压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

我們一直都處于優(yōu)勢地位，我們擁有端點(diǎn)。

對抗任何對手的一個(gè)共同點(diǎn)是什么？在攻擊者和防御者間的斗爭中，最寶貴的“制勝秘訣”是什么？到目前為止，對手始終擁有的一個(gè)優(yōu)勢是什么？SentinelOne 首席安全技術(shù)專家 Scott Scheferman 寫道，答案就是時(shí)間本身。

威脅 (從WannaCry和NotPetya到MegaCortex和RobinHood) 之所以能夠取得成功的原因其實(shí)并不復(fù)雜。它們只是始終走在了我們前面而已，遠(yuǎn)在我們能夠阻止它們之前就成功實(shí)現(xiàn)了入侵。威脅正在以 “機(jī)器速度” 不斷向前發(fā)展，然而，我們的防御能力并沒有達(dá)到這種程度。威脅是高度自動化的，然而，我們的防御并不是！

WannaCry 可以說是有史以來復(fù)雜程度最低且寫得最差的勒索軟件有效載荷之一。但正是由于其驚人的傳播速度，最終戰(zhàn)勝了企業(yè)的防御機(jī)制并擊潰了反應(yīng)落后的事件響應(yīng)團(tuán)隊(duì)，為全球企業(yè)造成了難以挽回的慘重后果。

確實(shí)，這篇文章最重要的一個(gè)觀點(diǎn)就是 “我們的防御速度滯緩”。大多數(shù)威脅并沒有極其復(fù)雜的技術(shù)和戰(zhàn)略內(nèi)容，它們的制勝秘訣就是比我們的防御速度更快！這就是為什么我們今天仍然無法像兩年前一樣對即將到來的BlueKeep蠕蟲做好準(zhǔn)備的原因。

我們告訴自己的那些謊言

那么我們?nèi)绾尾拍苴A得時(shí)間呢？答案是，我們可以從揭露并顛覆這些不真實(shí)的 “謊言” 開始：“這是一個(gè)關(guān)于‘何時(shí)’ (when) 的問題，如果不是，我們將受到損害” 以及 “攻擊者只需要正確一次就能獲得成功，而防御者則需要始終保持正確才能阻止一次違規(guī)行為。”

事實(shí)是，如果我們作為防御者無法控制 “何時(shí)”，那么它就只能成為一個(gè) “如果……那就（不）” 的問題。

事實(shí)是，我們大多數(shù)人在過去的 3 – 4 年中已經(jīng)建立了龐大的且極度混雜的解決方案堆棧，其中絕大多數(shù)只能在事實(shí)發(fā)生后為我們提供幫助。然后，我們又花了 1 – 2 年的時(shí)間試圖讓所有人能夠相互交流，以了解組織究竟發(fā)生了什么事情。但結(jié)果仍然是太少、太晚！

當(dāng)我們將最好的（和非常稀有的）人才淹沒在繁復(fù)的工作中時(shí)，對手就會從中受益。跟蹤根本原因分析（RCA，一種解決問題的方法，其基于這樣的理念：解決問題的最好方法是修正或消除問題產(chǎn)生的根本原因，而不是僅僅消除問題帶來的表面上顯而易見的不良癥狀）；審查假陽性警報(bào)；不斷改進(jìn)我們的 “劇本” 以適應(yīng)我們所期待的事件；我們已經(jīng)完全喪失了對事件整體情節(jié)的掌握……而這一切無人可怪，要怪只能怪我們自己。大多數(shù)安全供應(yīng)商只會構(gòu)建一些他們認(rèn)為企業(yè)感興趣的東西，而且他們的投資者都希望他們能有涉及 “云” 的項(xiàng)目……希望他們擁有基于訂閱的 OPEX 模型，希望他們出售警報(bào)量、寬帶、數(shù)據(jù)保留、每秒事件數(shù)以及 pew-pew 激光地圖等等。

我們站在這里一遍又一遍地做著同樣的事情，同時(shí)期待獲得更好地結(jié)果。我們面對數(shù)百萬的人才缺口，但是我們?nèi)匀粚o數(shù)繁復(fù)的任務(wù)——事后分析、警報(bào)、誤報(bào)、捕獲、根本原因分析活動——壓在為數(shù)不多的幾名疲憊不堪的分析師身上。

端點(diǎn)是網(wǎng)絡(luò)安全的戰(zhàn)場

擊敗對手的關(guān)鍵是要了解他們的去向，他們到達(dá)目標(biāo)點(diǎn)后會做些什么，然后采取能夠預(yù)見敵人行動路徑的措施，以順利阻斷他們的前行道路。而這場戰(zhàn)爭的戰(zhàn)場就在端點(diǎn)……沒錯(cuò)，就是你的端點(diǎn)。這是發(fā)起攻擊的地方，同時(shí)也是獲得持久性的地方；這是橫向移動來往反復(fù)的地方；這是流程被注入的地方，是網(wǎng)絡(luò)數(shù)據(jù)包源自的地方，是數(shù)據(jù)存在的地方也是最終用戶創(chuàng)建的地方；這是惡意行為者滲透的入口，而且這幾乎總是根本原因分析 (RCA) 最終指向的目標(biāo)。

我運(yùn)營了事件響應(yīng)小組多年，且非常有幸地訪問過成千上萬的妥協(xié)評估報(bào)告。我已經(jīng)可以告訴你你的 RCA 結(jié)果將會是什么樣；我知道他們是如何侵入的——魚叉式網(wǎng)絡(luò)釣魚、社會工程手段、遠(yuǎn)程桌面協(xié)議 (RDP)、易受攻擊的 Web 服務(wù)、內(nèi)部威脅，以及您的托管安全服務(wù)提供商 (MSSP) 或第三方/供應(yīng)鏈。

遺憾的是，我們大多數(shù)人可能沒有在每個(gè)面向外部的應(yīng)用程序上運(yùn)行多因素身份驗(yàn)證 (MFA) 機(jī)制；或者，我們?nèi)栽谶\(yùn)行不需要的 RDP 服務(wù)，并期待將它們放入VPN中會有所不同；也可能我們?nèi)晕葱迯?fù)我們的軟件安全開發(fā)生命周期（SSDLC），因?yàn)槲覀儧]有權(quán)力或是能力來實(shí)現(xiàn)這樣做所需的文化變革。而且沒錯(cuò)，我們的最終用戶仍在點(diǎn)擊內(nèi)容，因?yàn)檫@就是最終用戶在用于點(diǎn)擊內(nèi)容的設(shè)備上所做的事情！他們不是問題，而且有效地培訓(xùn)他們只是部分解決方案，即使我們對他們的行為有了可衡量的改進(jìn)。

如果我們想要贏得勝利，就必須控制自己的端點(diǎn)。控制端點(diǎn)與被動地了解端點(diǎn)發(fā)生了什么事情并不是一回事，它指的也不是從備份中還原端點(diǎn)的能力。它指的是在流程級別和軟件安全開發(fā)生命周期上對其進(jìn)行控制。

如果我們擁有世界上所有的可見性：完全透明的視角，20/20 的視覺（即正常人 20 feet 能看清的東西你在 20 feet 之外也能看清）以及完美的后見之明，但是它卻無法在壞事發(fā)生之前足夠快地通知我們采取行動，那么我們所獲得的這些可見性就是對寶貴（人力）資源的無意義浪費(fèi)，同時(shí)也是問題的根源所在。

扭轉(zhuǎn)對抗局面

現(xiàn)在是時(shí)候扭轉(zhuǎn)戰(zhàn)局，為實(shí)現(xiàn)防御者的利益贏得時(shí)間了。在前文中，我提出了一個(gè)誤導(dǎo)性的看法，即我們習(xí)慣告訴自己：攻擊者只需要正確一次就可以取得成功，而防御者則需要始終（100% 的時(shí)間）保持正確才能阻止一次違規(guī)行為。

現(xiàn)在，我們重新整理一下這種說法，讓它利好于我們：攻擊者在取得成功前的每一步都必須是正確的，而防御者只需要正確一次就可以阻止破壞行為的發(fā)生。

事實(shí)上，我們一直都處于優(yōu)勢地位。我們擁有端點(diǎn)。這是我們的領(lǐng)地。我們能夠控制發(fā)生了什么，以及沒有發(fā)生什么。我們只是沒有實(shí)施足夠主動的“機(jī)器速度”防御措施來跟上威脅的步伐。

我們可以在惡意行為者行動之前護(hù)住內(nèi)核；我們可以在他們站穩(wěn)腳跟之前確定合法程序；我們可以知道大多數(shù)不良行為者在到達(dá)端點(diǎn)之前曾在其中做了什么；我們可以在惡意行為者侵入系統(tǒng)之前，利用神經(jīng)語言程序?qū)W (NLP) 和機(jī)器學(xué)習(xí) (ML) 很好地了解潛在的惡意活動的全局；我們可以卸載任何我們認(rèn)為容易受到攻擊或威脅的軟件；我們也可以撤銷任何未經(jīng)授權(quán)的軟件或用戶對操作系統(tǒng)所作的更改。

我們完全有能力走在惡意行為者前面。如果我們看到從 Word 文檔派生 PowerShell 來獲取遠(yuǎn)程文件，就可以在進(jìn)程完全在內(nèi)存中運(yùn)行之前終止該進(jìn)程。我們可以實(shí)現(xiàn)這一切，因?yàn)檫@是我們的領(lǐng)地，是我們的端點(diǎn)。

如果 MITRE ATT&CK 框架說明了一件事情，那就應(yīng)該是：我們可以并且需要能夠插入一條主動殺傷鏈。ATT&CK 框架是對抗性的策略、相關(guān)技能和共識。框架自身的攻擊性質(zhì)可以讓安全工作著從攻擊視角，深入了解安全事件。ATT&CK 是不同團(tuán)隊(duì)、組織間溝通交流的語言。它的構(gòu)造依賴攻防策略，以及攻擊者可能采用的戰(zhàn)術(shù)、技術(shù)，關(guān)注最嚴(yán)重的脆弱點(diǎn)。

大多數(shù)攻擊是自動化的，但是其自動化并不復(fù)雜，適應(yīng)性也不強(qiáng)。我們完全有能力阻止這些攻擊發(fā)生在我們控制的領(lǐng)域（端點(diǎn)）中。

因此，應(yīng)該說 “攻擊者在取得成功前的每一步都必須是100%正確的”，如果他們想要成功，他們就必須每一步都做到正確無誤。更重要的是，我們能夠發(fā)揮主動性，以能夠預(yù)見其行為的方式成功阻止他們！

就是現(xiàn)在！

時(shí)間是戰(zhàn)斗，端點(diǎn)是戰(zhàn)場。為了在 “機(jī)器速度” 領(lǐng)域贏得時(shí)間的勝利，我們必須實(shí)現(xiàn)自動化。為了實(shí)現(xiàn)自動化，我們必須確信它不會破壞企業(yè)業(yè)務(wù)或使命。為了足夠快地獲得信心，我們必須在適當(dāng)?shù)臅r(shí)間和地點(diǎn)充分利用高可信度的靜態(tài)規(guī)則，以及 NLP 或其他形式的 ML。我們必須能夠在主機(jī)上快速組合足夠的事件，以提供足夠的上下文來識別惡意活動并立即對其進(jìn)行干預(yù)。

除此之外，我們的情報(bào)必須成為戰(zhàn)斗力所在，并允許自動化以機(jī)器速度運(yùn)行。如果我們能夠認(rèn)清重點(diǎn)，并在端點(diǎn)上贏得時(shí)間優(yōu)勢，那么我們就有能力領(lǐng)先威脅一步，并解決我們的身份、憑證、物聯(lián)網(wǎng)、內(nèi)部威脅、軟件安全開發(fā)生命周期以及供應(yīng)鏈安全問題。