中這些東西太常見了。

問題就在于：黑客會試圖操縱能訪問到特定數據的機器，用那臺機器來滲漏數據，而安全員甚至不能白名單或黑名單掉DNS訪問。

關于機器威脅，沒有一個明確的定義，也沒有一致的公認的理解。正在進行的攻擊總能很快找到適應方式，快速制造出新的惡意程序變種。

機器威脅就是我們在內部使用的機器學習，被拿到外部來針對我們的邊界發起攻擊。惡意黑客嘗試使用機器學習技術針對防御團隊，就是機器威脅。

壞人太精于全球范圍內追蹤各大公司了，他們如今也有了利用自動化技術收集公開信息，執行大量攻擊的能力。每個季度都會連同多種攻擊元素出現500到600億個新攻擊。以前還需要人工分析數據，現在，全都自動化了。

自動化讓黑客能夠比以前收集更多的情報。其實，極少有人知道正常的網絡流量長啥樣。黑客們利用連接、運營商、運營商電話、健康核查、模仿分析等手段，收集額外情報。

安全人員確實在監視流量，但以前他們能觀察到有人主動掃描網絡，如今，這些人能夠利用惡意代碼收集更多的信息，IoT空間中的信息簡直是巨量的。

回歸基礎，或許會是最佳防御措施。技術發展確實很快，但我們需要回歸基礎。應用程序應該在端口表現出特定類型的數據傳輸。我們需要清晰定義出好流量的標準。只要流量偏離了標準，那就可能是不良流量。

依靠建模和機器學習，是已知Tor網絡IP訪問封鎖的有力補充。有人的工作確實需要用到Tor網絡，但人的行為都是有章可循的。比方說，我們可以設置訪問規則為：有鍵盤操作，或在工作時間段內，才允許訪問Tor網絡。

大多數情況下，緩解這些威脅需要教育和培訓。經常性的代碼審查和開發人員培訓，可以降低風險，減少漏洞。

編程是重要一步。互聯網和全球各種運營商讓臟數據堆到我們門前。作為數據消費者，我們必須要求他們清理管道。

大家都厭煩了接連不斷的數據泄露和攻擊。創建更加清晰的運營商和公司責任清單，將有助于掃清這些骯臟的信息管道。

我們需要了解哪些數據在進出我們的環境。非公司或國家加密的加密流量肯定是會有的，如果沒有密鑰，那就封掉好了。

清理過程中，減少層次，簡化整合是必要的。需要布設的技術數量正被快速整合，簡化也將變得更加關鍵。