the detection and analysis phase of the lifecycle

生命週期中的偵測與分析階段

檢測與分析階段 (Detection and Analysis Phase)

Detection the prompt discovery of security events.

• 監測指的是針對安全事件進行即時的發現，而分析則包括對警報的調查與驗證。detection refers to the prompt discovery of security events and analysis involves the investigation and validation of alerts.
• 不是所有的事件都是安全事故，但所有的安全事故都是事件。

工具：

• intrusion detection system 入侵檢測系統（IDS）：識別入侵並生成警報。
• security information and event management安全資訊與事件管理（SIEM）：檢測detect、收集collect並分析安全數據 analyze security data。

挑戰

• 工具可能因配置不當，無法檢測到所有威脅。
• 自動化工具僅能檢測其經過設定的範圍。

Analysis involves the investigation and validation of alerts

• 分析包括對警示的調查和驗證。
• 分析過程中需要運用批判性思維和事件分析技能，
• 並通過檢查威脅指標(IoC/indicators of compromise)來確定是否發生事件，但這過程可能存在挑戰。

偵測的挑戰

• 偵測的挑戰在於無法檢測到所有事件，即使是優秀的偵測工具也有自身的限制，
• 且因資源有限，組織可能無法全面部署自動化工具。
• 一些事件是無法避免的，因此組織需要制定事故應對計劃。
• 分析師每班次通常會收到大量警報，主要原因包括警報設定配置不當或過於廣泛，導致誤判，或者是惡意攻擊者利用新發現的漏洞引發的真正警報。

Cybersecurity incident detection methods

網路安全事件檢測的主要方法

進階檢測方法

Threat hunting 威脅狩獵的概念

「威脅狩獵」的重要性在於補足偵測工具的不足，並主動預防潛在威脅對組織的影響。這種方式將技術優勢與人類的直覺和經驗相結合，使其在複雜的威脅環境中具有不可取代的價值。尤其是在面對如文件無痕惡意軟體等高技術性威脅時，威脅狩獵為安全防護增加了更深層的保障

威脅情報相關

• evidence-based threat 了解威脅的一種方法是使用威脅情報，這是一種基於證據的威脅信息，能提供現有或新興威脅的背景。
• 威脅情報的來源:
  1. 產業報告（Industry reports）：
     • 這些報告通常來自安全公司或研究機構，內容涵蓋攻擊者的策略、技術與程序（即 TTP：Tactics, Techniques, and Procedures）。
     • TTP 描述了攻擊者如何策劃與執行網路攻擊，這對安全團隊理解攻擊來龍去脈以及防範措施非常關鍵。
  2. 政府公告（Government advisories）：
     • 類似於產業報告，這些公告由政府機構發布，重點同樣放在揭露和解釋攻擊者的 TTP。
     • 尤其是當政府檢測到涉及國家安全的攻擊或重大威脅時，這些公告通常扮演關鍵角色。
     • 這種來源被視為可信而且具高可靠性的威脅情報。
  3. 威脅數據流（Threat data feeds）：
     • 威脅數據流是一種提供與威脅有關的數據串流，幫助安全團隊快速辨識與理解攻擊的具體跡象。
     • 通常包括：
       • IP地址：攻擊者常用的來源地地址。
       • 域名：被用來攻擊或操控的惡意網站。
       • 檔案雜湊值（file hashes）：檢測已知惡意軟體或被更改檔案的指紋數據。

威脅數據流與APT（Advanced Persistent Threat）：

• APT（先進持續性威脅）：
  • 此類威脅代表攻擊者在未經授權的情況下，長時間訪問系統或網絡。
  • 它們往往目標特定組織或機構，並以高階技術與資源支持為特徵
• 威脅數據流的用途：
  • 幫助安全團隊及早發現 APT 和其他複雜威脅。
  • 指數化的數據（如IP、域名、檔案雜湊值）提供快速篩選和主動保護的能力。
• 組織在有效管理大量威脅情報時可能面臨困難。組織可以利用threat intelligence platform 威脅情報平台（TIP），這是一種應用程式，可以從不同來源收集、集中和分析威脅情報。TIP為組織提供了一個集中化的平台，用於識別和優先處理相關威脅，並改善其安全態勢。
  問題：Advanced Persistent Threats (APT) 與威脅情報有何關聯？
  答案：威脅情報幫助組織辨識APT相關的惡意IP、域名和行為模式