成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

聊一聊MITRE:內部威脅知識庫

安全
人們通常認為那些受信任的內部人員大概永遠不會暴露到檢測內部威脅的雷達中。然而MITRE的努力卻恰恰證明了:即使是內部人員,如果他們做出一些打破信任關系的行為,同樣也會被檢測到。

即使是那些受到雇主信任的內部人員,也會做出一些辜負信任的惡意活動。他們實行惡意行為時,往往會用到一些策略、技術以及過程(TTP)。對于這些已知的TTP,自我定位為內部威脅情報中心的MITRE認為:是時候匯總出一個統一的“字典”了。

二月中旬,在Citigroup Technology、 Microsoft、Crowdstrike、Verizon、和 JP Morgan Chase等多部門巨頭的支持下,MITRE Engenuity的威脅知情防御中心公布了其內部威脅知識庫的設計原理和方法。

惡意的內部人員 “一個獨特的威脅”

在TTP知識庫的努力下,威脅知情防御中心的研發主管Jon Baker在博客中提出了一個所有CISO都認可的觀點:“惡意的內部人員對組織構成了獨特的威脅。”Baker的帖子還表明,重點在于“IT環境中SOC可觀察到的”網絡威脅和活動上。同時,CISO們也聽取Baker的警告,不把重心放在上一個重大內部威脅事件的TTP上。

內部威脅者的14項技術

TTP強調了14個不同的關注領域,其中包括54種針對內部威脅者行為的識別技術:

  • 偵查Reconnaissance
  • 資源開發Resource development
  • 初始訪問Initial access
  • 執行Execution
  • 持續Persistence
  • 權限提升Privilege escalation
  • 防御規避Defense evasion
  • 憑證訪問Credential access
  • 發現Discovery
  • 橫向移動Lateral movement
  • 收集Collection
  • 命令與控制Command and control
  • 滲透Exfiltration
  • 沖擊Impact

人們通常認為那些受信任的內部人員大概永遠不會暴露到檢測內部威脅的雷達中。然而MITRE的努力卻恰恰證明了:即使是內部人員,如果他們做出一些打破信任關系的行為,同樣也會被檢測到。

內部威脅者常見的策略

該程序的設計原則巧妙地涵蓋了對每個TTP所需技能的評估,并將重點放在實際發生過的,而非那些假設會發生的案例上。他們的研究得出了如下推論:

  • 內部威脅者通常使用簡單的TTP來訪問和泄漏數據。
  • 內部威脅者通常利用現有的訪問特權來使數據竊取或其他惡意行為更加方便。
  • 內部威脅者通常會在滲透前“準備”他們打算竊取的數據。
  • 外部/可移動的方式仍是常見的滲透渠道。
  • 電子郵件仍是常見的滲透渠道。
  • 云存儲既是內部人員收集的目標,也是常見的滲透渠道。

隨后,他們根據這些推論,以“使用頻率”為權重,將“頻繁”,“中等”和“不頻繁”的標簽分配給每個威脅技術,以幫助開發者針對各項技術被使用的可能性進行排序,并確保那些出現頻率較高的技術被覆蓋。而附帶的GitHub文檔則旨在幫助團隊對他們的經驗進行分類。

資源有限的組織應該將注意力集中在“發生概率大”的事件上,并在條件允許時適當涵蓋那些“可能性小”的事件。根據Baker的說法,專注于所有可能發生的事件(盡管不太現實),雖然具有創造性,但“會導致抵御內部威脅的程序和SOC失去重點”。對此,他引用了Frederick大帝的名言:“捍衛一切的人什么也捍衛不了。” 由此可見,CISO應該采用性價比最高的產品。

關注最有可能發生的內部威脅場景

雖然,國家收買員工的事情很有可能發生,但更有可能發生的是內部的惡意行為。因為這對那些內部威脅者個人以及他們的職業生涯都是有益處的。這些內部的惡意行為包括個人收集信息以支持自己的發展、出售手頭的商品(其雇主的知識產權和商業秘密),或將信息/數據作為其下一份工作的敲門磚。

創建TTP知識庫和社區的目的主要是確保,“內部威脅者不得再在合法權限的掩護下肆意妄為,以及在內部威脅對組織造成巨大損失或使組織陷入困境之前檢測到它”。這將通過管理流程和應用程序在行業內的共享、網絡研討會以及大型會議來實現。在這些會議上,用例將會被共享,“捍衛者”們也可以進行彼此之間的相互學習。

圍繞著內部威脅的網絡活動數量來設計結構是有意義的,CISO們應最小限度地審查MITRE TTP的適用性,并著眼于確定如何采用該理念,使自己在所有朝著統一方向前進的實體社區中發揮作用,進而挫敗惡意的內部人員。

點評

比起外部的攻擊,內部威脅往往是企業運行安全、數據安全的主要原因。通過識別惡意的內部操作,以及可執行此類操作的人員,企業可以在威脅行為發生之前采取措施。正所謂“知己知彼,百戰不殆”,有效的網絡安全防御措施依賴于對攻擊方戰術、技術與過程的識別與應對。了解對方常用的TTP,并構建靈活的防御措施,可以使安全團隊從被動轉向主動,最大程度地降低由內部人員帶來的風險。

責任編輯:趙寧寧 來源: 數世咨詢
相關推薦

2022-07-19 08:01:08

Azure云環境安全

2017-12-26 14:56:44

虛擬化基礎知識

2023-09-22 17:36:37

2020-05-22 08:16:07

PONGPONXG-PON

2021-01-28 22:31:33

分組密碼算法

2018-06-07 13:17:12

契約測試單元測試API測試

2022-01-11 15:44:15

JavaScript圖表庫數據

2019-12-12 14:52:10

數據庫腳本

2024-11-04 09:00:00

Java開發

2021-08-04 09:32:05

Typescript 技巧Partial

2020-10-15 06:56:51

MySQL排序

2019-02-13 14:15:59

Linux版本Fedora

2022-08-08 08:25:21

Javajar 文件

2022-11-01 08:46:20

責任鏈模式對象

2023-05-15 08:38:58

模板方法模式

2021-01-29 08:32:21

數據結構數組

2021-02-06 08:34:49

函數memoize文檔

2023-07-06 13:56:14

微軟Skype

2018-11-29 09:13:47

CPU中斷控制器

2018-01-10 14:13:04

測試矩陣API測試
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 成人免费视频网 | 日本午夜精品 | 成人99| 日本在线视频一区二区 | 久久精品亚洲精品国产欧美 | 91麻豆产精品久久久久久夏晴子 | 成人免费在线播放视频 | 国户精品久久久久久久久久久不卡 | 一本色道久久综合亚洲精品高清 | 日韩欧美手机在线 | 国产激情视频在线观看 | 日韩超碰在线 | 99re热精品视频 | 玖玖视频网 | 国产一区二区 | 精产国产伦理一二三区 | 国产精品久久亚洲 | 97综合在线 | 久久久高清 | www.av在线| 国产精品一区二区三 | 日韩av成人 | 久久最新| 久久国产亚洲 | 一区二区三区中文字幕 | 国产免费自拍 | 91久久爽久久爽爽久久片 | 亚洲超碰在线观看 | 免费能直接在线观看黄的视频 | 亚洲视频免费在线观看 | 6080亚洲精品一区二区 | 91正在播放 | 国产一区二区在线免费观看 | 国产一区二区视频在线 | avtt国产 | 国产一区黄色 | 亚洲在线电影 | 中文字幕亚洲一区二区三区 | 欧美精品一区二区在线观看 | av不卡一区 | 99精品网 |