压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

多數(shù)企業(yè)不能通過歸因獲得更好的安全態(tài)勢。實際效果恰恰相反。

說到網(wǎng)絡安全，全世界都執(zhí)著于歸因。太多聳人聽聞的頭條全是質(zhì)問、猜測或者號稱證實攻擊者身份的。或許，分類和響應事件時天然就有回答 “攻擊者是誰” 的沖動吧，但大多數(shù)情況下，這絕不是鞏固安全的正確途徑。很多安全主管都在一種錯誤的前提下管理公司安全操作，總將 “攻擊者” 等同于 “攻擊方法”，這種觀念不僅適得其反，還十分危險。

公司企業(yè)遭攻擊是常態(tài)，也往往苦于無法快速響應和緩解攻擊以評估損失。安全團隊需快速查清攻擊途徑，才可以采取相應措施防止同類事件再次發(fā)生。也就是說，團隊需將注意力集中到受影響數(shù)據(jù)及設備、特定攻擊方法，以及怎樣關閉可能仍舊暴露在外的訪問點上。搞清攻擊背后的威脅團伙身份是一項消耗時間、精力和資源的活動，會分散保持公司網(wǎng)絡安全所需的人手和資源。

不妨想象一下這樣的場景：公司首席財務官落入商業(yè)電郵欺詐陷阱，按照精心編造的電郵指示向第三方轉賬了大筆資金。搞清攻擊背后主謀的身份并不能防止類似攻擊再次發(fā)生，對找回被盜資金、商業(yè)秘密或其他產(chǎn)權也毫無作用。

歸因研究是大多數(shù) IT 和安全團隊都承擔不起的精力分散，是在浪費寶貴的時間和預算。與其投入歸因，團隊更應該徹底了解到底發(fā)生了什么，圍繞更有益防患于未然的問題進行深入細致的技術性分析，比如：入侵者是怎么進來的？他們是怎么訪問到那些數(shù)據(jù)的？錢都轉到哪兒了？使用了哪些賬戶？

再舉個勒索軟件攻擊的例子。隨著攻擊者從廣撒網(wǎng)式技術轉向更個性化的定制攻擊，公司企業(yè)需了解勒索軟件是如何部署的，而不是專注于到底哪個黑客團伙在投放哪種惡意軟件。應從 “X 如何驅(qū)動 Y？”的角度解決該風險。從這個意義上講，對防御者而言，理解外部可訪問管理協(xié)議是怎么方便了勒索軟件部署的，遠比去研究歸因來得重要。

作為安全分析師，事件發(fā)生后第一時間應該做的事有：

1. 了解你的資產(chǎn)

安全團隊歷來人手不足、資金不足、支持不足，且時間永遠是最昂貴也最有限的資產(chǎn)。把時間花在確定歸因上不如花在別的地方。團隊應全力聚焦了解自身網(wǎng)絡，理解失誤是怎么發(fā)生的，然后制定出防止未來類似事件再次發(fā)生的計劃。他們應該詢問有關自身網(wǎng)絡和終端的問題，重點突出可見性問題，汲取以往過失的教訓，弄清架構上的特異之處。

2. 威脅數(shù)據(jù)用起來

多數(shù)公司企業(yè)并未用好手邊的大量威脅數(shù)據(jù)，或者未有效使用自身環(huán)境驗證威脅數(shù)據(jù)。相反，他們依賴這些數(shù)據(jù)的源頭來確定流行程度。但健壯的整體防御態(tài)勢和通過威脅追捕進行的威脅評估，比攻擊者識別更有價值。

有經(jīng)驗的威脅獵手了解并提煉可行性基礎情報，使用該數(shù)據(jù)主動發(fā)現(xiàn)潛在入侵。對他們而言，“攻擊者”不過是輔助組織戰(zhàn)術、技術和規(guī)程 (TTP) 的諸多標簽之一，應被當成事后行為，是“事后報告”或經(jīng)驗總結階段的一環(huán)。

3. “攻擊者”什么時候重要？

“無視歸因” 原則也有一些例外。知道誰是攻擊背后主謀，對已經(jīng)具備成型防御操作、足夠可見性和組織良好的威脅追捕及威脅情報團隊的成熟企業(yè)而言，幫助很大。對已經(jīng)可以很輕松地弄清對手 “攻擊方法” 和 “攻擊目標” 的公司而言，歸因可以作為評估潛在對手的一部分工作，讓公司能夠優(yōu)化防御動作。

安全社區(qū)執(zhí)行的調(diào)查也需要歸因的加持。從 “嫌疑人 X 會怎么做？” 的角度展開調(diào)查，有利于威脅研究人員和司法機構構建自身威脅追捕行動。敵對行為細致分類，也可促進同行間威脅信息共享，創(chuàng)建更好的行業(yè)協(xié)作空間。

雖說任由好奇心主宰初始動作的想法聽起來很誘人，但公司企業(yè)應避免落入歸因陷阱。審查自身全部安全項目，了解資產(chǎn)內(nèi)容和位置，分析這些數(shù)據(jù)，才是公司企業(yè)真正該做的。多數(shù)企業(yè)不能通過歸因獲得更好的安全態(tài)勢。相反，歸因?qū)嶋H上會令人放下更基礎更有效的事件響應措施，而去進行 “誰干了這事兒？” 的研究，對阻止威脅、鞏固防御起到反效果。