作為乙個威脅,攻擊者含有三個要素:意圖、能力和機會。威脅獵殺將搜尋重點放在具有著三個特徵的物件身上,收集證據、部署對策。最近對威脅獵殺的強調不在於重塑多年來防護者所做的努力,而是關於分析人員有意識地確定和對抗可能已經在環境中的對手。威脅獵殺需要一些具體的分析技能,例如對企業網路環境熟悉,提前假設和調查的能力。使用自動化攻擊的分析人員,使這些追蹤更快,更容易,更頻繁和更準確。
威脅是指對手,是人,而不僅僅是他們的工具。這些對手是持久和靈活的,經常能夠逃避網路防禦。這些威脅通常被認為是高階持續威脅(apt),而不僅僅是因為對手所擁有的能力,而且還因為他們有能力發起和維持長期的攻擊。
許多組織面臨的挑戰是使威脅獵殺過程成為可實現和可重複的過程,以產生價值。
這個挑戰的最重要部分是將威脅獵殺有機地整合到現有的工作流中,以便它補充當前的工作。
威脅獵殺不應該被視為乙個一站式服務來解決網路上的每乙個問題,而應該是總體安全戰略的一部分。
成熟的模型注重三個要素:收集資料的質量, 用於訪問和分析資料的工具以及進行追蹤的分析人員的技能。
威脅獵殺成熟度模型提出了五個階段:初始—>最小化—>程式化—>創新—>領先。
該模型的主要目的是表現出威脅獵殺不是乙個單一的狀態,而是迭代的持續化發展。組織應該最大限度地收集資料,有效地分析資料,然後適當地利用其分析人員進行分析。機器學習應該把追蹤重點你放在資料優先級別和分析上。
4 威脅識別 威脅賦值
威脅出現的頻率是衡量威脅嚴重程度的重要要素。因此威脅識別後需要對威脅頻率進行賦值。評估者應根據經驗和有關的統計資料來對威脅頻率進行賦值。威脅賦值應綜合考慮以下因素 1 以往安全事件報告 現過的威脅及其頻率的統計 2 實際環境中通過檢測工具以及各種日誌發現的威脅及其頻率的統計 3 近年來國際組織發布的...
威脅資訊和威脅情報有啥區別?
本文講的是威脅資訊和威脅情報有啥區別?成品情報,是威脅資訊納入 評估和商業利益匯出的結果。網路威脅情報領域,混淆一直存在 很多還都是廠商弄出來的 威脅資訊往往被當做了成品情報。雖然情報過程從威脅資訊收集開始,但資訊收集僅僅,僅僅只是個起始點而已。從大量獲取資訊,到產出成品情報之間,還有好長好長的一段...
威脅建模基礎
當今社會,許多組織機構面臨前所未有的網路威脅及內部威脅,其資料儲存 處理與傳輸均存在高危風險。由於存在這些威脅,企業日益關注網路安全,使其成為資訊系統安全認證專業人員 cissp或cisp 必需掌握的概念。即使非常重視保護業務流程安全的企業也可能成為網路犯罪的受害者。遵守狹隘的安全標準也許不足以阻止...