本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第3章3.2节在网络对抗中应用CI思想,作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。
3.2 在网络对抗中应用CI思想
请君入瓮——APT攻防指南之兵不厌诈
在前文中我们介绍了网络间谍时代(或网络战条件)下传统CI工作的关键环节。您有没有想过,在网络对抗中究竟如何将上述知识活学活用呢?
首先要舍弃在传统安全领域学到的一切。在处理攻陷的主机时,很多单位的应对策略仅仅是简单地“隔绝网络”,“通过恢复镜像重新安装业务系统”,“调整上线”。他们认为这样就可以完全清除恶意软件的感染。而实际情况是另外一码事:只要弱点未被排除,网上某处的某人仍然有机会卷土重来。
网络世界中,差不多所有的事件都可以被记录、检测、鉴定、分析、推演、追踪、确定。而您必须搞清的情况,仅有“寻找着手点”这一件事。为了理出头绪,您要做好决心使出吃奶的力气分析所有可用的、任何形式的情报。毕竟,全部观测结果都可以用来反击入侵者、您的对手,或者是威胁。虽然网络都会有这样那样的缺陷和不足,但是只要充分利用各个数据源,您仍然能够洞察真相,找到幕后黑手的微弱信号。如果无法控制、分析企业网络里的所有数据源,情报分析人员就不能通过关联分析的手段有效地对数据进行识别、分类和利用1。
1译者注:即,调查人员要充分利用主场优势,因地制宜开展工作。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
