威胁检测和响应：如何领先于高级威胁

最新推荐文章于 2024-08-05 08:55:27 发布

dylanOO1

最新推荐文章于 2024-08-05 08:55:27 发布

阅读量1.6k

点赞数

分类专栏：网络安全文章标签： SIEM UEBA 威胁

原文链接：https://translate.google.com.hk/translate?hl=zh-CN&sl=en&u=https://www.exabeam.com/ueba/threat-detection/&prev=search

版权

网络安全专栏收录该内容

2 篇文章

订阅专栏

威胁检测是网络安全团队的第一要务。如果您甚至在网络中都没有看到坏人，您将无法做出适当的响应。但是，由于潜在的威胁和对手如此之多，部署适当的威胁检测似乎是一项艰巨的任务。大量的营销流行语和网络艺术术语，甚至更难制定清晰的策略。分解威胁检测和对最基本元素的响应可以使情况更加清晰。

在这篇文章中，您将学习：

什么是威胁检测？
攻击者是什么？
威胁的例子有哪些？
如何检测威胁
如何捕捉威胁
如何应对威胁

什么是威胁检测？

术语与计算机安全有关，威胁是指可能对计算机系统或网络造成损害的任何事物。重要的是，正如Techopedia指出的那样，威胁与攻击并不相同。威胁表示可能发生攻击。攻击是侵入或损害计算机或网络的行为。几年前出现了一种更高级的威胁形式，即“ 高级持久威胁”（APT）。顾名思义，威胁是复杂的，并且会在您的网络中保留很长一段时间，从而使攻击者有更长的行动时间。

威胁检测是您在网络，系统或应用程序中发现威胁的过程。这个想法是在威胁被利用为攻击之前就对其进行检测。例如，端点上的恶意软件可能已经或可能没有被攻击利用。因此，安全团队一直将重点从所谓的危害指标（IoC）（如恶意软件感染）转移到技术，策略和规程（TTP）。目的是通过观察讲故事的技巧来发现威胁的参与者，而不是通过发现IoC来发现已经引入威胁的证据。

攻击者是什么？

网络犯罪分子通常采取以下五件事之一。毫不奇怪，最终目标通常是金钱。

用户凭据-网络犯罪分子通常不在您之后，而是在您的凭据之后。他们希望您的用户名和密码进入您有权访问的系统。用钥匙打开门，然后选择锁或打破窗户要容易得多。一些攻击者将使用一种称为特权升级的技术，通过利用底层操作系统来授予自己其他特权。然后，他们使用这些逐步升级的特权来获得他们真正想要的。
个人身份信息（PII） -一些犯罪分子想要他们可以用来假冒您的个人信息，例如社会安全号码或驾照号码。这些和其他详细信息可用于申请信用卡，以您的名义开设银行帐户等。
知识产权或敏感的公司信息-工业间谍活动依然存在。民族国家正在寻求窃取商业秘密以促进本国经济。竞争对手希望通过利用竞争对手的知识来获得优势或填补产品中的空白。员工冒着窃取重要秘密谋取个人利益的风险，或者冒着为晋升而被窃取的风险。公司需要保护其产品设计，客户数据库，业务流程，营销计划等。
赎金—犯罪分子多年来一直在网上勒索公司和个人。他们的两个最有力的武器是勒索软件，其中对端点或服务器文件进行了加密，并要求勒索赎金以将其解锁；以及DDoS攻击，其中流量会充斥虚假流量，淹没Web服务器或网络，直到支付了赎金。
报复 -一些不满的用户或所谓的黑客主义者试图关闭或放慢系统以抗议公司政策。在某些情况下，攻击者可能破坏网页，使公司或政府组织难堪。

威胁的例子有哪些？

以下是一些常见的威胁示例：

恶意软件-感染计算机的恶意软件，例如计算机病毒，蠕虫，特洛伊木马，间谍软件和广告软件。
网络钓鱼-伪装成合法通信的伪造电子邮件，旨在从不知情的收件人那里窃取敏感信息。
勒索软件 —一种恶意软件，它对端点或服务器上的文件进行加密，然后显示一条消息，要求勒索以换取解密文件。
Trojan horse（特洛伊木马） —一种计算机可执行文件，有时也称为后门，可以远程激活以进行各种攻击。
加拿大政府的网络部门对基本威胁类型有很好的总结。

正如我所提到的，更多高级团队正在转向MITER ATT＆CK框架进行威胁检测和响应。 ATT＆CK是基于对网络攻击的真实观察而在全球范围内可获得的对抗策略和技术的知识库。它们以矩阵形式显示，这些矩阵按攻击阶段排列，从初始系统访问到数据盗窃或机器控制。有适用于常见台式机平台（Linux，macOS和Windows）以及移动平台的矩阵。