网络攻击生命周期阶段详解在入侵活动当中，攻击者如何削减平均检测时间

也想出现在这里？点击联系我~

立即下单

进入商城

进不了网站？换个网络试试！

传统的网络安全解决方案一直采取预防为主的实施策略，重点是防止网络攻击活动。其实这一直很重要，但是现在很多高级别的恶意攻击者已经有了绕过边防系统的动机和能力，长期依赖各种创造性的、隐蔽的、针对性的、持续的攻击手段。它潜伏在目标系统中，很难被及时发现。

为了解决前几年以预防为重点的安全策略的缺陷，并确保 IT 环境能够应对日益复杂的安全挑战网络攻击的一般步骤，组织应积极转移资源并专注于恐慌测量和响应计划。中心的新战略维度。专注于减少平均测量时间 (MTTD) 和平均修复时间 (MTTR) 等指标的安全团队可以借此机会有效降低高影响的网络崩溃或数据泄露的可能性。

幸运的是，如果您使用端到端的恐慌管理流程进行快速检测和响应，您还可以显着提高对高影响网络崩溃的恢复能力。当黑客利用环境时，它必须跟踪从最初入侵到最终数据泄露的整个过程——前提是威胁的肇事者仍未被安全系统发现。现代网络安全计划需要关注如何增加 MTTD 和 MTTR，即在恐吓活动的生命周期开始时消除它们，并最终防止可能的后续后果和损失。

互联网权力攻击生命周期阶段解读

在入侵期间，攻击者通常会采取以下典型步骤：

第一阶段：侦察

第一阶段包括识别满足攻击者进行入侵条件的潜在目标（例如具有理想的经济利润、有针对性地访问敏感信息或品牌损害）。一旦确定了现有的防御机制，攻击者就会据此选择自己的攻击设备——具体而言，利用零日安全漏洞，实施鱼枪式的网络钓鱼活动，或向内部员工索贿。

第 2 阶段：初始入侵

在最初的入侵中，攻击者一般绕过外围防御机制，通过易受攻击的系统或用户帐户访问机制侵入内部网络。

第三阶段：指挥与控制

然后，受感染的设备被用作进入组织的跳板。通常，攻击者使用它来下载和安装远程访问木马（简称 RAT），以构建对目标环境的持久远程访问能力。

第 4 阶段：垂直连接

一旦攻击者建立与内部网络的连接，他们就会尝试破坏其他系统和用户帐户。攻击者通常伪装成授权用户，这使得安全解决方案难以检测到受损系统的证据。

第 5 阶段：目标实现

在这个阶段，攻击者通常已经建立了多个远程访问入口点，并且可能已经成功入侵了数百（甚至数千）个内部系统和用户帐户。他们对 IT 环境的各个方面都有深刻的了解，并且可以成功地实现他们的恶意目标。

第六阶段：渗透、破坏和破坏

如果不能有效制止恶意活动，企业将在最后阶段遭受严重的经济损失。在此阶段，攻击者将逐步实现其任务的最终目标，包括暴露知识产权或其他敏感数据，破坏关键任务系统，并经常破坏您的正常业务运营。

初步衡量和响应此类恐吓活动的能力是保护网络免受大规模恶意影响的关键。越早检测和响应黑客活动，企业的最终成本就越低。为了提高 MTTD 和 MTTR，组织需要实施端到端的测量和响应流程，即威胁生命周期管理（简称 TLM）。

令人生畏的生命周期管理

恐吓生命周期管理代表了一组连贯的安全操作能力和流程，包括在 IT 环境中广泛而深入地“观察”的能力，以及通过恢复快速响应安全崩溃的能力。

在衡量任何恐吓迹象之前，公司必须确保 IT 环境中的黑客攻击证据是可见的。由于恐吓活动针对 IT 基础架构中的所有级别，因此您可以观察到的区域越广，成功测量的可能性就越高。在这方面，您应该密切关注三种主要数据类型，并按优先级顺序排列：安全事件和报告数据、日志和机器数据以及传感器取证数据。

虽然安全事件和警报数据通常是安全团队可以访问的最有价值的数据源之一，但通常很难快速确定应该关注哪些事件或警报。在这方面，日志数据还提供了对 IT 环境的更大可见性，包括帮助我们确定谁在那里以及在何时做了什么。

现有的安全解决方案在安全威胁管理方面仍处于中间阶段。SOC 往往受限于日志收集的来源，缺乏分析能力。IDS、NGFW等产品可以根据流量异常进行检测，但都停留在入侵尝试阶段。，大量无用的警报让用户束手无策，难以感知真正的安全风暴。近年来，各家厂商开始推出基于深度测量的APT产品，但侧重点和方向不同，安全恐吓管理的实际效果也大相径庭。一个典型的例子是传统安全厂商使用沙盒技术进行病毒木马检测，但随着攻防对抗升级，也有一些新的想法。以盒子场景分析、DGA检测算法等新技术为核心，可分六个阶段全面覆盖安全威胁管理。一旦企业可以有效地收集其安全日志数据，就可以将其与传感器取证数据配对，以获得更大的深度和广度的可见性。

一旦建立了这些可见性功能，企业就可以检测并响应恐吓活动。潜在威胁的检测应通过搜索和机器分析相结合来实现。必须快速评估检测到的恐吓活动，包括其对业务的潜在影响和响应的紧迫性。风暴特征化后，企业应实施相关缓解措施网络攻击的一般步骤，以增加并最终消除业务风险。一旦崩盘结束并且业务风险得到有效控制，公司就可以开始推动全面复苏工作。

通过投资于令人生畏的生命周期管理解决方案，企业更容易受到破坏性网络崩溃或数据泄露的影响。尽管仍面临众多内部和外部威胁，但组织可以通过增强的检查和响应能力来管理其环境，最终减少大规模且代价高昂的恶意活动的可能性。