网络安全运营和事件管理(二十三):知识-智能和分析之网络安全知识管理

admin 2022年8月29日10:01:28评论18 views字数 1168阅读3分53秒阅读模式

《网络安全知识体系》

安全运营和事件管理(二十三
网络安全知识管理


6     知识:智能和分析
智能和分析侧重于两个特定组件,如图2所示,CTI和CERTs.CTI平台(第6.3节)取代并包括蜜罐以提供对可能影响组织的恶意活动的全面视图。CERT和ISAC是监管机构,组织可以通过这些机构获取其他信息,例如特定于行业的入侵指标或事件的最佳实践检测和处理。

6.1 网络安全知识管理

如第4节所述,SIEM平台是支持分析师保护信息系统和网络的主要技术工具。管理网络安全相关知识的最早尝试是漏洞信息共享,首先正式化为CERT公告,现在通过常见漏洞和披露(CVE)字典(常见漏洞评分系统)进行管理。(CVSS)和数据库,如NIST国家Vul-neraility数据库。然而,这些平台的性能在很大程度上依赖于提供给管理它们的分析师的信息。了解攻击者一直是一个长期存在的研究领域,但在了解攻击过程和动机以及为分析师提供更好的信息以使其适当化方面,最近取得了许多进展。

CVE提供了一种引用附加到特定版本产品的特定漏洞的方法。此信息对于IDS签名非常有用,因为它们可以清楚地标识目标产品。但是,它们不足以进行更全面的处理,因此已经定义了更高级别的分类。
通用漏洞评分系统(CVSS)通过提供易于理解的综合数字评分,提供了一种评估漏洞影响的标准方法。每个漏洞都根据六个基本指标分配一个分数,这些指标反映了漏洞的固有特性,特别是攻击者可以利用该漏洞影响机密性,完整性和可用性的难易程度。此基本指标由三个时间指标进行调节,这些指标指示漏洞利用(增加风险)或补丁(降低风险)是否可用;随着更多信息的出现,这三个时间指标会随着时间的推移而发展。最后,四个时间指标衡量组织的具体风险。每个CVE条目通常由CVSS分数限定。
常见弱点枚举(CWE)字典在CVE字典之上提供了更高级别的结构,以进一步限定漏洞中涉及的软件弱点类型。它用作CVE条目的附加说明,以识别多个软件工具中出现的弱点,并确定常见的缓解和预防策略。CWE的结构相对复杂,识别漏洞之间的共性有时很困难。CWE参考资料经常出现在CERT公告中。
通用攻击模式枚举和分类(CAPEC)和对抗战术、技术和常识(ATT&CK)框架提供了两种额外的视图,用于攻击攻击者活动。CAPEC引用了多个CWE条目,重点介绍攻击者使用的常见属性和技术。示例包括SQL注入或跨站点请求伪造。最近,ATT&CK一直在正式化有关攻击者的运营信息,以开发威胁模型和运营程序来保护网络。
重要的是要注意,SIEM和SOAR的性能依赖于知识库中存在的准确和完整的信息。因此,必须维护这些信息,并应为此建立与其他系统或网络管理功能的适当链接。

原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(二十三):知识-智能和分析之网络安全知识管理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月29日10:01:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全运营和事件管理(二十三):知识-智能和分析之网络安全知识管理http://cn-sec.com/archives/1260336.html

发表评论

匿名网友 填写信息