2、威胁狩猎方法
在我们讨论威胁狩猎的定义之前,让我们通过说明什么不是威胁狩猎来澄清一些关于这个概念的误解。首先,威胁搜索不同于网络威胁情报(CTI)或事件响应(IR),尽管它可以与网络威胁情报(CTI)或事件响应(IR)密切相关。CTI可能是一个很好的搜索起点。IR可能是组织在成功狩猎后的下一步。威胁搜索也不是安装探测工具,尽管这对提高它们的探测能力很有用。此外,它不是在组织的环境中寻找ioc;相反,你将寻找绕过已经被IoCs馈入的检测系统的东西。威胁搜索也不等同于监视,也不等同于在监视工具上随机运行查询。但是,最重要的是,威胁狩猎不是一项只能由一组精选的专家完成的任务。当然,专业知识很重要,但这并不意味着只有专家才能做到。一些威胁捕猎技术需要更长的时间才能掌握;有些是与事件响应和分诊共享的。这种做法本身已经存在多年,远早于它被称为“威胁狩猎”。进行狩猎的主要必要条件是知道问什么以及从哪里找到答案。
那么,什么是威胁狩猎?在第一个无白皮书关于狩猎的威胁,“谁,,,,为什么以及如何有效的威胁狩猎”(),由罗伯特·李和罗伯·李在2016年,他们威胁狩猎定义为“专注和迭代方法寻找,识别、以及了解防御者网络内部的对手。”
让我们进一步扩展这个定义。首先,我们需要说明,威胁狩猎是人类驱动的活动。作为威胁情报,这也是一种积极主动的安全措施,因为这一切都是为了在为时已晚之前采取行动;也就是说,这不是一种反应性措施。威胁猎杀也就是不断地在组织的环境中寻找妥协的迹象。它是迭代的,因为它从其他安全活动中为自己提供服务,同时也为其他安全活动提供服务。另外,威胁狩猎是建立在入侵发生的假设上的。
在威胁狩猎中,我们假设对手已经在我们的环境中,而猎人的工作是尽快识别漏洞,以便将其损害降到最低。这个过程涉及到人类的分析能力,因为这取决于猎人找到入侵的迹象,绕过可能已经存在的自动检测过程。总之,威胁猎人的目标是缩短所谓的停留时间。
停留时间 dwell time 是指从对手侵入环境到被发现入侵之间所经过的时间。根据SANS 2018威胁狩猎调查,对手平均可以在受损环境中自由游荡90天以上。有一件很重要的事要明白,减少停留时间的战斗是无止境的。敌人将会适应我们的侦测率并将会改进他们的技术以便在不被察觉的情况下潜入我们的系统。社区和捕猎者将从他们的新技术中学习,并将再次减少停留时间,只要敌人的目标是我们组织的环境,这个循环就会继续:
因此,总结起来,我们可以说,威胁搜索是一种人为驱动的活动,它通过主动和迭代地搜索组织的环境 (网络、端点和应用程序), 以寻找破坏的迹象,以缩短停留时间,并最小化对组织的破坏影响。
此外,如果我们希望了解组织在试图检测某些技术时的可见性差距,威胁狩猎是有益的;它将有助于创建新的监测和检测分析;它可以导致发现新的敌对ttp,为网络威胁情报团队和社区提供信息;而狩猎本身可能会导致进一步的分析。
Sqrrl团队()区分了五种不同类型的搜索:数据驱动、intel驱动、实体驱动、TTP驱动和混合驱动。同时,这五种不同的类型可以分为结构化(基于假设)和非结构化(基于数据中观察到的异常):
Sqrrl团队()区分了五种不同类型的搜索: 数据驱动、intel驱动、实体驱动、TTP驱动和混合驱动 。同时,这五种不同的类型可以分为 结构化(基于假设)和非结构化(基于异常)威胁 捕猎者技能集到目前为止,我们已经想出了威胁捕猎的定义。我们已经提到过,威胁搜索并不是只有经验丰富的安全分析师才能做的事情。那么,每个威胁猎人都需要具备哪些技能呢?
由于威胁情报是狩猎的触发器之一,我们可以说,称职的威胁情报分析员必须至少对网络威胁情报的核心主题有基本的了解: 高级持续性威胁、恶意软件类型、妥协指标、威胁行动者的动机和意图,advance persistence threats, malware types, indicators of compromise, threat actor motivations and intents等等。此外,威胁猎手还需要了解攻击者将如何实施攻击。熟悉网络杀伤链和ATTCK™框架将有助于这方面的工作。特别是,如果我们希望熟悉在不同技术环境(Linux、macOS、Windows、云、移动和工业控制系统)中进行攻击的方式,ATTCK™框架将非常有用。这些技术(和子技术)提供的粒度允许任何分析人员更好地理解攻击是如何设计和以后如何执行的。
一般来说,在分析网络活动时,对网络的架构和取证有很好的理解是非常有用的。同样,执行威胁搜索的一部分是处理日志——大量的日志。与此相一致,我们可以说,威胁猎人需要能够识别网络活动和从端点和应用程序收集的数据中的不寻常模式。在这方面,熟悉数据科学方法和SIEMs的使用将会有所帮助。
我们将在第四章“映射对手”中深入讨论这个具体问题。在数据中观察到):
最后但并非最不重要的一点是,威胁搜索分析师需要对组织使用的操作系统以及它们将要使用的工具有很好的了解。
为了进行搜寻并能够发现偏离规范的情况,威胁搜寻者需要了解组织的正常活动(基线)是什么样子的,以及事件响应程序是什么。理想情况下, 负责狩猎的团队不会是负责响应事件的团队, 但有时,由于资源限制,情况并非如此。在任何情况下,团队都需要知道在发现 入侵后应该采取什么步骤,以及如何保存入侵的证据。
威胁猎手还需要善于沟通。一旦确定了威胁,就需要将信息适当地传输到组织的关键实体。猎人需要能够沟通以验证他们的发现,以及传递已经发现的东西的紧迫性和它可能对组织产生的影响。最后——稍后我们将深入探讨——威胁捕猎者必须能够有效地沟通如何实现投资回报,以确保威胁捕猎计划的继续。
3、痛苦金字塔
大卫·比安科的《痛苦金字塔》( pain.html)是一个在CTI和威胁搜索中都使用的模型。这是一种表示一旦你确定了对手的妥协指标、网络基础设施和工具,将会给对手造成多大的“痛苦”,从而改变他们的方式的方法:
最下面的前三层(散列值、IP地址和域名)主要用于自动检测工具。这些都是威胁行为者可以轻易改变的迹象。例如,一旦一个域名被公开,威胁参与者就可以简单地注册一个新域名。比改变域名更容易的是改变IP地址。域名之所以更令人头疼,主要原因是它们需要付费和配置。
哈希是一种加密算法的结果,该算法将原始信息(无论其原始大小如何)映射为另一个值:具有固定大小的十六进制字符串。
hash有几种类型(包括MD5、SHA-1、SHA-2和SHA-256)。哈希不仅是一个单向的过程——理想情况下,它不能从不同的文件产生相同的结果。对原始文件所做的任何微小更改都将导致生成不同的散列。这就是为什么威胁行动者更改与其工具相关的散列值并不重要。
为了更改网络和主机构件,攻击者需要付出更多的努力。这类指示符的例子包括注册表项、用户代理和文件名。为了更改它们,对手需要猜测哪些指示器被阻塞,并修改工具的配置。如果团队能够检测到他们工具的大部分工件,对手将被迫更改它。
想象一下,你花了很多时间开发一个软件,并在分配了很多资源之后根据你的需要对它进行调整,然后有一天你不得不放弃整个项目,开始一个新的项目。尽管这个示例场景可能有点过于极端,但理解为什么对手更改工具如此具有挑战性是很有用的。
金字塔的顶端是我们的战术、技术和程序(TTPs)。在回应这些ttp时,我们并不是在回应响应对手用作工具的东西;我们瞄准的是其核心; 也就是他们的行为 。发现 对手的技术和他们进行的方式 是他们最痛苦的,因为为了改变他们做事的方式,他们必须重新思考;他们必须学习新的做事方式,走出自己的舒适区,重新塑造自己,这转化为时间、资源和金钱。
威胁狩猎团队的组成和用于狩猎的时间将取决于组织的规模和需求。当一个专门的团队没有预算时,搜寻的时间将来自其他安全分析人员的工作时间表。在这种情况下,分析人员通常是SOC或事件响应团队的一部分。
所以,如果团队的资源有限,为了成功实施威胁狩猎计划,我们必须仔细计划和准备狩猎,并结合我们的过程和经验,以及我们正在使用的工具、技术和技术的丰富知识。在这里,David Bianco的威胁狩猎成熟度模型可以帮助我们确定我们所处的位置,以及我们需要做什么来发展我们的狩猎团队。
(1)确定我们的成熟度模型
所有组织都可以执行威胁搜索,但为了有效地执行,它们必须在必要的基础设施和工具上进行投资。然而,为了获得良好的投资回报,组织需要在他们的过程中足够成熟。如果团队不提供必要的技能、工具和数据,威胁捕猎计划的效果将是有限的:
威胁捕猎成熟度模型定义了用于对团队检测能力进行分类的五个级别:初始、最小、过程、创新和领导initial, minimal, procedural, innovative, and leading。该模型可用于确定组织处于哪个阶段,以及需要哪些步骤才能提升到另一个级别。该模型评估已建立的自动化水平、数据收集程序和数据分析程序。
最初阶段和最低阶段严重依赖自动检测工具,但在最初阶段,一些网络威胁情报被用于执行狩猎。
有两种类型的威胁情报来源可以用于威胁狩猎: 内部和外部 。 内部来源 可以是过去事件的记录或针对组织基础设施的侦察尝试。
外部来源 可以是威胁情报小组使用OSINT或付费供应商报告或反馈进行的分析。任何有关对组织环境的可能威胁的信息,如果不是来自组织本身,都被认为是外部的。
程序、创新和领导级别 都是由高水平的数据收集决定的,它们之间的区别取决于团队是否能够创建自己的数据分析程序,以及他们是否能够满足这些自动化程序,以避免重复相同的搜索。
有几种安全信息和事件管理(Security Information and Event Management, SIEM)解决方案可供选择,已经编写了一些文章,介绍了它们的工作方式以及如何选择适合组织需求的解决方案。在本书的后面,我们将使用一些使用Elastic SIEM开发的开源解决方案。您应该使用这种类型的解决方案来集中从系统中收集的所有日志,以帮助您分析数据。确保收集的数据质量是很重要的。低质量的数据很少导致成功的狩猎。
另一个好的起点是搜索已发布的可以合并到您自己的流程中的搜索过程。您还可以创建新的狩猎过程,同时牢记组织的需求和关注点。例如,您可以创建聚焦于与您的组织行业相关的特定威胁参与者的搜索流程。尽可能多地记录和自动化这些操作,以防止狩猎团队一遍又一遍地重复相同的狩猎。
记住,总是假设一个入侵已经发生,思考威胁行动者是如何操作的,为什么要这样做,依靠狩猎活动来开启新的调查线,并根据与威胁相关的风险级别来优先考虑狩猎。不断搜索;不要等待警报的发生。
威胁搜索过程的最早定义之一是由Sqrrl在他们称之为“威胁搜索循环”的内容中做出的
第一步是建立我们狩猎所依据的假设。通过这样做,我们可以使用我们可以使用的技术和工具开始调查。在执行分析时,威胁搜寻者试图发现组织环境中的新模式或异常。这一步的目的是试图证明(或反驳)假设。循环的最后一步是尽可能地自动化成功搜索的结果。这将防止团队重复相同的过程,并使他们能够集中精力寻找新的漏洞。在这个阶段,记录这些发现是一个重要的阶段,因为文档将帮助团队更好地理解组织的网络。对组织环境中什么是正常的,什么是不正常的有很好的把握,这将有助于团队更好地进行狩猎。
Dan Gunter和Marc Setiz在《进行网络威胁搜索的实用模型》( b5c4d87b5719340f3ebff84fbbd4a1a3fa1 .pdf)中提供了一个更详细的模型,区分了六个不同的步骤,并强调了威胁搜索过程的迭代性质:
•目的:在进行威胁搜索时,应牢记组织的目标;例如,搜索可能受到长期业务目标的制约。
在这个阶段,我们需要说明搜索的目的,包括执行搜索所需的数据以及期望的结果是什么。
•范围:这一阶段包括定义假设,并确定我们想要从中提取数据的网络、系统、子网或主机。范围应该事先确定好,以减少可能干扰我们成功的“噪音”。它不能过于具体,因为我们可能会忽视环境中攻击者的存在。这个假设应该可以防止我们偏离狩猎,从而帮助狩猎者在从一个数据转向另一个数据时保持焦点。
•装备:在这个阶段,重点是如何做到。数据将如何收集?收集是否足够彻底?我们要怎么做分析呢?
我们如何避免偏见?在这个阶段结束时,威胁猎人应该对这些问题都有一个深入的回答。收集管理框架collection management framework (CMF)的实现可以帮助我们跟踪所收集的数据及其来源。
•计划审核:顾名思义,团队的负责人或者亨特将审查所有的计划,到目前为止已经完成,以确保狩猎将满足组织的目标,而团队所需的所有资源(人员、数据、工具和时间)成功进行狩猎。
•执行:执行阶段是指计划被批准后的搜索本身。
•反馈:此阶段与之前的所有阶段相关联。分析结果将有助于团队在未来以更高的效率进行狩猎。反馈阶段的目的是改进前面的所有阶段。它不仅帮助我们确定目标是否已经实现,而且还帮助我们确定团队可能陷入的任何可能的偏差,可能的可见性和需要修改的收集差距,是否正确地分配了资源,等等。
在这两个模型之上,Rodriguez兄弟Roberto (@Cyb3rWard0g)和Jose Luis (@Cyb3rPandaH)在2019年Insomni'hack期间提出了一种数据驱动的方法(https : //www. youtube. com/watch?v=DuUF-zXUzPs)。他们设计的过程还包括六个不同的阶段,幸运的是,他们还设计了四个开源项目,您可以使用它们来组织和执行您的狩猎。
罗德里格斯兄弟定义的六个阶段如下:
1. 定义研究目标:为了在执行数据驱动的搜索时定义研究目标,理解数据并将数据映射到对手的活动是很重要的。罗伯托·罗德里格斯提出了一系列优秀的问题,为了确定我们的研究目标,我们应该能够回答这些问题:
2. 数据建模:这个阶段的过程围绕着理解的数据从哪里来,将日志发送到数据湖咨询,通过创建数据字典和结构化数据,每个数据源的“需要映射到一个事件”。这个过程是非常有用的,如果你想真正了解你收集的数据。
OSSEM:为了帮助完成创建数据字典的繁重工作,Rodriguez兄弟创建了开源安全事件元数据Open Source Security Events Metadata (OSSEM),用于记录和标准化安全事件日志。这个项目是开源的,可以通过项目的GitHub库()。
3. 模拟对手:对手模拟是红队在其组织环境中复制对手行为的一种方法。为了做到这一点,需要映射对手的行为,并将他们使用的技术链接在一起,以创建一个行动计划。MITRE ATTCK™框架提供了一个如何创建基于APT3的仿真计划的示例()。
mordor:在这个狩猎阶段,罗德里格斯兄弟创建了魔多项目(),以JSON格式提供“由模拟对抗技术生成的预先记录的安全事件”。
4. 定义检测模型:支持基于步骤2中创建的数据模型的搜索,我们建立了执行搜索的方式。在前面的步骤中定义了如何进行检测之后,我们将在实验室环境中验证检测。如果我们没有得到任何结果,我们应该返回并回顾我们在前面步骤中所做的工作。
5. 验证检测模型:一旦我们对在实验室环境中获得的结果感到满意,并评估了数据的质量(完整性、一致性和及时性),我们就可以在生产中尝试我们的检测。有三种可能的结果:零结果,即对手的行为不在生产环境中;至少有一个结果,我们需要仔细查看结果,以确认漏洞;搜索的输出会产生大量的结果。最后一种情况通常意味着需要对我们的流程进行进一步的调整。
Helk:这是一个狩猎平台,由罗伯托·罗德里格斯设计,基于Elasticsearch, Logstash和Kibana。它还通过Jupyter笔记本和Apache Spark提供高级的分析功能。你可以在其GitHub知识库中找到更多信息()。
6. 记录和交流发现:如果您正确地遵循了前面的步骤,您可能已经完成了一半的工作。记录搜索过程应该在执行搜索的同时进行。
威胁狩猎剧本:这个开源项目由罗德里格斯兄弟维护,旨在帮助文档项目和共享威胁猎人概念,开发某些技术,并建立假设。你可以在项目的GitHub仓库():
目标狩猎综合威胁情报(TaHiTI)方法是几个荷兰金融机构共同努力的结果,以帮助建立一个共同的方法,以威胁狩猎活动。
顾名思义,TaHiTI的方法与威胁情报密切相关。
它是一种方法,用于以 威胁情报提供的对手信息为起点 进行狩猎,使用威胁情报来上下文化在狩猎中发现的内容,甚至为对手找到相关的已知ttp(旋转)并驱动新的狩猎。此外,按照这种模式,捕猎本身可以用来丰富威胁情报,因为它可能被用来发现与对手有关的之前未知的ttp和IoCs。
TaHiTI也分为八个步骤,同时可以分为三个阶段:
阶段1:初始化
a. 触发狩猎
b.创建抽象
c.存储代办事项backlog
阶段2:狩猎
d.定义/重新定义
(1)丰富调查抽象
(2)确定假设
(3)确定数据来源
(4)确定分析技术
e.执行
(1)获取数据
(2)分析数据
(3)验证假设
阶段3:最后
f.移交
g.文档化发现
h.更新代办事项
可视化过程如下:
第一阶段:启动 Initiate
在此阶段,搜索的触发器将转换为调查的摘要,并存储在待定项中。塔希提的方法区分了五个主要的触发类别:
•威胁情报
•其他狩猎调查
•安全监视
•安全事件响应: 从历史事件和红队演习中收集数据。
•其他: 例子包括找出什么是皇冠宝石以及它们如何被破坏,研究MITRE ATTCK™框架,或者只是猎人的专业知识。
调查摘要是对假设的一个粗略描述,在接下来的阶段将会被完善。建议您包含关于创建日期、摘要、搜索触发器和优先级级别的信息。
第二阶段:狩猎hunt
该方法的第二阶段指的是实际 的狩猎;也就是说,调查假设。 在执行之前,必须对假设进行定义和细化。这意味着最初为狩猎而创造的摘要将会被更多的细节所扩展,然后,在调查过程中发现新的证据。重要的是要包括数据源、选择的分析技术和确定的范围。
我们掌握的关于威胁情报的信息,分配的资源,以及狩猎的分类也应该包括在内。
对正在执行的狩猎的分析将用于验证最初的假设。每次狩猎都有三种可能的结果:
•假设被证实 ,安全事件被发现。
•假设被推翻。 这种状态是很难达到的,因为没有找到某样东西并不一定意味着它不存在。在声明假设已经被推翻之前,猎人必须真的确定他们没有错过任何可能的场景。
•不确定的结果 。当没有足够的信息来证明或反驳假设时,搜索就会达到这种状态。在这个阶段,有必要继续完善假设,直到达到状态1或状态2。
阶段3 - Finalize
TaHiTI方法的最后一个阶段是记录你的发现。文件必须包括狩猎的结果和从中得出的结论。这可以包括改进组织安全的建议,也可以改进团队的狩猎过程。一旦编写完毕,这些文档需要在相关各方之间共享。报告可能需要根据不同的接收者进行调整,关于报告的信息可能需要根据他们的安全许可进行编辑或分类。
TaHiTI区分了威胁狩猎调查可能引发的五个过程:
•安全事件响应 :启动IR进程。
•安全监控: 创建或更新用例。
•威胁情报: 发现一个新的威胁行动者的ttp。
•漏洞管理: 解决发现的漏洞。
•对其他团队的建议: 向其他团队发出建议,以改善整个组织的安全状况。
在这一章中,威胁捕猎的主要特征之一是它是一种由人类驱动的活动,它不能完全自动化。这个过程的核心是生成狩猎假设,这是指组织环境中的威胁符合威胁猎人的预感,以及如何检测它们。假设部分基于观察,即我们注意到偏离基线的情况,部分基于信息,这些信息可能来自经验或其他来源。
完善这个假设对于获得好的猎物是至关重要的。一个定义不明确的假设将导致错误的结果或结论。这很可能会对组织产生负面影响,因为防御和可视化漏洞将被忽略,并为对手提供一条安全通道。缺乏足够的可视化是一个组织最大的敌人,因为这会产生一种错误的安全感,从而引发错误的假设,认为没有发生入侵。
一个定义明确的假设必须是简明和具体的。它必须是可测试的,不需要假定时间和资源的无限可用性。一个猎人无法验证的假设是没有用的,所以必须考虑他们使用的工具和所需的数据。它不能太宽泛,也不能太具体,但它必须指定数据将从哪里收集,以及将搜索什么。
Robert M. Lee和David Bianco写了一篇关于生成成功威胁狩猎假说的SANS白皮书( whiteppapers /threats/paper/37172)。在本文中,他们区分了三种主要的假设类型:
•基于威胁情报的假设: 这类假设考虑了 良好的ioc; 也就是说,合理地将破坏的指标、威胁状况和地缘政治背景结合起来。这种假设的主要危险在于,我们过于关注IOCs,所以最终会生成低质量的匹配。最好关注威胁行动者的ttp,而不是包含数百个指标的提要。
•基于态势感知的假设: 这类假设依赖于我们识别组织中 最重要的资产。这也被称为皇冠宝石分析 。猎人试图弄清楚对手可能在组织环境中寻找什么, 包括他们的目标 。从这个角度来看,威胁猎人必须考虑他们需要什么类型的数据和他们要寻找的活动。重要的是要记住,并非所有事情都应局限于网络领域。在执行情景感知假设时,还应该考虑人员、流程和业务需求。
•基于领域专业知识的假设: 这类假设是威胁猎人专业知识的产物。 猎人产生的假设是由他们自己的背景和经验决定的。 猎人过去进行的狩猎也会影响他的假设。对于记录已经获得的经验教训并与团队的其他成员分享这些经验教训,文档化过程在这里特别重要。有经验的猎人必须非常清楚偏见。尽量避免不良的分析习惯,并实施偏见预防技术。
智能化战争中的OODA环
丨 本文经授权转载自光明军事(ID:GM-junshi)
OODA环即观察(Oberve)、判断(Orient)、决策(Decide)以及行动(Act)的循环,它是一个杀伤链的循环周期。作战中,OODA环越快,就越容易抢占战场上的先机,取得作战胜利。在智能化战争中,融入各种智能技术的OODA环将呈现出全维感知、快速准确、优化高效、实时精准的特点,释放出巨大战力。
视野开阔全维感知。智能化战争中,传统物理作战空间向深空、深海、深地等“新边疆”拓展;生物技术、认知技术等新技术的不断发展,形成新的对抗领域,催生出生物空间、认知空间等新型战争空间;未来高度智能化的无人系统拓展了高温、高压、极寒、有毒、缺氧、辐射等恶劣条件下的战争空间新维度。面对如此复杂的战场环境,将智能技术融入观察环节中,实现在广泛领域、新型技术和多维空间的开阔视野上,全维感知态势。
在战场上快速部署各类智能感知节点,全天候自主感知收集情报,构建透明可见的数字化作战环境,实现全维一体的信息侦获;依托大数据处理技术,快速融合处理战场多源情报信息,实现实时有序的信息处理;通过智能装备快速组网,统合电子、卫星、雷达、航空和特战谍报等,构建立体多维和功能互补的侦察网系,实现灵活精确的信息共享。智能化观察,能够全方位感知战场,拨开战争迷雾,快速实时形成覆盖全、容量大、情况准的战场态势图,为高效组织指挥作战行动提供实时、可靠、准确的信息支撑。
逻辑缜密快速准确。智能化战争中战场情况异常复杂,多维战场空间日益扩大,各种信息量剧增,真假交错,真伪难辨,充满了不确定性,同时作战的节奏明显加快,样式转换更加频繁,战场态势瞬息万变。这就要求指挥员和机关能够快速准确的洞察战局、分析判断情况。将智能技术应用于判断环节,能够迅速对海量数据进行搜索、存储、计算和挖掘,而后运用缜密的逻辑对各类情报信息抽丝剥茧、对比印证,准确的研判出战场态势,找出敌作战企图,预测战场态势发展。
通过运用神经网络、机器学习等技术,让人工智能体学习人类战争规律,从而以机器智能客观的从任务规则、谋局布势、战局掌控等方面拓展情报处理能力;运用“作战云大脑”,通过对数据的处理,人机结合,智能交互,进而对感知的信息做出智能化判断;运用超算能力,将战场上海量信息进行量化计算,从而分析判断出敌我战斗力指数、敌我双方力量对比、我作战需求等等。智能化判断,能够不知疲倦、快速准确、客观公正、前瞻预测的分析各类战场情况,从而判断出我作战所需的诸多情报以及战场态势的发展。
人机协作优化高效。在智能化战争时代,战场在自然空间、技术空间、认知空间与 社会 空间全方位、全天候展开,战场风险高、节奏快、干扰多,指挥员进行正确指挥与决策的难度与日俱增。将智能技术应用于决策环节,运用智能化系统辅助指挥决策,通过人机协作,综合利用虚拟现实、特征识别、脑机对接等技术,运用人工智能强大的逻辑推理能力分担人脑工作压力。
通过穿戴或使用智能设备,实现人与指挥系统、有无人平台等无缝链接,使人在决策回路中,形成人机交互决策;采取监视数据、监督决策分析工具、监控算法结果等方法,使人在决策回路上,对机器智能决策结果进行修正和纠偏;实行基于任务的委托式决策,使人在决策回路外,允许人工智能体在一定条件下自主决策。智能化决策,分析识别作战力量在战场中的行动特征,快速高效的优化决策方案,大大压缩了作战构想、任务分配、目标打击、毁伤评估的指挥周期,为指挥员指挥决策提供智能辅助,以形成决策优势,使得各类型作战力量完全自适应、协同一致行动。
无人自主实时精准。智能化战争中,作战行动的突发性强、节奏快,战机稍纵即逝,更加强调以快打慢、先发制人,更加强调无人自主、实时精准,更加强调有人控制、无人先行。将智能技术应用于行动环节,借助人工智能强大的计算能力和智能算法,对海量信息进行有效分析利用,提高智能化武器装备的自动化、多能化、精准化水平。
通过攻防兼备的网络武器,利用病毒、网络漏洞等对敌网络实施攻击,同时对网络采取加密、入侵检测等措施进行防御;通过微型化、群智化的无人机武器,实施空中“蜂群”战术、海上“鱼群”、电磁“码群”战术等,全方位、全天候对敌实施打击;通过智能化武器弹药,利用计算机制导系统,综合图像、红外、激光或卫星定位等手段,对敌实施空天一体实时精准打击;通过智能自主评估系统,在全维打击的同时,实时同步评估打击效果,动态自主控制行动进程,适时高效结束行动或再次进入下一个“OODA”循环。(潘金桥 姚小锴 浦振兴)
勒索软件攻击防御的9件事
勒索软件是一种特定类型的恶意软件,它将数据作为“人质”来勒索赎金。网络钓鱼电子邮件是其一种常见的传播方式,同时勒索软件也可以借由下载广泛传播,也就是在用户访问受到感染的网站时进行传播。随着网络攻击变得越来越复杂,企业一定要为此做好完全的准备,防止勒索软件导致系统宕机带来的经济及生产力损失。
伺机而动的攻击和数据泄露很难完全杜绝,相信没有组织愿意被迫在支付赎金和丢失重要数据之间做出选择。最好就是从一开始就避免被迫陷入这种两难境地。鉴于这一点,构建出一个分层的安全模式,支持全球威胁情报共享的的网络、端点、应用程序和数据中心。
电子邮件是威胁制造者最常用的攻击媒介之一。邮件安全网关解决方案可以提供高级多层保护,抵御各种通过电子邮件传播的威胁。 沙盒则提供了一层额外的保护。所有通过电子邮件过滤器但仍包含着未知链接、发件人或文件类型的电子邮件都会在到达您的网络或邮件服务器之前被进一步检测。
Web应用防火墙 (WAF)过滤并监控与Web服务相往来的HTTP流量来帮助保护Web应用。这是保证安全的关键要素之一,因为它是抵御网络攻击的第一道防线。一些组织在实施新的数字策划的同时也经常会扩大攻击面。加上网络服务器漏洞、服务器插件等其它问题,可能会导致新的网络应用和应用编程接口(API)暴露在危险流量中。WAF可以帮助保护这些应用程序及其访问内容的安全。
应用威胁情报技术,通过实时可执行的安全情报来帮助规避那些隐蔽的威胁。这些安全防御信息须在组织环境中的不同安全层和产品之间进行共享,从而提供主动防御。此外,共享的信息还应扩展到组织以外更广泛的安全网络社区,如计算机应急响应小组 (CERT)、信息共享和分析中心 (ISAC) 以及网络威胁联盟等行业联盟。快速共享是在攻击发生变异或传播到其它系统或组织之前迅速响应,并能打破网络杀伤链的最佳方式。
传统的防病毒技术有时难免差强人意,随着威胁态势的不断演变,传统技术越来越难以防御。保护这些端点设备需要具有终端检测和响应 (EDR) 功能的安全解决方案及其它安全防御技术。
基于当下的威胁环境,高级攻击只需几分钟或几秒钟就能破坏端点。第一代EDR工具只能靠手动分类和响应,根本无法应对。它们对于当今快如闪电般的恶意威胁来说不仅太慢,还会生成大量警报干扰,让已经超时工作的安全运营团队不堪重负。除此之外,传统的EDR安全工具还会推高安全操作成本并减缓网络流程和功能,给业务带来不必要的负面影响。
相比之下,下一代EDR解决方案提供了高级、实时的威胁情报,具有可视化、分析和管理功能,能有效保护端点在感染前和感染后遏制勒索软件。这些EDR解决方案可以实时检测并规避潜在威胁,主动减少攻击面,防止恶意软件感染,并通过可自定义的playbook自动响应和修复程序。
组织应该定期执行完整的系统和数据备份并将其存储在网络之外。这些备份同时需要进行备份测试,以确保能够正确恢复。
零信任安全模式假设任何试图连接到网络的人或事物都存在潜在威胁。这一网络安全理念认为,除非身份经过彻底检查,否则网络内部或外部的任何人都不应被信任。零信任指出网络内外的威胁无所不在。这些假设引发了网络管理员的思考,迫使他们去设计严格的零信任策略。
采用零信任方法,每个试图访问网络或应用的个人或设备在被授予访问权限之前都必须经过严格的身份验证。这种验证采用多因素身份验证 (MFA),要求用户在被授予访问权限之前提供多个凭据。零信任同时还包括网络访问控制 (NAC),用于防止未经授权的用户和设备访问公司或专用网络,帮助确保只有经过身份验证的用户和经过授权并符合安全策略的设备才能进入网络。
随着使用云环境的组织越来越多,多云和混合云等应用场景也不断出现,网络分段就变得越来越重要。通过网络分段,组织可以根据业务需求对其网络进行分区,并根据角色和当前信任状态授予访问权限。每个网络请求都会根据请求者当前的信任状态进行检查。这对于防止威胁在内网的横向移动非常有好处。
人应该是任何网络安全策略的核心。根据Verizon 2021数据违规调查报告,85%的违规行为涉及人为因素。显而易见,即使拥有世界所有的安全解决方案,一旦忽视了对员工的网络安全意识培训,也永远不会得到真正的安全。为了确保所有员工都充分接受培训,学习关于如何发现和报告可疑网络活动、维护网络卫生以及如何保护其个人设备和家庭网络安全知识。员工应在受聘入职以及整个任期内定期接受培训,从而保证他们能掌握最新的信息。同时不断更新培训内容,提供那些可能需要实施的新的安全协议。
教育每个人,尤其是远程工作者,如何保持网络距离、远离可疑请求、借由工具和协议实施基本的安全措施,这样可以帮助CISO在网络最脆弱的边缘建立防御基线,确保其关键数字资源的安全。
与此同时,公司和机构还应保持良好的基本网络卫生,检测系统是否获取正确的更新和补丁。
欺骗式防御技术也是一种可供参考的安全防御手段。尽管它不是一个主要的网络安全策略,但如果您已经采用了所有其它网络安全策略,不法分子仍能找到方法入侵,这种情况下基于欺骗技术的安全解决方案就可以用来帮助保护系统。
欺骗式防御技术通过诱饵仿真创建当前服务器、应用程序和数据,诱骗不法分子以为他们已经渗透并获得了企业重要资产的访问权,当然他们其实并未得手。使用这种方法可以最大限度地减少损害并保护组织的真实资产。不仅如此,欺骗式防御技术还可以缩短发现和遏制威胁的平均时间。
勒索软件攻击变得无处不在。对于企图从薄弱点入侵网络的犯罪分子来说,公司的规模和行业已经不再是什么问题。全球向远程工作模式的转变为不法分子打开了很多安全后门,他们正充分利用这一转变发动攻击。根据Fortinet全球威胁态势报告,截止到2020年底,每天有多达17,200台设备遭遇勒索软件侵害。
公司和机构并非无能为力应对这些威胁。但意味着他们可能不得不重新思考以及重组工作,不过现在已有保护工具能够有效防止勒索软件攻击。根据以上的九条建议,您可考虑需要采取哪些不同的措施,帮助您的组织籍此机会战胜这一重大威胁。
软件处理差
尽管自编码有了一些进展,但现在开发软件主要仍然得靠人工。
然而,人非圣贤,孰能无过?因此,我们可以得到一个合理的推测:由人生产出来的产品和服务,必然包含某种形式的缺陷。所以,软件缺陷不可避免,并且是软件开发过程的固有部分。
软件缺陷是逻辑或配置上的错误,会导致系统产生我们不期望的行为。
软件应用程序中的一些主要和常见缺陷包括业务逻辑错误、复杂性问题、文件处理问题、封装问题、数据验证问题、身份认证和授权错误。
常见弱点枚举 (CWE) 清单描述了常见的软件和硬件弱点,会导致安全方面的相关问题。 该清单对可能存在的软件弱点进行了全面分类。
在业务研发过程中,我们通常通过比较内部质量和风险指标以及对需求、规范、标准和截止日期等方面的遵守程度,来衡量和评估软件质量等级的可接受度。
因此,我们应该可以得到这样一个结论:软件质量是主观的,受业务承诺、高级管理人员的参与情况和组织文化的影响。
软件开发中一个重要的关注点涉及到在预算、进度、范围、质量和安全性这些方面之间保持适当的平衡。一个方面的变化会影响其他方面。虽然都不希望改变计划,但这在软件开发生命周期中并不少见。这些场景反映了组织为了控制预算和进度,不得不在软件质量和安全性方面做出妥协。
软件质量并不总是软件的安全性指标。软件安全性的衡量标准,是在测试期间和生产部署之后发现的漏洞数量。软件漏洞是一类软件缺陷,潜在的攻击者经常利用这些漏洞,绕过授权,访问计算机系统或执行操作。有时,授权的用户也会出于恶意,利用系统中这些未修补的已知漏洞。
这些用户还可能会输入不能通过校验的数据,无意中利用了软件漏洞,从而损害数据完整性和使用这些数据的功能的可靠性。对漏洞的利用会针对下面三个安全支柱中的一个或多个:机密性、完整性和可用性,它们通常称为 CIA 三元组。
机密性指保护数据在未经授权时不会被泄漏;完整性指保护数据在未经授权时不会被修改,以保证数据的真实性;可用性指系统在需要时可供授权用户使用,并拒绝未经授权的用户访问。了解软件错误和漏洞之间的区别,是为创建安全的软件和及时减少缺陷和漏洞的整体战略的关键。
软件漏洞
现在已公布的漏洞利用行为,以及OWASP十大、MITRE常见漏洞和暴露 (CVE) 列表、美国国家漏洞数据库和其他来源提供的见解都在讲软件漏洞。总体而言,这些信息强调了技术创新如何打破了所需的平衡,我们可以根据这些信息采取更有效的措施,在产品部署之前更好地检测和减少软件漏洞。
软件安全瑕疵越来越多,影响最大的因素是我们对软件安全性不思进取的态度、在软件安全性方面缺乏有效的最佳实践、软件开发人员和潜在攻击者之间的知识差异以及不安全的遗留软件。
由于威胁在不断变化,因此,在安全方面与时俱进的态度对于达成软件安全性很有必要。组织在开发和部署软件时,如果对安全的态度原地踏步,有可能会把内部合规跟有效、安全的软件开发周期过程混为一谈;对不断发展的威胁向量认识不足;从而无意中增加客户在各方面的风险。安全策略一成不变,只依赖内部合规来证明开发的软件很安全,这是短视的行为。
随着时间的推移,这种依赖性将导致利益相关者对组织开发安全软件的能力产生盲目的信心,并降低软件开发团队充分审查和应对不断变化的威胁的能力。若我所料不差,这些组织很可能没有有效的补丁管理程序,也没有在产品或解决方案实施过程中集成软件安全方面的设计原则。他们也不太可能添加安全相关场景的测试套件,或将软件安全的最佳实践纳入软件开发流程。
想要研发安全的软件,在研发生命周期中就应该应用软件安全方面的最佳实践。最佳实践涵盖安全设计原则、编码、测试、工具以及针对开发人员和测试人员的培训,有助于在将产品和解决方案部署到生产环境之前主动检测和修复漏洞。在合适的情况下,应用“故障安全”、“最小权限”、“深度防御”和“职责分离”等安全设计原则,可以增强应用程序的安全性。此外,还必须优先对开发人员和测试人员进行软件安全性方面的常规培训。
软件开发人员和潜在攻击者之间的知识差距正在扩大。这种现象的原因不尽相同,其中一些原因是心态、主要关注领域不同和缺乏学习机会。此外,一些软件开发人员对系统妥协持零和态度。这种心态与深度防御的安全设计原则背道而驰,并认为网络和设备漏洞实际上是“天国的钥匙”事件(译注:keys-to-the-kingdom,基督教典故,此处是指通过漏洞获得极大权限是漏洞发现者应得的)。因此,他们认为试图尽量减少妥协是徒劳的。有许多被爆出来的系统数据泄露事件,正是这种心态引发的后果,它们因缺少安全性或分层安全性不足,导致未加密的个人数据被盗。
这种“零和”心态,无意中助长了潜在攻击者通过各种技术深入到网络中进一步破坏生态系统的能力,从而可能获得对包含个人和业务数据的其他系统的访问权限。仔细审查代码是常见的深度防御措施,但一些软件开发人员未能有效利用。这些开发人员完全依赖自动代码扫描工具,而没有审查代码,或者只是粗略地审查代码。使用自动代码扫描工具并仔细审查代码才是一种有效的深度防御策略,可以在解决方案或产品部署到生产环境之前检测出漏洞。
软件开发人员和潜在攻击者有不同的优先级和重点领域。软件开发人员的重点领域包括实现业务逻辑;修复软件缺陷以满足质量要求;确保他们实施的功能或解决方案满足内部实用性、可用性和性能指标或服务水平协议 (SLA) 中的指标。显而易见,软件开发人员会在其主要关注领域获得专业知识。而潜在攻击者主要关注领域包括系统和软件行为分析,他们不断磨练技能以增加收入、满足好奇心、实现工具集、侦察和探索。所以同样地,潜在攻击者在其关注领域里也能获得专业知识。
潜在攻击者和软件开发人员之间的技能差异,让组织需要在软件安全方面持续地对软件开发人员进行培训。软件开发人员还必须了解当前的和不断拓展的攻击向量,并了解软件攻击面的概念,以避免在软件实现和修改过程中误入雷区。此外,软件开发人员必须转变观念,将软件安全原则和最佳实践纳入到软件开发生命周期中,它们与功能实现具有同等优先级。
在开发现在被称为“遗留”软件的那些年里,功能实现通常有最高优先级。对于许多软件供应商而言,软件安全跟功能的优先级不同,而且不是软件开发流程的一部分。在这种优先级安排以及威胁形势不断增长的长期影响下,其结果就是现在“遗留”软件中那些漏洞会被人发现和利用。为什么优先考虑功能实现,原因各不相同。
竞争、上市时间问题以及对软件安全缺乏关注,是组织不能遵循软件安全最佳实践和维持软件安全开发流程的主要原因。某些组织为了更好地保护“遗留”软件,给它们分配了资金和资源,在所需功能的实现上做出牺牲;并且由于持续关注在“遗留”软件的保护上,可能会丧失潜在的竞争优势。而其他组织通过检查软件漏洞来主动评估其“遗留”系统。尽管如此,在代码库被完全修补、升级到最新最安全或被废弃之前,遗留软件都将是漏洞利用方面的沃土。
结论
软件是潜在攻击者最常用的攻击媒介之一。因此,许多组织意识到,为了实现和维护安全的软件开发流程和基础架构,尽职尽责的调查非常重要。这些组织独立而又协同地为推进网络和软件安全领域的防御策略做出贡献。企业贡献包括:创建描述网络攻击阶段的安全模型和框架(例如洛克希德马丁公司的网络杀伤链),从而使组织能够规划相应的缓解措施;设立赏金计划,奖励查找漏洞,让安全研究人员和其他人可以因发现可利用的软件缺陷而挣到钱;对开源网络安全工具集的贡献;编写应用程序安全白皮书,描述最佳实践并促进软件安全向开发-安全-运维(DevSecOps)自然过渡。
不断发展的软件攻击向量使得我们不可能在生产部署之前消除所有软件漏洞。尽管如此,软件开发人员还是必须持续学习软件安全开发。也有人正关注于使用机器学习来检测软件漏洞,这将有助于更快、更有效地检测软件漏洞。然而,这种在专业领域采用机器学习的结果是否符合预期,目前还不确定。与此同时,各组织还是必须继续在同一战线上持续投入,共同抗衡潜在攻击者。
战斗网的定义
定义:军队使用战斗网络来检测战场上正在发生的事情,将这些数据处理成可操作的信息,决定行动方案,在部队之间传达决定,对这些决定采取行动,并评估所采取行动的有效性。战斗网络有时被称为“传感器到射手的杀伤链”(或简称“杀伤链”),它们被广泛认为是现代战争中越来越重要的要素。
近年来,虽然战斗网络的重要性越来越受到关注,但战斗网络本身并不新鲜。早期的战斗网络使用侦察员、信使、旗帜、电报和有线野战电话在战场上的部队之间传输信息和决策。随着雷达、声纳、无线电通信和空中侦察等技术的广泛采用,更先进的战斗网络在第二次世界大战中开始出现。随着战斗网络变得更快、射程更远、对军队更有利,网络本身也成为一个有吸引力的目标。正如约翰斯蒂利安和布莱恩克拉克所指出的,战斗网络之间的竞争是第二次世界大战的一个关键因素,特别是在潜艇战和反潜战中。
用华为云测试有什么风险
用华为云测试没有风险。
用华为云测试是来帮我们解决风险的,而不是制造风险的,所以请放心使用即可。
华为云测试
企业业务迁移上云后,账户和网络活动的收集与聚合变得简单,但企业安全团队对事件日志数据进行持续的识别分析变得比较耗时。
再者,一般安全服务对IAM(统一身份认证服务)、CTS(云审计服务)、VPC(虚拟私有云服务)、DNS(云解析服务)这类基础服务日志中的安全风险暂时无法检测或检测能力较弱,很容易成为黑客入侵的短板。
IAM、CTS、VPC、DNS这类服务在日常业务运行中经常遇到的主要威胁如下,IAM常见安全问题是暴力破解。暴力破解也可称为穷举法、枚举法,是一种比较流行的密码破译方法,攻击者通过系统地组合密码的所有可能性,对所有可能结果进行逐一验证,直到找出正确的密码为止。
攻击者一旦成功登录云服务,便可获得云服务的控制权限,进而窃取用户数据、植入挖矿程序、勒索加密等恶意操作,严重危害企业数据安全。CTS通常面对的是异常行为。异常行为有管理事件异常与数据事件异常。
管理事件异常经常遇到的是黑客通过恶意IP调用API,通过该API更改云账户中的安全组、路由和ACL的网络访问权限从而修改账户密码;数据事件异常值对数据库进行对异常操作,如批量访问,批量下载等。
典型的事件的就是某SaaS公司的删库跑路,导致当时该公司旗下的商家小程序都无法访问,据披露有几百万家商户生意处于基本停摆的状态。VPC一般会遇到的是APT攻击中的异常横向扩散带来的安全问题。
从近年来的安全事件我们可以看到,攻击者的攻击行为从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的可持续大流量攻击。无论从著名的LockheedMartinCyberKillChain(洛克希德-马丁公司提出的网络攻击杀伤链)。
还是近年名声大噪的勒索病毒、挖矿病毒,这些攻击都有一些显著特点:一旦边界的防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而内部中心基本没有安全控制的手段可以阻止攻击。DNS劫持是安全领域经常遇到的一种攻击手段。
通过攻击或者伪造DNS的方法,篡改目标网站域名和IP地址的映射关系,使得域名映射到了错误的IP地址,从而导致用户无法访问目标网站。DNS劫持会直接影响用户的体验,如果是新媒体、电商。
教育等网站域名被劫持将会直接造成到网站流量及用户的流失。除此之外,如果是金融行业用户被诱导到钓鱼网站进行账户密码登录操作将会导致个人信息泄露,对用户来说可能直接造成经济损失,对企业来说可能导致声誉受损。
0条大神的评论