随着网络攻击的不断演变和复杂化,传统的安全防御方法已经无法满足当前的威胁环境。仅仅依靠防火墙、杀毒软件等自动化安全解决方案已经难以抵御真正的攻击者。因此,2014年,国外提出了使用TTP战术、技术、程序的方法检测威胁。
1. TTP概念(Tactics, techniques, and procedures)
TTP英文是Tactics, techniques, and procedures,即战术、技术、程序。
| 战术 | 战术是攻击者的行为和策略的高级描述。它包括一系列行为和行动,攻击者通过这些行动来实现特定的目标。 |
| 技术 | 技术是指实现战术行动的非具体指导方针和中间方法。它描述了如何利用各种手段来实现攻击目标。 |
| 程序 | 程序是指使用特定技术来执行攻击战术的一系列操作。它涉及详细描述攻击者为成功达到目标而执行的活动。 |
2. 为什么传统方法难以检测APT
传统检测手段,如IPS、反病毒等,通常检测一种攻击工具的攻击特征,随着对抗升级,攻击者普遍会通过对抗手段,变化特征,绕过检测。
即传统检测手段主要在检测:TTP中的”P“程序,没有抽象到TT(战术、技术)层。
3. TTP技术方法的优势
深入了解攻击者:TTP技术要求企业深入了解攻击者的战术、技术和程序。通过对攻击者行为模式的研究和分析,可以获得对攻击者的深入了解,包括他们的目标、策略、攻击手段等。这种深入了解使企业能够更好地预测和预防潜在的攻击行为,并在攻击发生前主动采取相应的安全措施。
主动威胁识别:通过深入了解攻击者的战术、技术和程序,企业可以更早地发现和评估安全威胁,采取主动的防御措施。相比传统的被动式防御方法,TTP技术使企业能够主动应对威胁,提高安全防御的效果。
精准威胁预测:TTP技术将攻击程序特征抽象为攻击意图、攻击现象,可以用于检测潜在的网络攻击。通过分析这些线索,企业可以预测攻击者的下一步行动,并采取相应的安全措施,及时应对威胁事件。
4. TTP技术的应用
建立安全监控和事件响应系统:通过应用TTP技术,企业可以建立实时的安全监控和事件响应系统,及时检测和应对潜在的网络威胁。通过分析攻击者的行为模式和特征,企业能够更早地发现入侵企图,并采取相应的安全措施进行阻止。
共享TTP知识库:企业可以收集和共享TTP知识库,从开放和社区基础的网络安全计划中获取宝贵的经验和洞察力。通过共享和学习攻击者的TTP,企业可以改进安全防御策略,提升整体的安全性。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
