DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

防cc_北京高防cdn_无限

防cc_北京高防cdn_无限

今年,MITRE基于ATT&CK的评估重点在于展示30种不同的工业技术防御能力,ddos防御手段,以应对一系列攻击,这些攻击模拟了俄罗斯政府发起的名为高级持续威胁29("APT29")的先进战术、技术和程序(ttp)。在他们发布结果的几天内,大量的材料从供应商那里传来,声称MITRE的结果是成功的。对于那些看过MITRE的原始结果的人(它从来没有明确地把任何东西分为"好的或坏的"),你可能会想:供应商的反应是否只是良好的营销/炒作? 对谁做得好谁不好有什么公正的看法?我如何解释MITRE的结果,以及如何处理这些信息? 首先,MITRE的结果不容易解释,因为MITRE的目标与Gartner或Forrester不同,后者提供供应商和能力评估。他们并不是要排名,而是要确定工具的检测和警报功能与APT ttp的匹配程度。你肯定可以从MITRE评估中得出一些好的和坏的结果,但是BlueVoyant发现最有趣的是所有"分数"中的一些共同主题 同样,"得分"在这个例子中可能不是最准确的词,因为它意味着赢家和输家,但为了简单起见,我们无论如何都会使用它 以下图为例,X轴是攻击生命周期,代表了红色团队如何执行模拟攻击的各个阶段。Y轴是工具可以检测到的每个阶段中可能检测到的(也就是攻击者的"程序"或"技术")数量颜色编码是它变得有趣的地方。有6种不同类型的"分数"分配了颜色,以突出显示工具用于响应的"类型"检测。以下是我们BlueVoyant解释这些分数的方式-这并不代表MITRE或被评估供应商的任何意见。对于完整的斜接定义,请点击此处: "无"或深蓝色表示该特定攻击程序没有警报。可能有"警报",但它与端点上的其他信号相关联。可能是失火,也可能是同一时间执行的完全不同的程序发出的警报。这可以被视为"未命中",但请记住,仍可能有一个可操作的警报,SOC可以使用它来响应和控制来自另一个攻击过程,可能会产生相同的结果。所以这可能不是完全的"错过"。 "遥测"意味着您收集了足够的数据来找到攻击过程,但您从未生成警报。你可能不认为这是伟大的,但请记住,任何领先的SOC都必须进行持续的威胁研究,即仅使用遥测技术识别高级程序,ddos攻击防御比,并从原始遥测中创建自己的检测 "MSSP"意味着你生成了一些东西,但它需要人的分析和丰富来真正识别它。这可能是好的,也可能是不好的。如果您的SOC使用高级自动化来丰富警报和调查,以增强NGAV/EDR解决方案,这实际上可能是一件非常好的事情,因为您仍在以机器速度进行检测和响应,您只需要在端点工具上安装SOC和SOC平台就可以了 "一般"是指有一个与攻击程序相关的通用警报,但警报没有特别的上下文化或丰富。因此,攻击的模式和动机并没有从警报中立即显现出来,这意味着基于这种警报的响应速度和效率将不如预期的那样快。再次,类似于"MSSP",如果你的SOC的自动化能力很强,它们可能会弥补这里缺乏丰富性。 "战术"是指你掌握了对手在攻击中做了什么,包括他们在攻击阶段的位置以及他们目前正在破坏的系统。这意味着你可以更容易地回应这个额外的见解。 "技术"是最丰富的成果。这意味着该工具成功地发出警报,并提供了对攻击试图实现的目标的洞察(例如,。他们希望利用SMB横向传播)。这给了SOC关于如何应对的最具禁止性的见解。 好的,所以正确的做法是立即开始把每个类别的分数进行累加,然后用它来表示好的,高防打不死cdn推荐,更好的,或者最好的,对吗? 我们不同意。总的来说,我们的想法是,虽然最好的工具是在市场上的网络防御,cc攻击防御免费平台,没有一个工具应该被认为是SOC的APT防御。虽然我们在BlueVoyant的团队喜欢强大的警报,使SOC的生活更容易,但我们真正要寻找的是全面覆盖。我们所说的全覆盖是什么意思?我们正在寻找除"无"之外的所有项目的总分,因为我们的SOC正在使用原始遥测和我们的威胁洞察来执行自己的丰富、情境化和警报-警报是锦上添花 在我们回顾MITRE的ATT&CK评估结果时,我们关注的是哪些技术或技术组合能够为我们的分析人员找到对手提供相关背景、丰富性、装饰性和原始数据。当我们选择在分析员面前部署的工具时,我们更倾向于那些能够提供恶意或不寻常事件发生的准确信号的工具,无论是通过警报还是丰富的遥测技术。我们很少依靠单一的工具或技术来确定事件的范围和广度。然而,重要的是我们的检测技术…检测,但重建事件的叙述需要将事件与其他数据源(如防火墙、身份验证记录、电子邮件日志和其他辅助源)关联起来。在确定最适合您需要的技术时,不仅要考虑它自身的性能,还要考虑它如何适合您更大的检测光谱,以及它如何支持您的深度检测策略。 最终,MITRE ATT&CK对手仿真为潜在买家提供了一个实际的例子,说明了测试技术如何能够抵御目标攻击和独创的方法。对手模拟并非详尽无遗,可能不代表特定环境中存在的风险,但可以让读者了解对手和供应商的能力。值得注意的是,ddos防御的优势,MITRE为任何人提供了对手仿真功能,以测试其现有的工具集,以及ATT&CK Navigator来帮助用户识别技术差距。在考虑您的检测堆栈时请记住这一点-没有供应商能够检测到所有内容,也没有特定的技术类型(例如EDR、NGAV、IPS等)。利用这些优秀的模拟和评估,最好地识别出在您的重点或风险领域表现良好的工具,并使用MITRE提供的工具,通过总体检测差距缩小路线图对其进行扩充 那么这对其他组织意味着什么呢?在我们看来,虽然针对APT29s ttp的评估非常出色,但更重要的是要问自己:"我是否在使用我的所有安全数据时,能够正确地覆盖公司面临的威胁?"只有在你的系统架构中才能找到答案。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/69656.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9218967访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X