来自 CC防护 2021-02-13 21:17 的文章

cc防御盾_简析_济南棋牌高防

cc防御盾_简析_济南棋牌高防

很容易被你的组织所面临的所有网络威胁所淹没。每天都会有新的关于最新威胁组或恶意软件的研究,很容易让人觉得你埋头于对威胁的报道中。没有一个团队能够完全理解或跟踪每一个威胁,所以你必须优先考虑什么是重要的,这样你才能集中精力防御这些威胁。幸运的是,有一种方法可以帮助你:威胁建模!在这篇文章中,我将概述一个实用的,智能驱动的方法,你可以用来开始威胁建模。(如果你喜欢视频,可以看看我在今年的Shmoocon上做的演示。)什么是威胁建模?像我一样,防御cc攻击代码,你可能听说过"这不在我的威胁模型中"的说法,但我觉得这是一个我没有完全理解的术语,所以我开始挖掘。从我的研究中,我发现威胁建模是试图安全设计的软件或系统工程师常用的概念。有许多不同的威胁建模方法,其中大多数采用以系统为中心或以软件为中心的方法。他们考虑系统可能面临的所有潜在威胁,并试图在开发软件或系统时考虑这些威胁。当我开始阅读这些方法时,我意识到这些方法并不容易!如果完全遵循这些模式,任何一个模型都可能需要一个团队几个月的时间来应用。作为一个威胁情报分析员,我对考虑所有威胁的想法感到不知所措-我不可能跟上外面的一切!是的,考虑所有的威胁是很难的! 考虑到现有的方法,并受我所教的SANS课程(578:网络威胁情报)中的内容的启发,我想简化可能是一个漫长的过程,并使其更容易为维护者和分析人员所用。我的威胁建模方法并不是什么新鲜事,它只是一个简化的、实用的版本,它引入了威胁情报的视角。我对情报驱动的威胁建模的定义很简单:它是找出对手关心的东西的过程。所有这些都是关于检查你的组织拥有什么("我们")以及对手如何可能在你之后("他们")。用维恩图表示,它看起来像这样: 简化流程以下是我建议从情报驱动的威胁建模开始的四个步骤:了解您的组织知道你的威胁区分优先顺序并进行匹配使之可行威胁建模可以很快变得复杂,但我建议从简单开始,然后从那里迭代。"别让我成为一个完美的敌人"。了解您的组织你需要对你的组织有一些了解,这样才能找出最重要的威胁。众所周知,拥有一个准确的资产清单是非常困难的(如果不是不可能的话),但是你可以从一个比每一个主机更高的层次来思考。如果您确实有任何类型的资产清册或网络地图,那么您就可以了解网络上的系统和操作系统的类型(即使它不是100%准确),这是一个很好的起点。要真正了解你的组织,你就得去和别人谈谈。我建议找一个安静的系统管理员,他已经在那里工作了20年了(你知道,那个人是唯一知道某个模糊数据库的人吗?是的,他们)。系统管理员有时比任何人都了解网络!去找那个人,和他们谈谈你的网络是如何布置的:互联网面临什么?你有什么样的操作系统?人们最忽视的网络安全领域是什么?另一种思考什么对你的组织很重要的方法是想象最坏的情况。如果你在零售业,可能是你的网站在黑色星期五倒闭了。MITRE的"皇冠宝石分析"等资源可以帮助您尝试识别这些"皇冠宝石"资产,这些资产对组织的任务运作至关重要。不管你有什么信息,即使是高水平的,也要记录下来。我将使用思维导图给出高层次的例子。在我们虚构的组织零售商中,我们收集了一些有关操作系统、我们关心的web服务器以及我们商店中有销售点(PoS)系统的高级信息。 知道你的威胁既然你对你的组织有了一些重要的认识,那就看看威胁吧。有成千上万(如果不是数百万…*战栗*)不同的威胁集团和恶意软件家族在那里,搭建高防cdn,所以开始接受你只是不能集中在他们所有。一个简单的方法来理解什么样的威胁对你很重要,那就是和你的同龄人交谈。去找那些在像你这样的机构工作的人,问问他们正在追踪的最大威胁。像信息共享和分析中心(ISAC)这样的正式信息共享小组是寻找同龄人的好地方,但不要忽视通过社交媒体互动、参加(虚拟)非正式小组的力量以及其他方式的网络。很多人都乐于分享,即使是那些你可能认为是竞争对手的公司,我的灵感来自于"我们都在一起"这一共同的态度如果你正在采取一种以技术为中心的方法来应对威胁,我们的2020年威胁检测报告是另一种资源,你可以用来查看各个行业的顶级技术细分。你还应该问问你的组织是否有人知道你过去所面临的威胁。即使你没有一个正式的网络威胁情报小组,也许你的安全运营中心(SOC)的人会记得以前勒索软件事件中的恶意软件家族。您还应该密切关注研究人员、供应商和本社区其他许多人发布的有关威胁的大量公开信息来源。任何RSS提要阅读器都可以帮助你做到这一点,还有Twitter和每周威胁汇总以及不同来源提供的电子邮件。比如无新闻报道。这是一个概念性的思维导图,上面列出了所有这些操作的结果。在与我们的概念SOC交谈后,他们告诉我们,我们以前见过红色列出的威胁。橙色是我们了解到的影响合作伙伴零售组织的威胁,黄色是我们本周在Twitter上看到的威胁。区分优先顺序并进行匹配既然您对"我们"(我们的组织)和"他们"(我们的威胁)都有了一点了解,让我们深入了解它们是如何重叠的。当你这样做的时候,想想你已经识别出了哪些威胁,以及这些威胁可能会影响到你的组织中的哪些资产。这将是艰难的,ddos防御软防御,但请记住,如果这不完美也没关系。当我们看到我们之前发现的概念性威胁时,我们开始优先考虑并排除那些可能不相关的威胁。我们知道APT1在10年前就瞄准了我们,防御ddos攻击s高防评价,所以我们决定暂时把它们放在一边。xunt的目标主要是中东组织,而我们虚构的组织在北美,所以我们决定他们不是首要任务。同样,APT32主要关注东南亚的受害者,所以我们把他们放在一边。再说一次,防御cc节点,我们并不是说这些威胁根本不重要或根本不重要,而是说它们现在不是我们的首要任务。您还应该记住,通过解决您的首要威胁,您可能也会处理许多其他威胁,因为不同的参与者共享策略、技术和过程(TTP)。考虑到我们认为重要的其余威胁,让我们通过将威胁与我们认为他们可能攻击的资产联系起来,来验证它们的作用。在我们这样做的时候,我们意识到Shlayer是一个影响macOS的威胁,因为我们的环境中没有mac,所以我们决定暂时取消它的优先级。使之可行现在你有了一个思维导图(或图表、电子表格或数据库,任何对你有用的东西),其中有一个映射到威胁的资产列表:Ryuk→Windows图7→Windows和PoS系统Emotet→窗口TA505→车窗钴集团→Windows和PoS系统这对我们有什么好处?不多,除非我们采取行动。有了这个优先的列表,你就可以决定你应该防御什么。一个威胁在过去所做的并不一定代表它将来会做什么,但这是一个很好的起点。对于每一个优先考虑的威胁,根据防御者的需要,构建关于恶意软件、工具、ttp和/或指示器的信息。下一步,考虑到您组织的资产,就如何抵御这种威胁向他们提出建议。例如,我们确定FIN7过去针对的是Windows,而我们的组织现在正试图编写用于检测的行为分析,因此我们可以提供FIN7过去在Windows上使用过的ttp列表。你的建议将取决于你的组织和你的团队的复杂程度,但可能包括收集一个新的日志源,创建一个新的查询,或者编写新的行为分析(你可以从2020年的威胁检测报告中得到很多想法)。我的前队友亚当·彭宁顿(Adam Pennington)为CTI培训模块5提供了一个很好的参考资料,尤其是在技术层面。你也可以寻找威胁的共同点,并根据这些威胁的共同点优先考虑防御建议。如果您使用的是ATT&CK这样的结构化框架,那么很容易找到这些框架。下面是一个图表,展示了如何使用ATT&CK Navigator来比较不同威胁使用的技术(最常用的技术是红色的),从而创建常见技术的热图。这为您提供了一种简单的方法,可以根据对您最重要的威胁来确定应该重点检测或减轻的技术的优先级。冲洗并重复上述过程中最困难的部分之一就是承认它并不完美。而这个简化的威胁建模过程赢得了胜利