《防患未然》
威胁:可能使计算机受到攻击的东西:病毒、蠕虫、恶意软件、钓鱼邮件。目前威胁趋势:商业化、专一化、云端化
情报:从规划和信息收集到分析和传播——以秘密的方式进行,通过提供威胁或者潜在威胁的预警,使预防性策略或战略得以及时实施,旨在维护和加强相对安全。
关于情报几点注意事项:
- 了解组织内部发生什么和了解外部发生的事情一样重要;没有完全理解系统,就无从保护。
- 情报类型:战略、战术、运营。越下层的情报,时效越短;情报应该有版本号和对应的发布日期。
- 收集情报困难:对方拒绝、组织、提供假情报
- 一图胜千言
- 自动化:收集、分析、交付、传播、反馈,这意味着不同来源的数据应该以相同格式交付,但自动化不意味着撒手不管,涉及情报生命期的人们必须参与过程,使其更加有效;自动化是必要的,但它并不是情报生命期的唯一重点。
目前大部分安全组织工作方式为:在某个控制面板弹出一条警告,安全团队看到警告并对事故作出响应。这种工作方式可以有效阻止80%-85%的攻击,但没有检测出的15%-20%攻击可能使组织因为宕机和收入损失而付出数百元的代价,也可能使百万张信用卡流入地下,或者下一代产品规划落入竞争对手手中。
因此安全组织应该首先改变对网络安全的思维方式——从“事件驱动”到“情报先导安全”。一方面帮助组织更快地根据遗漏攻击作出改变,防止攻击的重复发生;另一方面保持前瞻性的能力,在真正的攻击发生前几天或者前几周就部署好保护手段。
两种安全框架:连续监控框架、网络安全框架。前者核心思想为全面、持续对对信息安全、漏洞、威胁的认识,以支持风险管理决策。首先需要理解关键数据、数据丢失对组织影响;然后需要确立监控频率、安全评估;后者从辨别、保护、检测、响应、恢复五个维度创造安全计划,并从局部、风险指引、可重复和自适应4个层次反应组织的安全成熟度。
构建情报先导的安全性战略都需要将安全活动转换成组织中业务部们所能理解的语言。首先,从不相关的数字的讨论中脱离出来:讨论的焦点不应该是攻击的数量,而应该是与组织关系最密切的攻击,以及可能已经对组织声誉造成最大损害的攻击;讨论主题不应该是提高预算以增加安全设施,而是能力。只要提出请求是用高管语言提出来的,一般就能得到支持。
实现安全目标时的规划分阶段方法:明确目标——初始评估——分析当前安全状态——进入下一个阶段。
内部情报来源:资产、漏洞、配置管理,网络日志记录,网络监控
情报先导安全项目中的资产发现和资产管理不仅仅是了解网络上有什么,情报先导的安全团队还需要了解网络上系统的用途,以及系统对组织的关键性。
安全团队表达这项决策的业务术语:这个漏洞给我们组织带来了很高风险,因为网上已经有一种利用攻击代码,我们有60%的系统有此漏洞。暂时禁止访问xxx将因为生产率的损失而给组织带来12万的美元的代价。
需要注意:不要被海量的告警淹没。
构建情报先导的组织一部分工作是制定一个应对安全缺陷的计划。
外部情报信息应该能够加强安全团队的能力,正确评定漏洞的严重性,决定对该漏洞所采取的措施。
分析情报常用中心点:ip,域名,文件散列,mssp。
零日攻击很少是真正在“零日”发动的。只因为防病毒供应商没有恶意软件或者敌方的特征,而尚未将其放入拦截列表。最老练的攻击者往往对低安全行目标发动攻击以测试工具,并根据攻击成效调整工具。
监控异常流量是另一种阻止零日攻击的手段,但往往只能在入侵晚期才能发现。
三种高级情报能力:分析恶意软件、蜜罐技术、入侵诱骗
分析恶意软件:目的是获取恶意软件的相关信息(如文件散列、作者、攻击方式、进程名称)等,从而转化为情报。
蜜罐技术:伪装成一个很容易收到攻击的机器,诱骗黑帽子入侵,从而获取更多攻击方法的相关信息。蜜罐机器中的信息往往不是最重要资产,或者该机器与重要资产隔离。
入侵诱骗:与蜜罐技术有些相似,都是承认机器会被入侵的事实,不同在于入侵诱骗“先知道入侵思路、再利用思路进行诱骗”,比如知道某黑帽子需要A路径下的a文件,所以把b文件放到A路径。
网友评论