威胁追捕有3种技术风格 假设驱动威胁值得关注

简介:
有两种可能的结果:如果实验结果符合假设,这就是测量;如果不符合假设,这就是发现。

——恩里科·费米(原子能之父)

威胁追捕,就是主动识别并抑制已在企业环境中建立了桥头堡的对手。这与威胁检测不同,威胁检测主要是靠特征码检测或系统事件关联等手段,发现入侵指标(IOC),识别出威胁。此类上下文中的威胁,就是具备做坏事的意图、能力和机会的对手。威胁追捕是对威胁检测的补充。威胁检测有其局限,且依赖4个先决条件(或者假设):

  • IOC可预测
  • IOC有逻辑且可量化
  • IOC静态且不可交换
  • IOC可见且可发现

这4个先决条件未必总能满足,某些情况下,一个都不能满足。即便前3个都满足了,最大的挑战在于最后一个往往满足不了。监测每个可能的系统、网络或用户,是非常难的。更重要的是,时间和金钱的消耗都太大了。产出的大量警报、事件和误报,也引发了其自身的一系列问题。而且,即使威胁检测成功,相关警报也有可能被漏过,或者事发后很久才被注意到。威胁驻留时间的统计数据,已一次又一次地证实了这一点。

如果信禅,或许会问:“如果网络上出现了一个IOC,而没人正在监视,那还算是威胁吗?”鉴于高调数据泄露发生的频率,该问题的答案无疑是:算!

黑客同样注意到了这些因素,并据此对自身战术、技术和流程(TTP)做出调整,尽可能地消除这些先决条件。这是网络安全中自然选择的基础,也是黑客与网络安全人士间持续武器竞赛的根源。

威胁追捕旨在矫正威胁检测中的固有弱点。很明显,如果黑客已经出现在内部网络中,威胁检测就已失败,或者说,至少是在初始漏洞利用前没能做出响应。若是前者,发现自己是否被黑的唯一方法,就是从等待检测技术指出威胁,转向人工调查是否有检测技术漏掉的指标。若是后者,威胁追捕将专注评估入侵的范围,旨在肃清攻击者建立的任何立足点。

威胁追捕

一、威胁追捕的3种风格

1. IOC驱动威胁追捕

检测已知IOC,并用于识别相关IOC和TTP,以驱动对环境中存在威胁的搜索与分析。

2. 分析驱动威胁追捕

高级分析、机器学习和行为分析技术识别出异常或可疑活动,驱动进一步调查。一定程度上,行为分析技术已自动化了传统威胁追捕的某些方面,但承袭了与威胁检测类似的局限,且产生了一些自身的弱点。

3. 假设驱动威胁追捕

特定威胁可能已成功侵入环境的初始假说或假设。可推断出与该威胁相关的TTP和IOC,驱动对威胁的搜索与分析。

聪明的读者可能已经发现,前两种风格都依赖对至少一个IOC的成功检测及发现。因此,这两种方式主要用于验证入侵是否发生,并评估威胁的散布范围。

二、假设威胁

假设驱动威胁追捕不依赖前置检测。这种方法会假设有尚未检测到的威胁可能已经针对公司下手了。这其中比较没那么明显的一点,是假设驱动威胁追捕、威胁评估和威胁模拟之间的关系。

1. 威胁评估

威胁评估中,可能针对公司的潜在相关威胁,往往通过利用威胁情报的方式,被识别出来。然后纳入风险管理过程,用以确定需要部署哪些安全预警措施,来抵御潜在威胁。

2. 威胁模拟

威胁模拟中,威胁TTP与现有安全技术、人员和过程相抗衡,借以评估攻击情况下能否撑住。若能实际测试,效果会更好。真正的渗透测试或道德黑客活动,或者成熟企业所谓的红队测试,就是该方法的一个样例。

三、假设驱动威胁防御

假设的一个定义,是“基于有限证据做出的假设或提案,用作进一步调查的起点。”对网络安全人员来说,“有限证据”是其中关键词。

威胁检测技术提供有限证据——或许会发现一些IOC,但可能提供不了对高级/大范围入侵的清晰评估。这些技术可能根本无法成功检测威胁。威胁情报提供理论上都有些什么的大量证据,但无法确定到底谁会实际攻击你。预防技术防护多种已知攻击类型,但我们没有足够证据证明可以防住下一波攻击。

假设驱动威胁防御,将这些假设都整合进了单个框架中,用作风险管理项目的基础。威胁假设、威胁模拟和假设驱动威胁追捕,是假设驱动安全的三大基石,也是成功威胁缓解的三驾马车。综合起来,它们考虑的是:谁可能针对你,他们有没有可能成功,以及他们是否已经成功了。

威胁快速进化,技术不断涌现,再加上可执行证据和确定性的缺乏,这么一种态势下想要成功,假设,已经是我们最逼近预测的做法了。


本文作者:nana

来源:51CTO

相关文章
|
3月前
|
存储 安全 网络安全
网络安全与信息安全:构建安全防线的多维策略在当今数字化时代,网络安全已成为维护个人隐私、企业机密和国家安全的关键要素。本文旨在探讨网络安全漏洞的本质、加密技术的重要性以及提升公众安全意识的必要性,以期为构建更加坚固的网络环境提供参考。
本文聚焦于网络安全领域的核心议题,包括网络安全漏洞的现状与应对、加密技术的发展与应用,以及安全意识的培养与实践。通过分析真实案例,揭示网络安全威胁的多样性与复杂性,强调综合防护策略的重要性。不同于传统摘要,本文将直接深入核心内容,以简洁明了的方式概述各章节要点,旨在迅速吸引读者兴趣,引导其进一步探索全文。
|
4月前
|
安全 网络安全 数据安全/隐私保护
探索Python中的异步编程:从基础到高级网络安全的守护者:从漏洞到加密,构建坚固的信息防护墙
【8月更文挑战第24天】在本文中,我们将深入探讨Python的异步编程世界。通过逐步介绍基本概念、核心模块以及实际应用示例,我们旨在提供一个全面的理解框架,帮助读者从入门到精通。无论你是初学者还是有经验的开发者,这篇文章都将为你揭示如何利用Python的异步特性来提高程序性能和响应性。 【8月更文挑战第24天】在数字信息的海洋中,网络安全是一艘航向安全的船。本文将带你穿梭在网络的波涛之中,揭秘那些潜藏在水面下的风险与挑战。我们会探索网络漏洞的成因,分析加密技术如何成为数据保护的盾牌,并讨论提升个人和组织的安全意识的重要性。文章旨在启发读者思考如何在日益复杂的网络环境中保护自己的数字身份,同时
|
5月前
|
算法 数据处理 黑灰产治理
模拟点击问题之设备标签在基础风险能力中起什么作用
模拟点击问题之设备标签在基础风险能力中起什么作用
|
7月前
|
监控 安全 网络安全
网络安全行为可控定义以及表现内容简述
网络安全行为可控定义以及表现内容简述
109 1
|
机器学习/深度学习 人工智能 安全
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)(下)
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)
280 1
|
自然语言处理 安全 API
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)(上)
【网安AIGC专题10.11】①代码大模型的应用:检测、修复②其安全性研究:模型窃取攻击(API和网页接口) 数据窃取攻击 对抗攻击(用途:漏洞隐藏) 后门攻击(加触发器+标签翻转)
381 0
|
大数据 数据库
《位置大数据隐私管理》—— 第2章 典型攻击模型和隐私保护模型 2.1 位置连接攻击
本章将对典型攻击模型和相应的隐私保护模型进行说明。攻击模型包括位置连接攻击、位置同质性攻击、查询同质性攻击、位置依赖攻击和连续查询攻击模型。隐私保护模型包括位置k-匿名模型、位置l-差异性模型、查询p-敏感模型和m-不变性模型。
1934 0
|
安全 智能硬件 数据安全/隐私保护