iT邦幫忙

2023 iThome 鐵人賽

DAY 9
0

攻擊分析架構的三種方法

在資訊安全領域,有用許多不同的方法來分析攻擊,來了解攻擊者的行為和意圖。
今天來介紹三種主要的攻擊分析架構,並提供一些例子以幫助理解。

1. Lockheed Martin Kill Chain

洛克希德·馬丁(Lockheed Martin)殲滅鏈(Kill Chain)是一種用於分析攻擊的模型,它將攻擊過程分為多個階段,以幫助安全專業人員理解攻擊者的行為。以下是殲滅鏈的各個階段以及相關說明:

  1. 偵查(Reconnaissance):攻擊者首先進行偵查,以尋找潛在的漏洞和目標。這通常是 passively 收集信息,因為攻擊者不想被發現。
  2. 武器化(Weaponization):在實驗室中,攻擊者製造惡意軟體,準備用於後續攻擊。
  3. 交付(Delivery):攻擊者將惡意軟體交付到目標主機上,可以通過電子郵件等方式進行。攻擊者思考如何最好地將其交付。
  4. 利用(Exploitation):一旦惡意軟體交付到目標系統,攻擊者啟動程式碼,開始攻擊。
  5. 安裝(Installation):攻擊者安裝工具,以便可以從遠程位置進一步操作目標系統。
  6. 命令和控制(Command & Control,C2):攻擊者使用前幾個階段獲得的權限,建立命令和控制結構,以掌控目標系統。
  7. 達成目標(Actions on Objectives):一旦安全基礎設施準備就緒,攻擊者開始進行實際攻擊行動,達成其目標。

殲滅鏈分析可用於識別攻擊的進展,並找到防禦的方法。然而,由於殲滅鏈模型相對線性,從外部進行分析攻擊,因此還有其他方法。

2. MITRE ATT&CK® Framework

MITRE ATT&CK® 框架是一種用於描述和分析攻擊行為的模型。它提供了一個更多層次的觀點,以幫助理解攻擊者的技術和戰術。以下是MITRE ATT&CK®框架的一些特點:

  • Pre-ATT&CK:用於偵查和武器化階段的先前攻擊技術和戰術。這有助於預測攻擊者可能使用的方法。
  • ATT&CK:這個部分描述了攻擊者在不同階段的行為,包括如何進行初始訪問、執行、持久存在等。這是一個豐富的知識庫,有助於分析攻擊。

MITRE ATT&CK®框架不僅提供攻擊階段的信息,還提供了許多實際案例和技術細節,有助於安全專業人員更深入地了解攻擊行為。

3. Diamond Model of Intrusion Analysis

鑽石模型是一種用於分析入侵的模型,它主要關注四個關鍵角色,以及一些相關特徵。以下是鑽石模型的主要元素:

  1. 攻擊者(Adversary):誰是攻擊者?他們的動機是什麼?
  2. 基礎設施(Infrastructure):攻擊者使用了什麼基礎設

施來進行攻擊?例如,使用的伺服器、IP地址等。

  1. 能力(Capability):攻擊者擁有什麼技術能力和工具來實施攻擊?這包括他們的惡意軟體和技術。
  2. 受害者(Victim):誰是攻擊的受害者?是個人、組織或其他?

此外,鑽石模型還考慮了以下幾個特徵:

  • 時間戳(Timestamp):攻擊事件發生的時間。
  • 階段(Phase):攻擊過程中的不同階段,例如初始訪問、執行、持久存在等。
  • 結果(Result):攻擊的結果是什麼?是否成功?
  • 方向(Direction):攻擊的方向,是入侵還是側面攻擊?
  • 方法論(Methodology):攻擊者使用的方法和技術。
  • 資源(Resources):攻擊者使用的資源,包括硬體和軟體。

鑽石模型提供了綜合的分析方法,有助於深入了解入侵事件的不同層面。

這三種攻擊分析架構提供了多重角度來理解和應對不同類型的攻擊,幫助安全專業人員更好地保護系統和數據資產。


上一篇
[Day8] 資訊安全能力, 角色和責任
下一篇
[Day10] 入侵偵測系統(Intrusion Detection System) & IPS
系列文
你懂資安 資安就會幫你! CompTIA Security+ (SY0-601) 到底在講什麼!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言