apt持續破壞的能力與慾望積極地推動我們從傳統的威脅響應方式快速遷移至網路空間安全解決方案。在網路被入侵後進行響應,代價一般會非常昂貴,無論是在消除不良影響方面,還是在清除攻擊者遺留的據點方面(如木馬)。
為了在防禦中掌握主動權,防禦者需要通過阻止攻擊者的高階手段來改變遊戲的規則,最好是在攻擊鏈的左側就快速做出反應(入侵前的相關階段),但這不僅需要防禦者在已發生的事故中不斷改進防禦策略,還需要建立威脅情報驅動的響應機制。
傳統的情報會查明攻擊者的才能、行為方式以及意圖,網路空間情報領域同樣需要如此。網路空間情報會去總結、描述攻擊者的如下特徵:
1. 已發生了哪種攻擊行為並且最有可能的結果是什麼?
2. 如何識別與檢測這些攻擊行為?
3. 如何減輕這些攻擊行為?
4. 誰執行了相關的攻擊行為?
5. 他們想達到什麼樣的目標?
6. 用戰術、技術、過程(ttp)三要素來衡量的話,他們的能力是什麼?
7. 他們最可能針對什麼樣的缺陷、錯誤配置、弱點進行攻擊?
8. 過去他們還進行了哪些攻擊行為?
全面地理解攻擊者製造的威脅能協助防禦者做出更有效的決策,更優先採取的行動步驟,以及獲得乙個平衡防禦者與攻擊者代價的機會。正如hutchins、cloppert以及amin所言:
「威脅情報驅動的***(計算機網路防禦體系)在安全效果方面表現得更有彈性。由於天性使然,apt攻擊者會在不斷的入侵體驗中改進自己的操作方式。而在攻擊鏈模型中,只需要削弱其中的乙個步驟就能挫敗攻擊者,因此防禦者只要識別與利用相關的步驟特徵,就能使攻擊者的重複行為變成一場噩夢。通過這種模型,防禦者還能開發出更優彈性的緩解措施來阻止入侵者和採用了新技術與流程的智慧型優先順序攻擊。」
「如果防禦者能比攻擊者更快地找到反擊措施,那麼攻擊者的入侵成本將會急劇上公升。這種模型顯示,相比於傳統觀點,入侵者並不比防禦者有更多的優勢。」
威脅與攻擊之間的區別
威脅是利用系統 資產漏洞的可能的安全狀況 違規行為。威脅可能來自任何情況,例如事故,火災,自然災害等環境,人為疏忽。以下是各種型別的威脅。攻擊是對系統 資產的有意未經授權的操作。攻擊總是有濫用系統的動機,通常會等待機會發生。以下是威脅與攻擊之間的一些重要區別。序號鍵 威脅攻擊 1故意的 威脅可能是人...
工具鏈簡述
工具鏈軟體包括binutils gcc glibc gdb等。gcc gnu compiler collection,編譯器,對於c c 語言的完整支援,需要支援glibc庫。glibc 是應用程式程式設計的函式庫軟體包,可以編譯生成靜態庫和共享庫。完整的gcc需要支援glibc。gdb 除錯工具,...
區塊鏈概念簡述
區塊鏈執行在乙個p2p網路中,所有使用者都是這個網路中的節點,地位都是均等的。人人都可以建立 傳送和 交易資訊,因此會有很多交易資訊在這個網路中流轉。可是,沒有中心節點,該由誰來把交易資訊記錄下來呢?假設假設有乙個好心人,他自願把所有收到的合法交易記錄下來,形成乙個賬本,並向全網公開。存在問題 有人...