1.1MITRE公司
1.2主动防御(Active Defense)
2.1简介
2.2防御技术分类
-
通用防御技术。该类技术是适用于所有防御计划的技术,如:日志采集、数据包采集、数据备份等。 -
欺骗技术。欺骗技术相当于一种主动式的检测技术,通过诱捕攻击者进入欺骗系统,可以捕获到更全面、置信度更高的攻击信息,Shield中的欺骗技术可以用于检测、威慑或者其他想到达到的效果。 -
对手交战技术。对手交战技术是为了捕获攻击者的攻击手法,该技术的部署可以进一步提升红蓝对抗的强度,有利于分析对手信息、制定防御计划、获取对未来有用的知识。
2.3Shield模型
2.4Shield矩阵
2.5Shield和ATT&CK的对应关系
2.6技术示例
2.7未来工作
3.1Shield框架的价值
3.2Shield框架的不足
-
分类不当。分类不当有两种含义:1. 分类不清 2. 分类粒度太粗。首先,Shield将防御技术分为34种,但是往往这34种技术之间存在一定的交叉关系或者依赖关系,例如,行为分析(behavioral analytics)技术与基线(Baseline)技术就存在一定的交叉关系,行为分析技术的核心还是在于分析用户或者系统等方面的信息,发现正常行为和异常行为之间的区别,实际上这些往往也是基线技术的核心所在;其次,分类粒度太粗,如,狩猎技术(Hunting)用于使用现有的信息捕捉出攻击者的有关信息,威胁狩猎需要以各种大数据技术、行为分析技术作为依托,并且威胁狩猎也一直是工业界的研究重点,目前来说并没有什么比较成熟的技术,而Shield将之直接划分一个具体的技术,粒度太大,不具备可操作性。 -
防御技术与攻击技术无明显对应关系。Shield将防御技术与ATT&CK攻击技术相对应,但是这些防御技术往往只是必要条件,是万里长征的第一步,以上文中的API监控技术为例,对系统API调用的监控就能做到对攻击行为的检测和狩猎吗?答案显然是否定的。在海量API调用数据中抽取异常的调用行为,甚至分析出攻击路径和手法需要更高级算法的支持,API监控只是其中最基础的一部分,只能形成最原始的数据积累过程,无法直接与ATT&CK技术对应,想要做到相关的攻击防御还远远不够。不仅仅是API监控,数据包采集(Pcap collection)、系统活动监控(System ActivityMonitoring)等等技术都存在这样类似的问题。 -
无优先级区分。Shield中防御技术分类十分全面,覆盖网络安全的方方面面,很难有公司能够做到完整部署,因此就涉及到部署优先级的问题。实际上,很多时候也没有必要部署完整的防御方案。一方面,部署其中任何一项技术都有着不菲的开销,如数据包采集技术,需要高性能网络探针、足够的探测点、大数据集群、足量的存储资源等等。要做出合理可用的数据包采集方案并部署已非易事,并且Shield中的防御方案往往也不具备针对性,很难在短期内有比较良好的成效。因此从成本考虑,大规模部署Shield中提及的防御方案往往不可行;另一方面,网络攻击活动通常都会在很多方面触发异常,择优筛选出防御能力较强的技术一般即可满足要求,大而全的防御设施部署的现实意义并不是很大,因此选择其中几个高性价比的防御方案进行部署是企业进行网络防护的首选,但是Shield缺乏这方面的信息,企业在实际部署防御方案时就要进行更多的考量和评估。
3.3Shield 技术再分类
3.4小结
天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论