有兩種可能的結果:如果實驗結果符合假設,這就是測量;如果不符合假設,這就是發現。 ——恩里科·費公尺(原子能之父)
威脅追捕,就是主動識別並抑制已在企業環境中建立了橋頭堡的對手。這與威脅檢測不同,威脅檢測主要是靠特徵碼檢測或系統事件關聯等手段,發現入侵指標(ioc),識別出威脅。此類上下文中的威脅,就是具備做壞事的意圖、能力和機會的對手。威脅追捕是對威脅檢測的補充。威脅檢測有其侷限,且依賴4個先決條件(或者假設):
這4個先決條件未必總能滿足,某些情況下,乙個都不能滿足。即便前3個都滿足了,最大的挑戰在於最後乙個往往滿足不了。監測每個可能的系統、網路或使用者,是非常難的。更重要的是,時間和金錢的消耗都太大了。產出的大量警報、事件和誤報,也引發了其自身的一系列問題。而且,即使威脅檢測成功,相關警報也有可能被漏過,或者事發後很久才被注意到。威脅駐留時間的統計資料,已一次又一次地證實了這一點。
如果信禪,或許會問:「如果網路上出現了乙個ioc,而沒人正在監視,那還算是威脅嗎?」鑑於高調資料洩露發生的頻率,該問題的答案無疑是:算!
黑客同樣注意到了這些因素,並據此對自身戰術、技術和流程(ttp)做出調整,盡可能地消除這些先決條件。這是網路安全中自然選擇的基礎,也是黑客與網路安全人士間持續**競賽的根源。
威脅追捕旨在矯正威脅檢測中的固有弱點。很明顯,如果黑客已經出現在內部網路中,威脅檢測就已失敗,或者說,至少是在初始漏洞利用前沒能做出響應。若是前者,發現自己是否被黑的唯一方法,就是從等待檢測技術指出威脅,轉向人工調查是否有檢測技術漏掉的指標。若是後者,威脅追捕將專注評估入侵的範圍,旨在肅清攻擊者建立的任何立足點。
一、威脅追捕的3種風格
1. ioc驅動威脅追捕
檢測已知ioc,並用於識別相關ioc和ttp,以驅動對環境中存在威脅的搜尋與分析。
2. 分析驅動威脅追捕
高階分析、機器學習和行為分析技術識別出異常或可疑活動,驅動進一步調查。一定程度上,行為分析技術已自動化了傳統威脅追捕的某些方面,但承襲了與威脅檢測類似的侷限,且產生了一些自身的弱點。
3. 假設驅動威脅追捕
特定威脅可能已成功侵入環境的初始假說或假設。可推斷出與該威脅相關的ttp和ioc,驅動對威脅的搜尋與分析。
聰明的讀者可能已經發現,前兩種風格都依賴對至少乙個ioc的成功檢測及發現。因此,這兩種方式主要用於驗證入侵是否發生,並評估威脅的散布範圍。
二、假設威脅
假設驅動威脅追捕不依賴前置檢測。這種方法會假設有尚未檢測到的威脅可能已經針對公司下手了。這其中比較沒那麼明顯的一點,是假設驅動威脅追捕、威脅評估和威脅模擬之間的關係。
1. 威脅評估
威脅評估中,可能針對公司的潛在相關威脅,往往通過利用威脅情報的方式,被識別出來。然後納入風險管理過程,用以確定需要部署哪些安全預警措施,來抵禦潛在威脅。
2. 威脅模擬
威脅模擬中,威脅ttp與現有安全技術、人員和過程相抗衡,藉以評估攻擊情況下能否撐住。若能實際測試,效果會更好。真正的滲透測試或道德黑客活動,或者成熟企業所謂的紅隊測試,就是該方法的乙個樣例。
三、假設驅動威脅防禦
威脅檢測技術提供有限證據——或許會發現一些ioc,但可能提供不了對高階/大範圍入侵的清晰評估。這些技術可能根本無法成功檢測威脅。威脅情報提供理論上都有些什麼的大量證據,但無法確定到底誰會實際攻擊你。預防技術防護多種已知攻擊型別,但我們沒有足夠證據證明可以防住下一波攻擊。
假設驅動威脅防禦,將這些假設都整合進了單個框架中,用作風險管理專案的基礎。威脅假設、威脅模擬和假設驅動威脅追捕,是假設驅動安全的三大基石,也是成功威脅緩解的三駕馬車。綜合起來,它們考慮的是:誰可能針對你,他們有沒有可能成功,以及他們是否已經成功了。
威脅快速進化,技術不斷湧現,再加上可執行證據和確定性的缺乏,這麼一種態勢下想要成功,假設,已經是我們最逼近**的做法了。
reset命令有3種方式
reset命令有3種方式 git reset mixed 此為預設方式,不帶任何引數的git reset,即使這種方式,它回退到某個版本,只保留原始碼,回退commit和index資訊 git reset soft 回退到某個版本,只回退了commit的資訊,不會恢復到index file一級。如果...
VUE路由傳參有3種方式
vue路由傳參有3種方式 1 query方式 push時使用path來匹配 發起頁面 this.katex parse error expected got eof at end of input eturn 跳轉轉收頁面的時候,位址列會顯示 2 params模式 push時使用name來匹配 發起...
有一種開發的高階技術叫測試
多年前,我和一位公司公認的高手一起做專案。專案是乙個關於pocket pc的開發。各自寫完一部分元件後,高手對我說,老兄,看看你能不能找到bug?我拿過他的元件,按照需求文件裡的要求,走了幾遍,說,不錯,沒問題 高手神秘一笑,我知道有個bug,怎麼樣,你能找出了嗎?找出來我請你吃飯。我被他一說,於是...