手机网站
手机网站
“防御总是比进攻难。 因为防御在某种程度上是被动的。 这一概念在网络安全中尤其适用。 在网络安全方面,攻击者可以在组织中随意发起攻击,但是严格的安全队必须成功防止每次攻击者的攻击成功。”青藤云说安全。
因为这种天生的劣势,安全队总是预测对方的下一步,寻找更积极的方法。 通过使用杀伤链框架,安全团队能够深刻理解对方的想法和意图。 我发现这个概念最有价值的衍生品是MITRE ATT&CK矩阵。 MITRE ATT&CK是以实际的网络攻击数据为基础,内容丰富的数据库。
ATT&CK的区别
从2013年到2015年,非营利安全公司MITRE开发了自己的网络杀手链,并将其命名为ATT&CK。 ATT&CK方面着重于攻击后的检测,这一点与网络杀手链不同,网络杀手链是从对方侦察其目标开始的。
ATT&CK不分阶段,将事件分解为12种“战术”(对方要做什么)、每种战术分解为“技术”(对方的操作方式)。 战术包括执行、防御回避和横向移动。 更具体的技术,包括PowerShell、修改注册表和远程桌面协议。 MITRE基于实际网络安全事件的研究,形成了规模较大的对方行为矩阵。
将ATT&CK矩阵的价值用于安全运行
成功进行网络攻击需要花费时间,但组织通常需要花费时间来检测攻击并发现正在发生的事情。 幸运的是,如果组织能够在任何阶段检测和干扰攻击,即使网络已经受到攻击,攻击也不会成功。 例如,对方的目标不仅提高了目标系统中的权限,还使用这些权限来实现数据泄露的最终目标。
使用ATT&CK框架分析网络安全事件可以将不同的战术和技术相关联。 这有助于安全团队在攻击完成之前识别正在进行的攻击,并让安全团队更好地了解对方做了什么以及下一步可能会做什么。
ATT&CK框架是一个基于行为的模型,而不是基于签名的模型,因此对于发现攻击特别有用。 由于ATT&CK可以预测常见行为,因此其不会被0day、修改为不检测到攻击者的缺陷指示符或基于签名的系统的其他缺陷所骗倒。
ATT&CK“技术”也与以往的缺陷指标( IOC )不同,技术有可能以恶意目的采取合法行动。 换句话说,如果对方破坏了系统并获得了权限,则可能不需要采取其他措施来触发传统安全工具警报。 ATT&CK技术记述了对方接下来可能采取的行动,即使看起来很正常。
根据青藤云安全,MITRE扩展了网络检查链的概念,将事件分解为阶段性的概念价值,结合基于行为的研究,可以与最佳威胁信息源相匹敌。 MITRE ATT&CK矩阵应当在您的安全运营中占据位置,而不管标准化安全团队将如何考虑高级连续性威胁,即使将MITRE ATT&CK矩阵结合到您的检测和响应工具中。
