来自 CC防护 2021-02-09 07:35 的文章

cc攻击防御_怎么防_云盾防御

cc攻击防御_怎么防_云盾防御

你已经听到了米特阿特克周围的嗡嗡声™ -但是你如何将这个广泛的框架应用到你的安全计划中呢?我们很高兴开始一个由三部分组成的系列网络研讨会,探讨顶级安全团队如何使用ATT&CK作为成熟和扩展其威胁搜寻程序的路线图。第一场会议的主角是MITRE首席网络安全工程师John Wunder,以及两位长期寻找威胁的大师:红金丝雀DFIR战略家兼Sr.SANS讲师菲尔•哈根(Phil Hagen)和炭黑安全策略师里克•麦克尔罗伊(Rick McElroy)。我们与约翰、菲尔和里克坐下来,了解他们关于ATT&CK和威胁狩猎的最重要问题的答案。错过了这个网络研讨会?注册按需录制并访问整个系列。Q: ATT&CK一直是社区中的热门话题。你觉得它为什么会有这么大的吸引力?John Wunder,MITRE首席网络安全工程师我认为在ATT&CK取得成功的过程中,有一些事情要做。首先,ATT&CK采取威胁防御并使之成为现实。它为我们防御对手的任务提供了重点和基础,通过在现实世界中观察对手攻击我们时的行为,并将其组织成一个可理解的知识库。第二,ATT&CK不仅对你的红队、狩猎队或威胁情报队都有价值;它是一个让我们一起工作的常用词汇。最后,作为一个非盈利的跨行业和政府,米特的独特优势使我们能够从社区收集所有这些伟大的知识,并免费和公开地向每个人提供ATT&CK。Q: 菲尔和里克,你们两个都有很长的历史,在寻找威胁方面为团队提供建议。ATT&CK如何与传统模型和方法相适应?有什么样的例子说明威胁狩猎的做法是如何演变成包含ATT&CK的?Phil Hagen,DFIR战略家,红色金丝雀近20年来,我们检测恶意行为的方法一直集中在已知不良行为的特征上。这很快就变得困难了,因为攻击者可以简单地修改他们的代码或操作,以避免那些产生IDS规避概念的特定签名。这拉开了一场军备竞赛的序幕,捍卫者扩大了他们的特征,以捕捉到越来越多的已知不良行为的变异。不幸的是,这种扩大的副产品是假阳性的大量增加,自然,一个信号越不具体,一个无关的行为就越可能匹配。ATT&CK实现了一种完全不同的检测方法。由于ATT&CK对技术进行分类,而不是一般意义上的特定字节序列,这使得检测范围扩大,不容易改变。搜索用户凭据的攻击者将显示与查找始终为true的用户凭据一致的行为。当我们把这个概念转向威胁搜索时,我们将实时行为检测的好处转移到回顾性环境中。通过在已经收集到的证据中寻找ATT&CK定义的行为实例,防御ddos产品,我们可以识别出以前未被发现的可疑行为,从而需要进一步调查。Rick McElroy,炭黑安全策略师在供应商领域上市的速度是惊人的,ATT&CK不仅在防御者的平台上构建了如此之快,而且在这一过程中还对其进行了自动化测试。这将对安全产品的测试和评估产生重大影响。团队现在正在更快地调整他们的防御,并提前自动化测试。这会使针头大幅度移动。Q: ATT&CK如何帮助加快狩猎周期?在威胁狩猎中使用它还有什么好处?当今安全领域最大的问题之一就是我们不知道该关注什么。我们被成堆的威胁报告,甚至是描述我们如何被攻击的tweet淹没了,不知怎么的,我们被期望防御所有这些不同的东西。ATT和CK提供了一个给混乱带来秩序的基础。你可以用它来规划你想找的东西,然后挖掘细节、参考资料,然后用谷歌了解不同的人是如何寻找这些技术的。当你看到那篇让你夜不能寐的新博客文章时,你可以把它和ATT&CK联系起来,以了解真正的新内容和你可能已经覆盖的内容。 在ATT&CK的背景下描述可疑活动可以让我们跳过漫长而令人沮丧的过程,即扩大指标来捕捉"稍有不同的模式",攻击者可以在一场不可能获胜的军备竞赛中继续修改这些模式,直接进入有意义的东西,即仍然有用的核心和底层技术更长的时间。这将导致更有效的检测开发,因为检测手段将在更长的时间内有用。我们越快获得这种长期的有用性,我们就越能有效地发现并最终从环境中补救攻击者。 ATT&CK帮助更快地培养新的团队成员。各小组正在自动进行探测和调整。你能够专注于真正的威胁和风险,并确保你有明确的可见性。 Q: 什么是最好的对手战术和技术开始狩猎?当然,我们都会警告这一点,因为每个组织都是不同的,对我来说有意义的可能对你是错误的。但是,在我看来,一些最好的东西就是凭证转储和PowerShell。获取凭证对任何对手来说都是至关重要的,有一些像样的方法可以找到像Mimikatz这样的工具的用法。在执行方面,PowerShell对于攻击者来说是一个非常强大的工具,因此寻找那些它忽略掉的实例是有意义的。显然,对于这两种情况,你都需要有良好的端点感知,所以如果你还没有的话,cdn高防waf,虚拟主机怎么防御ddos,就有一个计划吧! 正如John提到的,很难对从哪里开始做一个笼统的陈述,因为这取决于你的威胁和你的环境。但如果我必须选择什么,我会说你应该首先关注无文件攻击。攻击者越来越多地使用"靠土地生存"的战术和技术。了解如何检测它们是至关重要的。 我建议每个组织都要认真审查ATT&CK技术,并标记那些会严重危及其业务的技术。有一些常见的线程,比如权限提升和凭证获取,但是ATT&CK提供的范围很广,ddos防御经验,这意味着每个组织对什么是最重要的有不同的解释。这是ATT&CK的一部分,它足够简洁,我们可以定制它的应用程序,而不需要大量的项目。Q: 使用ATT&CK与其他威胁狩猎情报来源有何不同?ATT&CK的一个很好的用法就是学习。当我开始在这个竞技场工作的时候,和其他人一样,我不知道这些事情,我不得不把它们捡起来。ATT&CK页面上的writeup是一个很好的开始,因为它们描述了什么是功能,更重要的是,它是如何被用来对付我们的。然后你可以点击链接,看看它是如何在现实世界中使用的。一旦你拥有了知识的基础,它就可以帮助你找到所有其他威胁情报和狩猎技术的巨大来源。你可以用它来组织你的思维,并把狩猎方法和对手的技术联系起来。 对我来说,ATT&CK变成了一个可以应用于各种威胁情报的覆盖物。与其说这是一个不同的来源,不如说是一个乘数。如果我们收到威胁情报,表明已知某个特定的威胁参与者能够在macOS目标系统上重新引导后幸存下来,我们可以在macOS ATT&CK技术矩阵中寻找属于持久性的任何(可能是所有)技术,以确定威胁参与者实现其目标的不同方式。这显然只是几十个例子中的一个。将ATT&CK作为威胁搜索的一个组成部分,我们并没有获得更多的工具;相反,我们获得了所有现有和未来工具的全新维度。 它提供了一种沟通攻击者行为的方法,这种行为超越了IOC。这推动了基于行为的检测,这本身确实让它有点不同。当我觉得有什么奇怪的东西时,你能更快地看到答案。猎人和防御者可以很快转向ATT&CK,只专注于攻击周期中的技术。Q: 在威胁搜索网络研讨会之前,与会者应该熟悉哪些内容,以便他们能够立即开始实施所学内容?好吧,一个明显的问题是你应该在ATT&CK网站上到处看看!如果你想把你的手弄脏,而且你还不熟悉,我也会开始使用一个SIEM平台,ddos防御360,比如Elastic Stack(ELK)或Splunk(选择你的最爱),然后让一个测试VM开始在其中收集日志。没有什么比亲身体验更好的了。 花点时间在ATT&CK框架中迷失一下。带着问题来吧!把你已经看过的东西画出来。开始考虑你的程序可能会因此而改变。 拿起你最新的威胁情报报告,或者从你最新的指标反馈中挑选一些项目。通读后,查看包含的具体指标,并开始将其放入ATT&CK矩阵中。这将真正打开你的眼睛,以一种全新的方式对传统指标进行分类,使你能够以你以前从未想过的方式应用威胁情报。你越早开始考虑技术而不是指标,你就越早能够在日常工作中利用ATT&CK。点击并访问"威胁"系列。