【原】网络安全防护不能止步于阻止中断

许多 CISO 和安全专家用同一句话来应对威胁，“我不在乎是谁在攻击我，我只是想阻止他。” ，所以各单位部署了一系列安全工具来更好地阻止攻击，希望攻击者去别处。这真的有效吗？一些成熟的安全团队拥有成熟的检测和情报程序，这些程序将序列化代码放在其 SOC 和情报报告的底部，最终累积成一个美元（成本）防损号码。但很少有企业能真正有效地做到这一点。

攻击者只有在其基础设施被破坏且资金流消失时才会真正停止，而这通常只能通过（美国）执法和情报机构以及主要商业数据托管提供商的活动来实现。

国家安全界需要私营部门提供背景信息。完整的上下文可以包括受害者和攻击者的 IP、日期/时间、VPS 的注册电子邮件、网络钓鱼电子邮件、受害者电子邮件、网站托管信息、与基础设施相关的电话号码、配置文件名称、账户名、攻击者的其他电子邮件以及论坛样式初学者的属性和内容。从历史上看，服务提供商一直是政府组织的数据来源，但受害组织通常有观察结果，这些观察结果也可以极大地帮助创建攻击者的全貌。正如重大打击所证明的那样，对手并非万无一失。他们会犯错误，服务提供商、受害者和网络行业之间的数据关联是确保他们为这些错误付出代价的关键。

从服务提供商的角度来看，对手的错误通常包括使用位于同一国家或目标的亲密盟友的提供商。随着攻击者转向基础设施的“防弹”托管，此错误变得越来越少。在许多情况下，受害者的安全操作和事件响应团队甚至可能不知道他们在调查过程中发现的错误。这些错误有多种形式，包括：

混淆错误

不管他们的老练程度如何，攻击者都会试图隐藏他们在互联网上的真实存在点。为了成功地做到这一点，可能会重复这个过程几十次。这些在准备、执行和获利回吐过程中的反复尝试创造了犯错的机会。

例子包括：

• 在获取域以支持攻击时忘记启用私人注册

• 未能正确加密他们的流量

• 在连接到他们的命令和控制基础设施之前忘记正确启用 VPN 或代理

• 未能从可交换图像文件格式 (exif) 数据中删除 PII——一种指定数码相机、扫描仪和其他处理数码相机记录的图像和声音文件的系统使用的图像、声音和辅助标签格式的标准——在发布图片之前他们对第三方文件共享网站或pastebin网站的犯罪记录

基础设施再利用

安全地获得基础设施既困难又昂贵。对于大多数有经济动机的攻击者来说，如果可以重用其基础设施的元素，就可以增加利润。即使是拥有无限时间和资源的 APT 组织也会在计算机网络利用的不同阶段之间实施适当的代码分段时犯错误。对于防御者来说，找到这些重叠不仅是归因的关键因素，也是威胁预防的关键因素。

例子包括：

• 在攻击中重复使用证书

• 在角色账户和实名账户之间重复特定语言或其他文体指标

• 在不同的鱼叉式网络钓鱼攻击或虚假信息网站上部署相同的内容

• 在各种攻击或虚假信息活动中重复使用图像

• 回收用户名和电子邮件地址以注册恶意域

• 回收用户名和电子邮件地址以订阅第三方文件服务器或虚拟专用服务器

自我

每一次攻击的背后都是人，许多攻击者都非常自负。除了通过勒索软件、出售窃取的数据或散布虚假信息从他们的操作中获利外，一些参与者还喜欢胜利带来的快感。但是，他们犯的错误表明了他们的实力。在这些自我控制的情况下，攻击者觉得他们已经赢了，因此可以在他们放松警惕时被抓住。

例子包括：

• 使用在背景中包含 PII 或可识别地理地标的照片在线发布以宣传他们自己和他们的攻击

• 直接与受害者接触，陷入自吹自擂的“黑帽”或“灰帽”对话，并透露特定的 TTP 以“证明”他们进行了攻击

• 在在线论坛中与同行互动以展示他们的技能，在此过程中赠送 TTP

• 未能使用与实际实施攻击时相同的安全协议来在线谈论他们的攻击

威胁行为者像任何普通企业一样关注投资回报率 (ROI)。他们需要一个可重复、分工和规模的系统，使他们能够最大限度地提高利润。通过这些过程，攻击者犯下的错误让企业了解如何更好地防御。威胁情报和事件响应团队应具有灵活的“防火墙外”调查能力。此类功能可以随着企业的运营节奏而扩展，并且对于为利益相关者提供及时和相关的问题答案至关重要。

同样重要的是能够正确分类和管理对分析发生的期望。利用 CTI 支持事件响应和内部威胁、快速评估收购、欺诈调查、监控和响应地缘政治事件，以及解决对人员和设施的实时威胁，这些都是归因和发现威胁错误的能力的常见用例。

编译自：安全周刊

>>>等级保护<<<

2. 
   
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 回看等级保护：重要政策规范性文件43号文（上）

5. 网络安全等级保护实施指南培训PPT
   

6. 网络安全等级保护安全物理环境测评培训PPT
   

7. 网络安全等级保护：等级保护测评过程要求PPT

8. 网络安全等级保护：安全管理中心测评PPT
   

9. 网络安全等级保护：安全管理制度测评PPT
   

10. 网络安全等级保护：定级指南与定级工作PPT
    

11. 网络安全等级保护：云计算安全扩展测评PPT
    

12. 网络安全等级保护：工业控制安全扩展测评PPT
    

13. 网络安全等级保护：移动互联安全扩展测评PPT

14. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
15. 网络安全等级保护：等级测评中的渗透测试应该如何做
16. 网络安全等级保护：等级保护测评过程及各方责任
17. 网络安全等级保护：政务计算机终端核心配置规范思维导图
18. 网络安全等级保护：什么是等级保护？
    
19. 网络安全等级保护：信息技术服务过程一般要求

20. 网络安全等级保护：浅谈物理位置选择测评项

21. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
22. 闲话等级保护：什么是网络安全等级保护工作的内涵？
23. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
24. 闲话等级保护：测评师能力要求思维导图
    
25. 闲话等级保护：应急响应计划规范思维导图
    
26. 闲话等级保护：浅谈应急响应与保障
    
27. 闲话等级保护：如何做好网络总体安全规划
    
28. 闲话等级保护：如何做好网络安全设计与实施
    
29. 闲话等级保护：要做好网络安全运行与维护
    
30. 闲话等级保护：人员离岗管理的参考实践

31. 信息安全服务与信息系统生命周期的对应关系

33. >>>工控安全<<<
34. 
    
35. 工业控制系统安全：信息安全防护指南
36. 工业控制系统安全：工控系统信息安全分级规范思维导图
37. 工业控制系统安全：DCS防护要求思维导图
38. 工业控制系统安全：DCS管理要求思维导图
39. 工业控制系统安全：DCS评估指南思维导图
40. 工业控制安全：工业控制系统风险评估实施指南思维导图
41. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
42. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
43. 
    
44. >>>数据安全<<<

45. 数据治理和数据安全

46. 数据安全风险评估清单

47. 成功执行数据安全风险评估的3个步骤

48. 美国关键信息基础设施数据泄露的成本

49. 备份：网络和数据安全的最后一道防线

50. 数据安全：数据安全能力成熟度模型

51. 数据安全知识：什么是数据保护以及数据保护为何重要？

52. 信息安全技术：健康医疗数据安全指南思维导图

53. 金融数据安全：数据安全分级指南思维导图

54. 金融数据安全：数据生命周期安全规范思维导图
    

56. >>>供应链安全<<<

57. 美国政府为客户发布软件供应链安全指南
    

58. OpenSSF 采用微软内置的供应链安全框架
    

59. 供应链安全指南：了解组织为何应关注供应链网络安全
    

60. 供应链安全指南：确定组织中的关键参与者和评估风险
    

61. 供应链安全指南：了解关心的内容并确定其优先级

62. 供应链安全指南：为方法创建关键组件

63. 供应链安全指南：将方法整合到现有供应商合同中

64. 供应链安全指南：将方法应用于新的供应商关系

65. 供应链安全指南：建立基础，持续改进。

66. 思维导图：ICT供应链安全风险管理指南思维导图
    

67. 英国的供应链网络安全评估

68. >>>其他<<<

69. 网络安全十大安全漏洞

70. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

71. 网络安全等级保护：应急响应计划规范思维导图

72. 安全从组织内部人员开始

73. VMware 发布9.8分高危漏洞补丁

74. 影响2022 年网络安全的五个故事

75. 2023年的4大网络风险以及如何应对

76. 网络安全知识：物流业的网络安全

77. 网络安全知识：什么是AAA（认证、授权和记账）？

78. 美国白宫发布国家网络安全战略

79. 开源代码带来的 10 大安全和运营风险

80. 不能放松警惕的勒索软件攻击