傳統的安全方法提供了阻止已知惡意活動的控制,通常在遭受攻擊后還伴隨有后續的調查。
更復雜的企業會部署一些諸如沙箱的技術來檢測和阻止以前未被發現的攻擊。在遭到攻擊和破壞后,安全團隊往往會重視事件本身,但并沒有從攻擊者獲得更多情報,或者分析與之有關的事件。
這些方法可能會遺漏高級攻擊的一個基本事實:這些攻擊并不是某個時點的活動,而是一系列可以在未來幾周或幾個月或幾年發生的事件。高級攻擊者可能會展開大量的活動,如深度調查、小型感染,以便于生成第二階段或第三階段的惡意軟件,等等。冰凍三尺,非一日之寒。攻擊和破壞本身是在過去的長時間里發生的一整套連續活動的高潮和頂點。在此過程中的每個步驟,往往屬于網絡攻擊的生命周期,代表著檢測和防止攻擊者的一個重要機會。
在你簡單修復攻擊所造成的后果時,或者在你簡單地阻止惡意活動的發生時,你其實正在浪費獲得此事件背景的寶貴機會,例如“誰” “如何操作”以及“為什么”如此操作。確切地說,你從這些事件中獲得的信息越多,就可以更好地理解安全狀態,從而可以防止類似事件的再次發生。
攻擊者能夠輕松地改變其使用的惡意軟件,但是要讓他強化工具、策略、過程就要困難得多,而安全管理者可用這一點來檢測其未來的活動。
例如,不妨比較以下兩種情形:
第一種,你檢測到一個未知的惡意軟件感染了一臺電腦。你重新鏡像了此系統,并找到了一個未來的惡意軟件的簽名。
第二種,你檢測并分析研究了一個惡意軟件,將一系列最終導致感染的事件聯系起來。你發現在這種攻擊中所使用的方法類似于某個有大量資金支持的高級持續性威脅(APT)所利用的方法。
在第一種情況中,你快速修復了問題,并且增加了一個規則以防止完全相同事件的再次發生。但在第二種情況中,你不但修復了問題以及部署了一個簽名,而且還判定了誰在找你的麻煩,如何操作,采用了哪些具體措施,并且理解了他的下一步目標甚至最終目標。這些情報有助于你確認其它被感染的機器,也可以發現被攻擊者植入的后門。利用獲得的這些情報,你可以找到一系列以前并沒有發現的線索。
你還可以更高效地利用安全團隊花費在安全事件上的有限時間。例如,與由政府或國家支持的網絡間諜活動相比,低級的網絡犯罪組織要求的響應就截然不同,因為這二者之間的復雜程度差異很大,企業的安全團隊知道哪些最應優先考慮和對待。
你并不是在孤獨地戰斗。你可以找到大量的公共資源、提供信息共享的組織、廠商研究報告、分析服務等,這些都可以幫助你分析對手的情報。你獲得的信息越多,分析得越好,就可以制定更佳的安全策略,從而可以更好地阻止有可能危害企業的特定對手。在攻擊發生時,要珍惜檢查事件的廣泛背景,分析誰在攻擊企業網絡以及采取哪些措施來防止未來的攻擊。
京公網安備 11010502049343號