登录/ 注册
 找回密码
 立即注册
关闭

CSDN热搜

程序园 精品问答 技术交流 资源下载
返回列表 发新帖
首页 业界区 安全 读红蓝攻防:技术与策略08威胁生命周期管理 ...

读红蓝攻防:技术与策略08威胁生命周期管理

硫辨姥 3 天前

1. 用于终结网络杀伤链的安全控制措施

1.1. 有效的安全控制措施

  • 1.1.1. 检测

    • 1.1.1.1. 在此安全控制中,组织将确定攻击者为获取系统访问权限进行的所有尝试
    • 1.1.1.2. 包括外部人员试图确定系统的潜在漏洞而对系统进行的扫描

  • 1.1.2. 拒绝

    • 1.1.2.1. 挫败正在进行的攻击
    • 1.1.2.2. 当安全团队获得任何可能攻击的信息时,应该迅速行动以阻止攻击

  • 1.1.3. 中断

    • 1.1.3.1. 包括安全团队努力拦截攻击者和系统之间的任何通信并中断这种通信
    • 1.1.3.2. 通信可能是攻击者在执行攻击之前对系统所做的查询的反馈,以确定系统的各种元素

  • 1.1.4. 降级

    • 1.1.4.1. 包括开发和实施各种旨在降低攻击强度的措施,以限制这些攻击的损害

  • 1.1.5. 欺骗

    • 1.1.5.1. 包括实施各种措施,通过向攻击者提供有关组织中资产的虚假信息来故意误导攻击者

1.2. 侦察阶段

  • 1.2.1. 通过网络分析、网络入侵检测系统和威胁情报完成检测
  • 1.2.2. 通过防火墙访问控制列表和信息共享策略实现拒绝
1.3. 武器化阶段

  • 1.3.1. 通过使用威胁情报和网络入侵检测系统实现检测
  • 1.3.2. 通过使用网络入侵防御系统实现拒绝
1.4. 投送阶段

  • 1.4.1. 使用端点恶意软件防护措施进行检测
  • 1.4.2. 使用代理过滤器和基于主机的入侵防御来实现拒绝
  • 1.4.3. 通过内嵌防病毒软件实现中断
  • 1.4.4. 通过排队实现降级
  • 1.4.5. 通过应用程序感知防火墙和区域间网络入侵检测系统实现遏制
1.5. 利用阶段

  • 1.5.1. 通过端点恶意软件保护完成检测
  • 1.5.2. 通过补丁管理实现拒绝
  • 1.5.3. 数据执行保护可能会导致中断
  • 1.5.4. 通过信任区域和区域间网络入侵检测系统实现遏制
1.6. 安装阶段

  • 1.6.1. 通过使用安全信息和事件管理系统来完成检测
  • 1.6.2. 通过使用强密码和权限分离来实现拒绝
  • 1.6.3. 通过路由器访问控制列表实现中断
  • 1.6.4. 通过信任区域和区域间网络入侵检测系统实现遏制
1.7. 指挥控制阶段

  • 1.7.1. 使用基于主机的入侵检测系统进行检测
  • 1.7.2. 通过使用防火墙访问控制列表和网络分段来实现拒绝
  • 1.7.3. 通过基于主机的入侵防御系统完成中断
  • 1.7.4. 通过陷阱完成降级
  • 1.7.5. 通过域名系统重定向完成欺骗
  • 1.7.6. 通过域名系统漏洞实现遏制
1.8. 针对目标行动阶段

  • 1.8.1. 通过使用终端恶意软件保护和安全信息及事件管理(Security Information and Event Management,SIEM)进行检测
  • 1.8.2. 通过静态数据加密和出口过滤实现拒绝
  • 1.8.3. 通过端点恶意软件保护和使用数据丢失预防系统来完成中断
  • 1.8.4. 通过服务质量完成降级
  • 1.8.5. 通过蜜罐系统实现欺骗
  • 1.8.6. 通过事件响应程序和防火墙访问控制列表实现遏制
1.9. 威胁生命周期管理的目标是在尽可能早的阶段阻止攻击,这对于打破杀伤链特别有用
1.10. 允许组织在威胁行为者到达最具破坏性的阶段之前阻止他们通过网络杀伤链前进
2. 使用UEBA

2.1. UEBA是用户和实体行为分析(User and Entity Behavior Analytics)的缩写
2.2. 对于打击APT至关重要而且有效
2.3. 网络杀伤链主要关注APT攻击,因为它们是攻击者可能对你的组织实施的最具破坏性的攻击
2.4. APT攻击是高级形式的攻击,可能需要数年的计划
2.5. UEBA是利用分析技术的安全工具,包括使用机器学习来识别特定系统用户中的异常和危险行为
2.6. 由于攻击者无法模仿正常的用户行为,因此UEBA是对抗APT的一种极其有效的技术
2.7. 事实证明,当训练分析工具的机器学习模型有一个庞大的数据库可供学习时,它会更加有效
2.8. 随着UEBA工具获得更多的数据,它变得更加有效,并变得更容易识别系统中的异常,因此增强了抵御高级持续攻击的能力,提升了安全性
2.9. UEBA可用于破坏杀伤链之后的APT,并且提高员工在网络杀伤链等领域的安全意识,可以为公司的安全立场带来巨大成果
3. 安全意识

3.1. 在许多组织中,普通员工的安全意识起着至关重要的作用
3.2. 组织中的普通员工可以作为网络安全战略的重要组成部分,这可以从许多普通员工挫败网络攻击的案例报道中得到证明
3.3. 解决这个问题的方法是提高员工的安全意识

  • 3.3.1. 识别正在进行的攻击,并向安全团队报告系统中的异常情况
  • 3.3.2. 人类用户是系统中最大的缺陷和潜在的弱点之一

    • 3.3.2.1. 即使对于被认为是不可破解的系统,人为因素也总是会给系统带来可被利用的弱点
    • 3.3.2.2. 用户可能会因被欺骗而透露密码或有关系统的信息,攻击者无法通过入侵系统获得这些信息
    • 3.3.2.3. 可能被迫透露这些信息

  • 3.3.3. 一些网络安全战略包括策略的制定和这些策略的实施

    • 3.3.3.1. 确保普通员工掌握安全知识,使得他们能够提高他们在工作时处理的数据和管理的信息资产的安全性,这是至关重要的

  • 3.3.4. 仅仅关注网络安全战略的技术方面是不够的

    • 3.3.4.1. 在网络安全战略中,人的因素和技术一样重要
    • 3.3.4.2. 有针对性和个性化的攻击已经被确定为攻击者用来渗透系统的主要方法
    • 3.3.4.3. 当攻击者以某个组织的员工为目标,并找到一组不精通技术但可以访问该组织系统的员工时,获得系统访问权限的便利性就会增加

  • 3.3.5. 组织要确保安全防御系统中考虑了与组织相关的所有要素,包括系统的用户

    • 3.3.5.1. 系统中任何被忽略的元素都将成为组织安全方面的弱点
    • 3.3.5.2. 攻击者总是试图进入系统,测试公司系统中的漏洞
    • 3.3.5.3. 任何弱点都是攻击者可能利用的潜在漏洞
    • 3.3.5.4. 一个有效的系统可以确保所有潜在的漏洞在被利用之前就被识别和封装

4. 威胁生命周期管理

4.1. 在威胁生命周期管理方面的投资,可以使组织在攻击发生时立即阻止攻击
4.2. 网络犯罪正在增加的原因

  • 4.2.1. 有更多有动机的威胁行为者

    • 4.2.1.1. 对于一些人来说,网络犯罪已经成为一种低风险、高回报的业务

  • 4.2.2. 网络犯罪经济和供应链的成熟

    • 4.2.2.1. 如今,只要网络罪犯能够支付相应的金额,就能够得到大量待售的漏洞和恶意软件
    • 4.2.2.2. 网络犯罪已经成为一项业务,它有充足的供应商和有意愿的买家
    • 4.2.2.3. 随着黑客主义和网络恐怖主义的出现,买家正在成倍增加,这导致违规事件的数量史无前例地增加

  • 4.2.3. 组织攻击面的不断扩大使得入侵事件呈上升趋势

    • 4.2.3.1. 新技术的采用,带来了新的漏洞,从而扩大了网络犯罪分子可以攻击的范围
    • 4.2.3.2. 物联网(Internet of Things,IoT)作为组织技术的最新补充之一,已经让不少企业遭受黑客攻击
    • 4.2.3.3. 如果组织不采取必要的防范措施来保护自己,未来的前景将暗淡渺茫

4.3. 使用适当的工具和思维,这些攻击本可以在足够早的时间内得到缓解,以防止带来任何损害
4.4. 取证数据收集阶段

  • 4.4.1. 威胁生命周期管理框架的第一阶段是取证数据收集
  • 4.4.2. 在检测到全面威胁之前,在IT环境中可以观察到一些证据
  • 4.4.3. 在这个阶段有三类适用的活动

    • 4.4.3.1. 组织应该收集安全事件和告警数据
    • 4.4.3.2. 日志和机器数据的收集
      4.4.3.2.1. 通过此类数据可以更深入地了解每个用户或每个应用程序在组织网络中实际发生的情况

    • 4.4.3.3. 收集取证传感器数据
      4.4.3.3.1. 取证传感器甚至更深入,当日志不可用时,它们会派上用场


4.5. 发现阶段

  • 4.5.1. 这是在组织建立可见性,从而可以足够早地检测到攻击之后进行的
  • 4.5.2. 实现方式

    • 4.5.2.1. 搜索分析
      4.5.2.1.1. 组织中的IT员工用这种方式执行软件辅助分析
      4.5.2.1.2. 他们能够查看报告,并从网络和防病毒安全工具中识别任何已知或报告的异常

    • 4.5.2.2. 使用机器分析
      4.5.2.2.1. 纯粹由机器/软件完成的分析
      4.5.2.2.2. 该软件具有机器学习能力,因此具有人工智能功能,能够自主扫描大量数据,并向人们提供简短和简化的结果以供进一步分析


4.6. 鉴定阶段

  • 4.6.1. 在此阶段会对前一阶段发现的威胁进行评估,以找出它们的潜在影响、解决问题的紧迫性以及如何削弱它们
  • 4.6.2. 这一阶段对时间敏感,因为已识别的攻击可能比预期更快成熟
  • 4.6.3. 误报是一个很大的挑战,必须确定它们,以防止组织使用资源应对不存在的威胁

    • 4.6.3.1. 缺乏经验可能会导致漏掉真阳性而包含假阳性
    • 4.6.3.2. 合乎逻辑的威胁可能不会被注意到,也不会受到关注

  • 4.6.4. 这是威胁管理流程的敏感阶段
4.7. 调查阶段

  • 4.7.1. 调查阶段将对被归类为真阳性的威胁进行全面调查,以确定它们是否造成了安全事故
  • 4.7.2. 需要持续获取关于许多威胁的取证数据和情报
  • 4.7.3. 在很大程度上是自动化的,这简化了在数百万个已知威胁中查找威胁的过程
  • 4.7.4. 还考察威胁在被安全工具识别之前可能对组织造成的潜在损害
4.8. 消除阶段

  • 4.8.1. 在消除阶段,应用缓解措施来消除或减少已识别的威胁对组织的影响
  • 4.8.2. 组织要尽快达到这一阶段,因为涉及勒索软件或特权用户账户的威胁可能会在短时间内造成不可逆转的破坏
  • 4.8.3. 在消除已识别的威胁时,分秒必争

    • 4.8.3.1. 这个过程也是自动化的,以确保高吞吐量地消除威胁,同时也便于组织内多个部门之间的信息共享和协作

4.9. 恢复阶段

  • 4.9.1. 只有在组织确定其已识别的威胁已被消除,并且其面临的风险都已得到控制之后,才会出现恢复阶段
  • 4.9.2. 目标是使组织恢复到受到威胁攻击之前的状态
  • 4.9.3. 恢复对时间的要求较低,它高度依赖于重新可用的软件或服务的类型
  • 4.9.4. 此过程需要小心,需要回溯在攻击事件期间或响应期间可能进行的更改

    • 4.9.4.1. 这两个过程可能会引起采取非预期的配置或操作,使系统受到损害或防止系统受到进一步破坏

  • 4.9.5. 必须将系统恢复到它们在受到攻击之前所处的确切状态
  • 4.9.6. 必须进行全面调查,以确保不会引入或遗漏任何后门
5. 对网络杀伤链的担忧

5.1. 边界安全

  • 5.1.1. 边界安全包括使用安全解决方案,如恶意软件防护和防火墙
  • 5.1.2. 组织转向了云技术,边界安全和恶意软件检测主要由第三方公司处理,而组织则专注于服务交付或产品改进
  • 5.1.3. 随着物联网等技术在业务运营中发挥着越来越重要的作用,杀伤链越来越需要发展,以适应新的挑战和新的市场需求
5.2. 攻击漏洞

  • 5.2.1. 由于杀伤链这种技术的固有缺陷,其能够阻止的攻击数量比较有限,因此饱受批评
  • 5.2.2. 内部攻击是组织可能面临的最危险的攻击之一,通常难以检测
  • 5.2.3. 在面对泄露的凭据和攻击者进入系统而不需要使用诸如暴力破解之类的技术来告警安全系统时,原始的杀伤链框架也是微不足道的
5.3. 对杀伤链的理解不是静态的,而是不断演变以应对网络安全形势的变化
5.4. 虽然这有助于确保杀伤链与当前态势相一致,但也会使模型本身的可预测性降低

来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

使用道具 举报
相关推荐
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
发帖
硫辨姥
3 天前

0

粉丝关注

7

主题发布

板块介绍填写区域,请于后台编辑
微信扫一扫