一
攻防实战中面临3大“灵魂拷问”
-
首先,这些告警是真的还是假的?怎样确认呢? -
其次,攻击者在机器上的权限驻留通常是多点驻留,即使命中其中一个检测规则,他还能通过其他驻留点随时回来,这在攻防实战中非常常见。 -
最后,在安全设备发出告警时,攻击者可能已经做了很多事情,比如窃取凭证、留下更多的后门等,怎样从一条告警就知道所有这些情况呢?
-
企业发现真实攻击的能力很差。虽然安全人员看到了大量的告警,但调查后发现都来自蠕虫或自动化扫描测试,实际上并没有发现真实攻击。 -
即便安全人员发现了真实攻击,他们也无法彻底解决问题,无法将攻击者彻底从系统中驱除。攻击者往往是多点驻留的,即便企业解决了其中一个问题,攻击者依然长期驻留在内网中,而且更加有恃无恐。 -
由于企业缺乏对全局的分析,只能看到单点问题,在遭受攻击之后无法确认损失,因此,企业很难对整体损失作出准确评估。
二
威胁狩猎:化被动防御为主动分析
三
基于ATT&CK的威胁狩猎实例
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论