压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

浪費時間及金錢?歸因到底有多大用

多數企業不能通過歸因獲得更好的安全態勢。實際效果恰恰相反。

說到網絡安全,全世界都執著于歸因。太多聳人聽聞的頭條全是質問、猜測或者號稱證實攻擊者身份的。或許,分類和響應事件時天然就有回答 “攻擊者是誰” 的沖動吧,但大多數情況下,這絕不是鞏固安全的正確途徑。很多安全主管都在一種錯誤的前提下管理公司安全操作,總將 “攻擊者” 等同于 “攻擊方法”,這種觀念不僅適得其反,還十分危險。

公司企業遭攻擊是常態,也往往苦于無法快速響應和緩解攻擊以評估損失。安全團隊需快速查清攻擊途徑,才可以采取相應措施防止同類事件再次發生。也就是說,團隊需將注意力集中到受影響數據及設備、特定攻擊方法,以及怎樣關閉可能仍舊暴露在外的訪問點上。搞清攻擊背后的威脅團伙身份是一項消耗時間、精力和資源的活動,會分散保持公司網絡安全所需的人手和資源。

不妨想象一下這樣的場景:公司首席財務官落入商業電郵欺詐陷阱,按照精心編造的電郵指示向第三方轉賬了大筆資金。搞清攻擊背后主謀的身份并不能防止類似攻擊再次發生,對找回被盜資金、商業秘密或其他產權也毫無作用。

歸因研究是大多數 IT 和安全團隊都承擔不起的精力分散,是在浪費寶貴的時間和預算。與其投入歸因,團隊更應該徹底了解到底發生了什么,圍繞更有益防患于未然的問題進行深入細致的技術性分析,比如:入侵者是怎么進來的?他們是怎么訪問到那些數據的?錢都轉到哪兒了?使用了哪些賬戶?

再舉個勒索軟件攻擊的例子。隨著攻擊者從廣撒網式技術轉向更個性化的定制攻擊,公司企業需了解勒索軟件是如何部署的,而不是專注于到底哪個黑客團伙在投放哪種惡意軟件。應從 “X 如何驅動 Y?”的角度解決該風險。從這個意義上講,對防御者而言,理解外部可訪問管理協議是怎么方便了勒索軟件部署的,遠比去研究歸因來得重要。

作為安全分析師,事件發生后第一時間應該做的事有:

1. 了解你的資產

安全團隊歷來人手不足、資金不足、支持不足,且時間永遠是最昂貴也最有限的資產。把時間花在確定歸因上不如花在別的地方。團隊應全力聚焦了解自身網絡,理解失誤是怎么發生的,然后制定出防止未來類似事件再次發生的計劃。他們應該詢問有關自身網絡和終端的問題,重點突出可見性問題,汲取以往過失的教訓,弄清架構上的特異之處。

2. 威脅數據用起來

多數公司企業并未用好手邊的大量威脅數據,或者未有效使用自身環境驗證威脅數據。相反,他們依賴這些數據的源頭來確定流行程度。但健壯的整體防御態勢和通過威脅追捕進行的威脅評估,比攻擊者識別更有價值。

有經驗的威脅獵手了解并提煉可行性基礎情報,使用該數據主動發現潛在入侵。對他們而言,“攻擊者”不過是輔助組織戰術、技術和規程 (TTP) 的諸多標簽之一,應被當成事后行為,是“事后報告”或經驗總結階段的一環。

3. “攻擊者”什么時候重要?

“無視歸因” 原則也有一些例外。知道誰是攻擊背后主謀,對已經具備成型防御操作、足夠可見性和組織良好的威脅追捕及威脅情報團隊的成熟企業而言,幫助很大。對已經可以很輕松地弄清對手 “攻擊方法” 和 “攻擊目標” 的公司而言,歸因可以作為評估潛在對手的一部分工作,讓公司能夠優化防御動作。

安全社區執行的調查也需要歸因的加持。從 “嫌疑人 X 會怎么做?” 的角度展開調查,有利于威脅研究人員和司法機構構建自身威脅追捕行動。敵對行為細致分類,也可促進同行間威脅信息共享,創建更好的行業協作空間。

雖說任由好奇心主宰初始動作的想法聽起來很誘人,但公司企業應避免落入歸因陷阱。審查自身全部安全項目,了解資產內容和位置,分析這些數據,才是公司企業真正該做的。多數企業不能通過歸因獲得更好的安全態勢。相反,歸因實際上會令人放下更基礎更有效的事件響應措施,而去進行 “誰干了這事兒?” 的研究,對阻止威脅、鞏固防御起到反效果。

上一篇:亞信安全通過CMMI5復評 研發管理能力獲得國際權威認可

下一篇:發個快遞即可實施網絡入侵 IBM X-Force 發現新型網絡風險