獨家深度解碼ATT&CK
ATT&CK
視頻講堂
發布日期:2020-04-02
隨著網絡攻擊技術和工具越來越先進,攻擊者和網絡犯罪組織變得越來越囂張,而作為防守方的組織機構想要檢測是否發生了入侵卻變得越來越困難。整個網絡環境變得愈發復雜,傳統基于特征值的被動檢測技術效果變得越來越差,沒有哪個組織機構能夠100%檢測到惡意活動。被動等待獲取入侵證據已經不能發揮很大價值,組織機構不能"坐等"明顯入侵特征出現再進行響應,而是要主動出擊尋找入侵者,進行"威脅狩獵"。
威脅狩獵是指在服務器和終端追蹤異?;顒?,包括數據被竊取、入侵或泄露的跡象。盡管威脅狩獵的概念并不新鮮,但是對于許多組織來說,如何有效執行威脅狩獵依然是個難題。以前,針對入侵的普遍心態是被動等待。不過,這種方法通常意味著,從入侵開始到真正被發現或檢測出來要等待1-6個月的時間,這足以讓攻擊者收集足夠信息,對組織機構造成巨大危害。
開展威脅狩獵時,組織機構就要像叢林里的獵豹一樣去尋找獵物,通過人主動去尋找入侵痕跡,而不是被動等待技術告警,希望通過主動尋找入侵者存在或不存在的跡象。威脅狩獵就是尋找那些"異?,F象",也就是平時不會發生的非常規現象。在這個過程,需要從人員、技術和流程三個方面著手。