攻击链简述(二):威胁情报的作用

APT持续破坏的能力与欲望积极地推动我们从传统的威胁响应方式快速迁移至网络空间安全解决方案。在网络被入侵后进行响应,代价一般会非常昂贵,无论是在消除不良影响方面,还是在清除攻击者遗留的据点方面(如木马)。

为了在防御中掌握主动权,防御者需要通过阻止攻击者的高级手段来改变游戏的规则,最好是在攻击链的左侧就快速做出反应(入侵前的相关阶段),但这不仅需要防御者在已发生的事故中不断改进防御策略,还需要建立威胁情报驱动的响应机制。

传统的情报会查明攻击者的才能、行为方式以及意图,网络空间情报领域同样需要如此。网络空间情报会去总结、描述攻击者的如下特征:
1. 已发生了哪种攻击行为并且最有可能的结果是什么?
2. 如何识别与检测这些攻击行为?
3. 如何减轻这些攻击行为?
4. 谁执行了相关的攻击行为?
5. 他们想达到什么样的目标?
6. 用战术、技术、过程(TTP)三要素来衡量的话,他们的能力是什么?
7. 他们最可能针对什么样的缺陷、错误配置、弱点进行攻击?
8. 过去他们还进行了哪些攻击行为?

全面地理解攻击者制造的威胁能协助防御者做出更有效的决策,更优先采取的行动步骤,以及获得一个平衡防御者与攻击者代价的机会。正如Hutchins、Cloppert以及Amin所言:

“威胁情报驱动的CND(计算机网络防御体系)在安全效果方面表现得更有弹性。由于天性使然,APT攻击者会在不断的入侵体验中改进自己的操作方式。而在攻击链模型中,只需要削弱其中的一个步骤就能挫败攻击者,因此防御者只要识别与利用相关的步骤特征,就能使攻击者的重复行为变成一场噩梦。通过这种模型,防御者还能开发出更优弹性的缓解措施来阻止入侵者和采用了新技术与流程的智能优先级攻击。”

“如果防御者能比攻击者更快地找到反击措施,那么攻击者的入侵成本将会急剧上升。这种模型显示,相比于传统观点,入侵者并不比防御者有更多的优势。”

你可能感兴趣的:(信息安全)