網路攻擊生命週期中的六大核心階段

2021-09-23 13:45:41 字數 2264 閱讀 1074

傳統網路安全解決方案向來採取以預防為核心的實施戰略,其重點在於阻止網路攻擊活動。雖然這一點仍然非常重要,但如今的眾多高水平惡意攻擊者完全擁有動機及能力以繞過邊界防禦體系,利用種種創造性、隱匿性、有針對性及持續性的攻擊手段長時間潛伏在目標系統之內而無法被及時發現。

為了應對以往以預防為中心的安全戰略的既有缺陷並確保it環境能夠在日益複雜的安全挑戰中得以倖存,各組織機構應積極轉移自身資源,並將重點放在以威脅檢測與應對措施為中心的新型戰略層面。高度重視如何削減平均檢測時間(簡稱mttd)與平均修復時間(簡稱mttr)等指標的安全團隊能夠藉此有效降低遭遇高影響力網路事故或者資料洩露的可能性。

幸運的是,如果大家使用端到端威脅管理流程進行快速檢測與響應,則能夠顯著提公升自身對於高影響力網路事故的抗禦能力。當黑客對某一環境加以攻擊時,其必然遵循從初步入侵到最終資料洩露的整個流程——前提是該威脅執行者始終未被安全體系所察覺。現代網路安全方案需要關注如何降低mttd與mttr,即在威脅活動的生命週期之初將其扼殺,最終避免可能引發的後續結果與損失。

網路攻擊生命週期階段詳解

在入侵活動當中,攻擊者往往採取以下幾個典型步驟:

階段一:偵察

第一階段在於確定潛在目標滿足攻擊者實施入侵的條件(例如具備理想的經濟收益、有針對性地獲取敏感資訊或者造成品牌損害)。一旦確定了現有防禦機制之後,攻擊者將據此選擇自己的攻擊**——具體包括利用零日安全漏洞、實施魚叉式網路釣魚活動或者收買賄賂內部員工等等。

階段二:初步入侵

在初步入侵當中,攻擊者通常會繞過邊界防禦機制並通過存在安全漏洞的系統或者使用者帳戶訪問機制滲透至內部網路當中。

階段四:橫向移動

一旦攻擊者與內部網路建立起連線,其即會試圖危害其它系統及使用者帳戶。攻擊者通常會冒充授權使用者,因此安全方案將很難發現系統遭遇入侵的證據。

階段五:目標達成

在這一階段當中,攻擊者通常已經建立起多個遠端訪問入口點,並可能已經成功入侵了數百(甚至數千)套內部系統及使用者帳戶。他們深入了解it環境中的各方面狀況,並能夠順利實現自己的惡意目標。

階段六:滲透、破壞與中斷

如果未能有效扼止惡意活動,企業將在最終階段中遭受嚴重的經濟損失。在此階段中,攻擊者將逐步實現其任務的終極目標,包括竊取智財權或其它敏感資料、破壞關鍵性任務系統並常常會中斷您的正常業務運營。

對此類威脅活動的早期檢測與響應能力正是保護網路免受大規模惡意影響的關鍵所在。趁早檢測並響應攻擊活動,企業需要承擔的最終成本也就越低。為了降低mttd與mttr,企業需要實現端到端檢測與響應流程——即實現威脅生命週期管理(簡稱tlm)。

威脅生命週期管理

威脅生命週期管理代表的是一系列具有一致性的安全操作能力與過程,首先包括能夠在it環境中廣泛並深入進行「觀察」的能力,另外企業還需要有能力在安全事故發生後快速進行應對與恢復。

在檢測到任何威脅跡象之前,企業必須確保it環境下的攻擊行為證據皆具備可見性。由於威脅活動針對it基礎設施中的各個層面,因此大家能夠觀察到的區域越廣,實現成功檢測的可能性就越高。在這方面,大家應當高度關注三種原則性資料型別,具體優先順序按次序分為:安全事件與報警資料、日誌與機器資料以及感測器取證資料。

儘管安全事件與警報資料通常屬於安全團隊所能掌握的最具價值的資料來源,但我們往往很難快速判斷應關注哪些事件或者哪些警報資訊。日誌資料在這方面能夠提供更為深入的it環境可見性,包括幫助我們判斷誰在**於何時做過什麼。

現有的安全解決方案在安全威脅管理方面仍處於初級階段,soc往往受制於日誌採集**以及分析能力的不足,ids、ngfw等產品可以基於流量中的異常進行檢測,但都停留在入侵嘗試階段,大量的無用告警讓使用者無所適從,無法感知真正的安全事件,近年來各廠商開始推出基於深度檢測的apt產品,但重點和方向各異,實際對安全威脅管理的效果也差別較大,比較典型的是以病毒木馬檢測配合沙箱技術的傳統安全廠商,但隨著攻防對抗的公升級,也有一些新的思路出現,比如安恆的明御apt產品就是以apt攻擊事件分析、基於行為和沙箱的場景化分析、dga檢測演算法等新技術為核心,在安全威脅管理方面可以較為全面的涵蓋到六個階段。一旦企業能夠有效收集其安全日誌資料,則可隨後配合感測器取證資料以實現更具深度與廣度的可見能力。

在建立起這種可見能力之後,企業即可檢測並響應各類威脅活動。潛在威脅的發現應通過搜尋與機器分析將結合的方式實現。已被發現的威脅活動必須迅速進行評估,包括考量其對於業務的潛在影響以及相關響應舉措的緊迫程度。在對事件進行定性之後,企業應實施相關緩解措施以降低並最終消除由此給業務帶來的風險。而一旦事故中止且業務風險受到有效控制,企業則可以開始推進全面的恢復性工作。

通過投資威脅生命週期管理方案,企業遭遇破壞性網路事故或者資料洩露的風險將大大降低。儘管仍面臨著諸多內部與外部威脅,但企業足以憑藉著由此帶來的更為強大的檢測與響應能力對自身環境加以管理,最終削減惡意活動造成巨大影響乃至高昂代價的可能性。

bom event週期 產品生命週期中的BOM關係

產品生命週期管理 plm 包括了對產品需求 產 品設計 產品製造 產品銷 售與使用等各階段的整合管理。在 plm中強調資訊的整合,即產品的資訊能貫 穿產品生命週期的各階段,並方便各階段不同型別工作的使用。其中產品的物料 清單bom 是產品資訊的基礎和產品生命週期管理中最重要的資訊之一。bom在產品生...

軟體生命週期中的攻防博弈

大資料的時代,軟體幾乎深入到人們生活的各個方面,某種意義上可以說,現在是軟體的時代。這個大時代下,攻與防,充斥在軟體生命週期的各個階段,時時處處在演繹。1.資訊保安的攻防 2.軟體開發與軟體測試 軟體開發與軟體測試在多數it從業者的印象裡是 冤家 軟體產品由開發團隊創造後將迎來測試團隊的 找茬 開發...

產品專案生命週期中的各種文件

1.mrd 市場需求文件,簡稱為mrd。英文全稱market requirement document,mrd 該文件是產品專案由 準備 階段進入到 實施 階段的第一文件,其作用就是 對年度產品中規劃的某個產品進行市場層面的說明 這個文件的 壞直接影響到產品專案的開展,並直接影響到公司產品戰略意圖的...