iT邦幫忙

0

Cyber security -6 Module3 incident detection and verification

  • 分享至 

  • xImage
  •  

the detection and analysis phase of the lifecycle

生命週期中的偵測與分析階段

檢測與分析階段 (Detection and Analysis Phase)

Detection the prompt discovery of security events.

  • 監測指的是針對安全事件進行即時的發現,而分析則包括對警報的調查與驗證。detection refers to the prompt discovery of security events and analysis involves the investigation and validation of alerts.
  • 不是所有的事件都是安全事故,但所有的安全事故都是事件。

工具:

  • intrusion detection system 入侵檢測系統(IDS):識別入侵並生成警報。
  • security information and event management安全資訊與事件管理(SIEM):檢測detect、收集collect並分析安全數據 analyze security data。

挑戰

  • 工具可能因配置不當,無法檢測到所有威脅。
  • 自動化工具僅能檢測其經過設定的範圍。

Analysis involves the investigation and validation of alerts

  • 分析包括對警示的調查和驗證。
  • 分析過程中需要運用批判性思維和事件分析技能,
  • 並通過檢查威脅指標(IoC/indicators of compromise)來確定是否發生事件,但這過程可能存在挑戰。

偵測的挑戰

  • 偵測的挑戰在於無法檢測到所有事件,即使是優秀的偵測工具也有自身的限制,
  • 且因資源有限,組織可能無法全面部署自動化工具。
  • 一些事件是無法避免的,因此組織需要制定事故應對計劃。
  • 分析師每班次通常會收到大量警報,主要原因包括警報設定配置不當過於廣泛,導致誤判,或者是惡意攻擊者利用新發現的漏洞引發的真正警報。

Cybersecurity incident detection methods

網路安全事件檢測的主要方法

進階檢測方法

檢測方法/工具 定義 優點/功能 例子
威脅狩獵(Threat Hunting) 主動尋找未被工具檢測到的潛在威脅 結合人類分析與工具;提高發現隱匿威脅的可能性 無文件型惡意軟體(Fileless Malware)可能未被傳統方法發現,透過威脅狩獵,可以在威脅產生實際損害前進行攔截。
威脅情報(Threat Intelligence) 基於證據的數據分析,為威脅提供上下文,信息來源:行業報告/政府的攻擊方針(TTP)/ 威脅資料流(例:高級持續性威脅APT情報和IP地址、域名、檔案雜湊指標file hashes.等)。 幫助安全團隊瞭解威脅情況並制定計畫; 威脅情報平台(TIP)可整合、集中化資訊,幫助識別、優先處理威脅
網路欺瞞(Cyber Deception) 詐騙攻擊者並吸引其訪問假資源 幫助提高警報準確性與防禦效能。減少誤報、優化防禦策略的設計,可吸引惡意行為者。 Honeypots (虛擬假檔案,用於攻擊行為監控)

Threat hunting 威脅狩獵的概念

「威脅狩獵」的重要性在於補足偵測工具的不足,並主動預防潛在威脅對組織的影響。這種方式將技術優勢與人類的直覺和經驗相結合,使其在複雜的威脅環境中具有不可取代的價值。尤其是在面對如文件無痕惡意軟體等高技術性威脅時,威脅狩獵為安全防護增加了更深層的保障

威脅情報相關

  • evidence-based threat 了解威脅的一種方法是使用威脅情報,這是一種基於證據的威脅信息,能提供現有或新興威脅的背景。
  • 威脅情報的來源:
    1. 產業報告(Industry reports):
      • 這些報告通常來自安全公司或研究機構,內容涵蓋攻擊者的策略、技術與程序(即 TTP:Tactics, Techniques, and Procedures)。
      • TTP 描述了攻擊者如何策劃與執行網路攻擊,這對安全團隊理解攻擊來龍去脈以及防範措施非常關鍵。
    2. 政府公告(Government advisories):
      • 類似於產業報告,這些公告由政府機構發布,重點同樣放在揭露和解釋攻擊者的 TTP。
      • 尤其是當政府檢測到涉及國家安全的攻擊或重大威脅時,這些公告通常扮演關鍵角色。
      • 這種來源被視為可信而且具高可靠性的威脅情報。
    3. 威脅數據流(Threat data feeds):
      • 威脅數據流是一種提供與威脅有關的數據串流,幫助安全團隊快速辨識與理解攻擊的具體跡象。
      • 通常包括:
        • IP地址:攻擊者常用的來源地地址。
        • 域名:被用來攻擊或操控的惡意網站。
        • 檔案雜湊值(file hashes):檢測已知惡意軟體或被更改檔案的指紋數據。

威脅數據流與APT(Advanced Persistent Threat):

  • APT(先進持續性威脅):
    • 此類威脅代表攻擊者在未經授權的情況下,長時間訪問系統或網絡。
    • 它們往往目標特定組織或機構,並以高階技術與資源支持為特徵
  • 威脅數據流的用途:
    • 幫助安全團隊及早發現 APT 和其他複雜威脅。
    • 指數化的數據(如IP、域名、檔案雜湊值)提供快速篩選和主動保護的能力。
  • 組織在有效管理大量威脅情報時可能面臨困難。組織可以利用threat intelligence platform 威脅情報平台(TIP),這是一種應用程式,可以從不同來源收集、集中和分析威脅情報。TIP為組織提供了一個集中化的平台,用於識別和優先處理相關威脅,並改善其安全態勢。
    問題:Advanced Persistent Threats (APT) 與威脅情報有何關聯?
    答案:威脅情報幫助組織辨識APT相關的惡意IP、域名和行為模式

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言