傳統(tǒng)的安全方法提供了阻止已知惡意活動的控制,通常在遭受攻擊后還伴隨有后續(xù)的調(diào)查。
更復(fù)雜的企業(yè)會部署一些諸如沙箱的技術(shù)來檢測和阻止以前未被發(fā)現(xiàn)的攻擊。在遭到攻擊和破壞后,安全團(tuán)隊(duì)往往會重視事件本身,但并沒有從攻擊者獲得更多情報,或者分析與之有關(guān)的事件。
這些方法可能會遺漏高級攻擊的一個基本事實(shí):這些攻擊并不是某個時點(diǎn)的活動,而是一系列可以在未來幾周或幾個月或幾年發(fā)生的事件。高級攻擊者可能會展開大量的活動,如深度調(diào)查、小型感染,以便于生成第二階段或第三階段的惡意軟件,等等。冰凍三尺,非一日之寒。攻擊和破壞本身是在過去的長時間里發(fā)生的一整套連續(xù)活動的高潮和頂點(diǎn)。在此過程中的每個步驟,往往屬于網(wǎng)絡(luò)攻擊的生命周期,代表著檢測和防止攻擊者的一個重要機(jī)會。
在你簡單修復(fù)攻擊所造成的后果時,或者在你簡單地阻止惡意活動的發(fā)生時,你其實(shí)正在浪費(fèi)獲得此事件背景的寶貴機(jī)會,例如“誰” “如何操作”以及“為什么”如此操作。確切地說,你從這些事件中獲得的信息越多,就可以更好地理解安全狀態(tài),從而可以防止類似事件的再次發(fā)生。
攻擊者能夠輕松地改變其使用的惡意軟件,但是要讓他強(qiáng)化工具、策略、過程就要困難得多,而安全管理者可用這一點(diǎn)來檢測其未來的活動。
例如,不妨比較以下兩種情形:
第一種,你檢測到一個未知的惡意軟件感染了一臺電腦。你重新鏡像了此系統(tǒng),并找到了一個未來的惡意軟件的簽名。
第二種,你檢測并分析研究了一個惡意軟件,將一系列最終導(dǎo)致感染的事件聯(lián)系起來。你發(fā)現(xiàn)在這種攻擊中所使用的方法類似于某個有大量資金支持的高級持續(xù)性威脅(APT)所利用的方法。
在第一種情況中,你快速修復(fù)了問題,并且增加了一個規(guī)則以防止完全相同事件的再次發(fā)生。但在第二種情況中,你不但修復(fù)了問題以及部署了一個簽名,而且還判定了誰在找你的麻煩,如何操作,采用了哪些具體措施,并且理解了他的下一步目標(biāo)甚至最終目標(biāo)。這些情報有助于你確認(rèn)其它被感染的機(jī)器,也可以發(fā)現(xiàn)被攻擊者植入的后門。利用獲得的這些情報,你可以找到一系列以前并沒有發(fā)現(xiàn)的線索。
你還可以更高效地利用安全團(tuán)隊(duì)花費(fèi)在安全事件上的有限時間。例如,與由政府或國家支持的網(wǎng)絡(luò)間諜活動相比,低級的網(wǎng)絡(luò)犯罪組織要求的響應(yīng)就截然不同,因?yàn)檫@二者之間的復(fù)雜程度差異很大,企業(yè)的安全團(tuán)隊(duì)知道哪些最應(yīng)優(yōu)先考慮和對待。
你并不是在孤獨(dú)地戰(zhàn)斗。你可以找到大量的公共資源、提供信息共享的組織、廠商研究報告、分析服務(wù)等,這些都可以幫助你分析對手的情報。你獲得的信息越多,分析得越好,就可以制定更佳的安全策略,從而可以更好地阻止有可能危害企業(yè)的特定對手。在攻擊發(fā)生時,要珍惜檢查事件的廣泛背景,分析誰在攻擊企業(yè)網(wǎng)絡(luò)以及采取哪些措施來防止未來的攻擊。