亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

多數(shù)企業(yè)不能通過歸因獲得更好的安全態(tài)勢。實(shí)際效果恰恰相反。

說到網(wǎng)絡(luò)安全，全世界都執(zhí)著于歸因。太多聳人聽聞的頭條全是質(zhì)問、猜測或者號稱證實(shí)攻擊者身份的。或許，分類和響應(yīng)事件時(shí)天然就有回答 “攻擊者是誰” 的沖動吧，但大多數(shù)情況下，這絕不是鞏固安全的正確途徑。很多安全主管都在一種錯(cuò)誤的前提下管理公司安全操作，總將 “攻擊者” 等同于 “攻擊方法”，這種觀念不僅適得其反，還十分危險(xiǎn)。

公司企業(yè)遭攻擊是常態(tài)，也往往苦于無法快速響應(yīng)和緩解攻擊以評估損失。安全團(tuán)隊(duì)需快速查清攻擊途徑，才可以采取相應(yīng)措施防止同類事件再次發(fā)生。也就是說，團(tuán)隊(duì)需將注意力集中到受影響數(shù)據(jù)及設(shè)備、特定攻擊方法，以及怎樣關(guān)閉可能仍舊暴露在外的訪問點(diǎn)上。搞清攻擊背后的威脅團(tuán)伙身份是一項(xiàng)消耗時(shí)間、精力和資源的活動，會分散保持公司網(wǎng)絡(luò)安全所需的人手和資源。

不妨想象一下這樣的場景：公司首席財(cái)務(wù)官落入商業(yè)電郵欺詐陷阱，按照精心編造的電郵指示向第三方轉(zhuǎn)賬了大筆資金。搞清攻擊背后主謀的身份并不能防止類似攻擊再次發(fā)生，對找回被盜資金、商業(yè)秘密或其他產(chǎn)權(quán)也毫無作用。

歸因研究是大多數(shù) IT 和安全團(tuán)隊(duì)都承擔(dān)不起的精力分散，是在浪費(fèi)寶貴的時(shí)間和預(yù)算。與其投入歸因，團(tuán)隊(duì)更應(yīng)該徹底了解到底發(fā)生了什么，圍繞更有益防患于未然的問題進(jìn)行深入細(xì)致的技術(shù)性分析，比如：入侵者是怎么進(jìn)來的？他們是怎么訪問到那些數(shù)據(jù)的？錢都轉(zhuǎn)到哪兒了？使用了哪些賬戶？

再舉個(gè)勒索軟件攻擊的例子。隨著攻擊者從廣撒網(wǎng)式技術(shù)轉(zhuǎn)向更個(gè)性化的定制攻擊，公司企業(yè)需了解勒索軟件是如何部署的，而不是專注于到底哪個(gè)黑客團(tuán)伙在投放哪種惡意軟件。應(yīng)從 “X 如何驅(qū)動 Y？”的角度解決該風(fēng)險(xiǎn)。從這個(gè)意義上講，對防御者而言，理解外部可訪問管理協(xié)議是怎么方便了勒索軟件部署的，遠(yuǎn)比去研究歸因來得重要。

作為安全分析師，事件發(fā)生后第一時(shí)間應(yīng)該做的事有：

1. 了解你的資產(chǎn)

安全團(tuán)隊(duì)歷來人手不足、資金不足、支持不足，且時(shí)間永遠(yuǎn)是最昂貴也最有限的資產(chǎn)。把時(shí)間花在確定歸因上不如花在別的地方。團(tuán)隊(duì)?wèi)?yīng)全力聚焦了解自身網(wǎng)絡(luò)，理解失誤是怎么發(fā)生的，然后制定出防止未來類似事件再次發(fā)生的計(jì)劃。他們應(yīng)該詢問有關(guān)自身網(wǎng)絡(luò)和終端的問題，重點(diǎn)突出可見性問題，汲取以往過失的教訓(xùn)，弄清架構(gòu)上的特異之處。

2. 威脅數(shù)據(jù)用起來

多數(shù)公司企業(yè)并未用好手邊的大量威脅數(shù)據(jù)，或者未有效使用自身環(huán)境驗(yàn)證威脅數(shù)據(jù)。相反，他們依賴這些數(shù)據(jù)的源頭來確定流行程度。但健壯的整體防御態(tài)勢和通過威脅追捕進(jìn)行的威脅評估，比攻擊者識別更有價(jià)值。

有經(jīng)驗(yàn)的威脅獵手了解并提煉可行性基礎(chǔ)情報(bào)，使用該數(shù)據(jù)主動發(fā)現(xiàn)潛在入侵。對他們而言，“攻擊者”不過是輔助組織戰(zhàn)術(shù)、技術(shù)和規(guī)程 (TTP) 的諸多標(biāo)簽之一，應(yīng)被當(dāng)成事后行為，是“事后報(bào)告”或經(jīng)驗(yàn)總結(jié)階段的一環(huán)。

3. “攻擊者”什么時(shí)候重要？

“無視歸因” 原則也有一些例外。知道誰是攻擊背后主謀，對已經(jīng)具備成型防御操作、足夠可見性和組織良好的威脅追捕及威脅情報(bào)團(tuán)隊(duì)的成熟企業(yè)而言，幫助很大。對已經(jīng)可以很輕松地弄清對手 “攻擊方法” 和 “攻擊目標(biāo)” 的公司而言，歸因可以作為評估潛在對手的一部分工作，讓公司能夠優(yōu)化防御動作。

安全社區(qū)執(zhí)行的調(diào)查也需要?dú)w因的加持。從 “嫌疑人 X 會怎么做？” 的角度展開調(diào)查，有利于威脅研究人員和司法機(jī)構(gòu)構(gòu)建自身威脅追捕行動。敵對行為細(xì)致分類，也可促進(jìn)同行間威脅信息共享，創(chuàng)建更好的行業(yè)協(xié)作空間。

雖說任由好奇心主宰初始動作的想法聽起來很誘人，但公司企業(yè)應(yīng)避免落入歸因陷阱。審查自身全部安全項(xiàng)目，了解資產(chǎn)內(nèi)容和位置，分析這些數(shù)據(jù)，才是公司企業(yè)真正該做的。多數(shù)企業(yè)不能通過歸因獲得更好的安全態(tài)勢。相反，歸因?qū)嶋H上會令人放下更基礎(chǔ)更有效的事件響應(yīng)措施，而去進(jìn)行 “誰干了這事兒？” 的研究，對阻止威脅、鞏固防御起到反效果。