来自 防护 2021-06-08 05:11 的文章

美国高防_怎样防御ddos_优惠券

美国高防_怎样防御ddos_优惠券

介绍入侵分析的钻石模型是建立威胁连接的分析方法。Diamond模型是由许多杰出的安全研究人员和分析师(包括我们自己的Andy Pendergast)开发的,它既是一种认知模型,用来组织大量相互关联的逻辑,又是集合论中的一系列数学技术,图论和聚类分析,以改进分析工作流程,并使更精确和战略决策的对手。在威胁情报领域,钻石模型使分析员能够有效地收集和处理大量输入的数据,并随着时间的推移,开始在现有的威胁情报之间形成自动化的关系。最终,分析人员将能够更清晰地识别敌方意图和目标战术,从而能够积极主动地缓解先进的和正在出现的网络威胁。钻石模型将单个事件分解,并按照四个独特的顶点对它们进行分类:基础设施、能力、对手和受害者。这些顶点之间的关系使它们能够进行分析旋转。从任何一个顶点的知识中,相关知识可以通过旋转到同一事件中的相邻顶点、同一事件中的其他事件或与其他观察到的事件关联来分类或发现。让我们看几个用例来说明这一点。旋转:钻石模型方法当你建造某物时,它必须建立在坚实的基础上。从软件开发的角度来看,同样的原则也适用于威胁情报平台的建设,这就是为什么我们在一种行之有效的分析方法的基础上开发了ThreatConnect。在ThreatConnect中执行情报分析时,必须记住,在数据中没有正确或错误的方法。尤其是在选择起始点和结束点时。这完全取决于你想回答什么样的情报问题,或者你想如何进行威胁发现和分析。Diamond模型方法是ThreatConnect用户界面(UI)设计的基础,因此,它成为执行整体威胁分析的指导力量。例如,如果我从一个已知的对手开始搜索,使用菱形模型作为参考意味着我将要遍历三角形中剩余的每个顶点。我在每个节点中旋转的顺序无关紧要——重要的是,尽可能频繁地完成所有顶点的路径。因为钻石中有四个顶点,所以我的旋转序列有24种可能的排列。为了更清楚一点,可以这样想:我可以从一个已知的对手开始我的轴心,在接下来的三个轴心点中,我将要确定对手的能力、他们的基础设施以及他们的受害者。相反,我可以从一个已知的攻击受害者开始,通过钻石旋转我的方式,直到我到达对手。使用此方法可以获得给定威胁或事件的更完整的图像。从视觉上看,您可以在下表中看到通过菱形模型的24个轴遍历路径的排列。把它想象成可能的支点路径,让你推断出你可能没有意识到自己拥有的新智力:总是会遇到这样的情况:由于缺少数据,无法遍历diamond的每个节点。这是意料之中的。然而,这是一个很好的方式来了解你的情报差距,你需要更好的数据或情报,以及你应该把你的业务重点放在哪里。例如,对于我们组中的每个受害者都应该有一个对手。如果我发现在给定的支点中没有对手,搭建高防cdn,一个很好的问题是,"这个受害者有已知的对手吗?"如果我发现答案是肯定的,我只需添加数据点。另一方面,如果我不知道,可能是因为对手是未知的,也就是说,还没有关于他们的情报。了解"未知"可能与了解"已知"同等重要。它可以成为时间分配和资源方面的指导力量,因为它与改进我的业务有关。在ThreatConnect中添加标签还可以在解决您的情报缺口和提高您控制、搜索和分析不完整威胁数据的能力方面发挥巨大作用。寻找下一篇关于如何在ThreatConnect中有效使用标签的博客。菱形模型旋转示例在ThreatConnect用户界面内旋转需要使用两个功能才能有效导航:pivot按钮(1)和"关系类型"(2)过滤器。虽然简单的旋转确实会显示相互关联的信息元素,但是关系类型过滤器是一种有用的方法,可以集中于给定关联的显式精确性质,以便进行更精确的分析。为了演示pivot方法的实用性,我们将遍历几个独特的用例,使用四个终端节点中的每一个作为分析过程的起源。以能力为中心:MD5:54C4448B0263062614A9EA055A80480>>软件.qpoe.com.com>>深红色钢铁>>二十国集团(G20)在本例中,高防cdn高防ip,我们从菱形上下文中的"能力"开始,高防cdn价格,由MD5表示:54c448b0263062614a9aea055a80480。接下来,我们选择一个关系类型,我们可以看到恶意软件调用"基础设施"软件.qpoe[通信]。这种能力和基础设施(技术轴)以及相关属性、战术、技术和程序的组合被归为一个"对手",其内部封面词为"深红色铁"。这一内部名称与一个已知的中国APT威胁集团有关,我们已经确定证据表明,该集团此前曾将20国集团(G20)作为这一支点结构中的"受害者"(地缘政治轴心)。以基础设施为中心:184.105.203[.]61>>软件.qpoe[.]com>>MD5:54c448b0263062614a9aea055a80480>>20130816D:Yayih特洛伊木马>>深红色铁相反,我们的支点可以采取不同的路线,这取决于我们从哪里开始调查。在本例中,我们从一个"基础设施"指示器开始——IP地址184.105.203[.]61。此IP先前已解析为软件.qpoe[.]com,这是先前在MD5中观察到的同一个C2标注:54C4448B0263062614A9AEA055A80480。此特定哈希与事件20130816D:Yayih特洛伊木马有关,通过旋转,我们发现"深红色铁"的对手与此特定事件有关。以对手为中心:根目录>>rooterit@outlook.com>> 网站[.]tk>>20130516A:西藏之声事件>>西藏之声>>在自上而下的菱形轴的上下文中,我们从"对手"节点开始,这个被称为"rooterit"的对手使用电子邮件地址被观察到rooterit@展望[.]com注册恶意域一段时间,其中之一是网站[.]塔卡。这个C2节点以前在20130516A事件组中观察到:西藏之音事件。这一事件发生在一个针对西藏网站"受害者"声音的战略网站妥协(又名"水坑")。以受害者为中心:阿富汗通信和信息技术部>>[http:]//cdn.阿富汗[.]af/脚本/gop-脚本.js>>388E6F41462774268491D1F121F333618C6A2C9A>>中国在许多情况下,节点威胁研究必须从受害者开始,可能还有一两个哈希值。尽管如此缺乏信息确实令人沮丧,但将钻石模型整合到ThreatConnect中可以通过说明已知指标、威胁、事件和受害者的丰富知识库之间的联系,克服情报差距的挑战。以受害者为中心的轴心结构很好地证明了这一点。对于这个用例,我们将使用毒害赫尔曼德行动的例子,这在ThreatConnect博客上有进一步的记录。我们先从阿富汗通信部和IT部开始,后者在2014年12月的一次驾车袭击中成为受害者。以受害者为中心,我们看到一个子域([http:]//cdn.阿富汗[.]af/脚本/gop-脚本.js)在合法的后端CDN基础设施上提供了一个恶意的JavaScript文件。因此,ddos防御包括,对手利用受害者自己的基础设施来对付目标。对恶意JavaScript文件SHA1:388e6f41462774268491d1f121f33618c6a2c9a的进一步调查表明,在过去,30g高防能防御多少ddos攻击,这个特定文件与我们的"对手"有关联:一个已知的中国APT威胁集团。一般来说,以下是两种很好的旋转方法:1.)发现轴心这更像是一种自由形式的分析风格,在这种风格下,你可能没有明确的最终目标。相反,你使用pivot功能来"熟悉"你的智能数据,这样你就可以在以后的阶段提出更聪明的问题。2)查询支点这是当你有一个非常具体,定制的智能问题,你使用旋转试图找到你的问题的答案。例如,"有多少个文件指示器与给定的漏洞关联?"这两种方法都构成了使用钻石模型执行更成熟任务的基础,例如扩展哪些基础设施或能力可以归为特定的威胁集团,并验证了关于哪些活动应该和不应该分组在一起的假设。出口我们在之前的一篇博文中介绍了将数据导入ThreatConnect的过程;但是,有时您可能也希望导出数据。在接下来的几段中,我们将引导您完成这个非常简单的过程。在建立你的旋转面包屑轨迹(1)时,你可能会注意到在ThreatConnect用户界面中,你现在可以选择导出你的数据(2)。您将在什么时候选择一个弹出式信息框