许多 CISO 和安全专家用同一句话来应对威胁,“我不在乎是谁在攻击我,我只是想阻止他。” ,所以各单位部署了一系列安全工具来更好地阻止攻击,希望攻击者去别处。这真的有效吗?一些成熟的安全团队拥有成熟的检测和情报程序,这些程序将序列化代码放在其 SOC 和情报报告的底部,最终累积成一个美元(成本)防损号码。但很少有企业能真正有效地做到这一点。 攻击者只有在其基础设施被破坏且资金流消失时才会真正停止,而这通常只能通过(美国)执法和情报机构以及主要商业数据托管提供商的活动来实现。 国家安全界需要私营部门提供背景信息。完整的上下文可以包括受害者和攻击者的 IP、日期/时间、VPS 的注册电子邮件、网络钓鱼电子邮件、受害者电子邮件、网站托管信息、与基础设施相关的电话号码、配置文件名称、账户名、攻击者的其他电子邮件以及论坛样式初学者的属性和内容。从历史上看,服务提供商一直是政府组织的数据来源,但受害组织通常有观察结果,这些观察结果也可以极大地帮助创建攻击者的全貌。正如重大打击所证明的那样,对手并非万无一失。他们会犯错误,服务提供商、受害者和网络行业之间的数据关联是确保他们为这些错误付出代价的关键。 从服务提供商的角度来看,对手的错误通常包括使用位于同一国家或目标的亲密盟友的提供商。随着攻击者转向基础设施的“防弹”托管,此错误变得越来越少。在许多情况下,受害者的安全操作和事件响应团队甚至可能不知道他们在调查过程中发现的错误。这些错误有多种形式,包括: 混淆错误 不管他们的老练程度如何,攻击者都会试图隐藏他们在互联网上的真实存在点。为了成功地做到这一点,可能会重复这个过程几十次。这些在准备、执行和获利回吐过程中的反复尝试创造了犯错的机会。 例子包括:
基础设施再利用 安全地获得基础设施既困难又昂贵。对于大多数有经济动机的攻击者来说,如果可以重用其基础设施的元素,就可以增加利润。即使是拥有无限时间和资源的 APT 组织也会在计算机网络利用的不同阶段之间实施适当的代码分段时犯错误。对于防御者来说,找到这些重叠不仅是归因的关键因素,也是威胁预防的关键因素。 例子包括:
自我 每一次攻击的背后都是人,许多攻击者都非常自负。除了通过勒索软件、出售窃取的数据或散布虚假信息从他们的操作中获利外,一些参与者还喜欢胜利带来的快感。但是,他们犯的错误表明了他们的实力。在这些自我控制的情况下,攻击者觉得他们已经赢了,因此可以在他们放松警惕时被抓住。 例子包括:
威胁行为者像任何普通企业一样关注投资回报率 (ROI)。他们需要一个可重复、分工和规模的系统,使他们能够最大限度地提高利润。通过这些过程,攻击者犯下的错误让企业了解如何更好地防御。威胁情报和事件响应团队应具有灵活的“防火墙外”调查能力。此类功能可以随着企业的运营节奏而扩展,并且对于为利益相关者提供及时和相关的问题答案至关重要。 同样重要的是能够正确分类和管理对分析发生的期望。利用 CTI 支持事件响应和内部威胁、快速评估收购、欺诈调查、监控和响应地缘政治事件,以及解决对人员和设施的实时威胁,这些都是归因和发现威胁错误的能力的常见用例。 编译自:安全周刊 >>>等级保护<<<
|
|