1.2 在恶意敌手模型中集成网络空间抵赖与欺骗的关键因素
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一1.2 在恶意敌手模型中集成网络空间抵赖与欺骗的关键因素,本章给出了几个必须与其他防御操作通信和协同的网络空间抵赖与欺骗防御要素的概念,从而通过引导高级攻击者向着有利于防御方的方向实施攻击以保护企业网络系统。
网络空间威胁情报:网络空间抵赖与欺骗防御系统需要依托攻击者TTP的威胁情报。防御方必须能够观测、处理并利用公有或私有的威胁情报;能够收集可观测的系统与网络数据;能够对传感器数据进行关联以推断攻击者可能使用的TTP;能够细化攻击者使用的TTP的特点;能够监控并追踪攻击者利用不同类型TTP的频率;能够分辨所有APT攻击中已有或可能的攻击TTP模式。
网络与系统传感器:企业网络系统要求主机节点、服务器、网络传感器,以及协同存储和处理设施对系统行为和攻击者TTP进行观测和特征提取。同时,企业网络系统也要求传感器监测网络空间抵赖与欺骗机制中有影响力的尝试和针对攻击者行为的缓解性防御的影响效果。传感器可使得防御方确定缓解防御和欺骗防御是否奏效、何时增强到何种程度,以及何时转换到备用防御计划。
入侵检测与恶意行为分析:为了实现入侵检测和态势感知,防御方需要一个用于分析从系统和网络传感器收集到的数据的平台。该平台应允许数据通过关联来检测攻击者的存在性和其入侵的范围。当不能获得足够数据时,分析平台要允许防御方在一定置信度的条件下对攻击者在受保护网络中发起攻击的可能性进行评估,并要能够通过进一步调查来确定假设的可信度。理想条件下,这种分析平台不能位于企业网络系统中或者直接被企业网络系统接入,因为这样会导致攻击者能够观测到入侵检测和网络空间抵赖与欺骗防御的能力。
缓解防御:随着防御方已对攻击者TTP进行了识别,防御方需要采用具体的缓解防御及网络空间抵赖与欺骗TTTP以抵御攻击者攻击企业网络系统所使用的TTP。缓解防御和具体的网络空间抵赖与欺骗技术应针对攻击者使用的相应TTP进行精心设计。
红蓝攻防实验:在某种程度上,对攻击者的检测、对攻击TTP的缓解,以及网络空间抵赖与欺骗TTTP的实施效果应可以从技术角度进行评估和度量。也就是说,攻击者使用的一些TTP可以被防御者通过技术手段而进行彻底抵御或者欺骗。然而,缓解、抵赖和欺骗一些攻击者使用的TTP取决于之前能否成功影响攻击者的行为。为了能够度量成功实施缓解防御策略和网络空间抵赖与欺骗TTTP的效果,防御方可以通过实验与演习(比如,红队模拟攻击者行为对利用分析平台和网络空间抵赖与欺骗技术的蓝队实施攻击)的方法增强信息,以验证缓解防御和网络空间抵赖与欺骗的方法是否可以按照预期设定的那样对攻击者产生影响。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一1.2 在恶意敌手模型中集成网络空间抵赖与欺骗的关键因素
