作者:珍妮弗•拉森

预测。分析。攻击。

这就是你打击网络犯罪。

你预期行为的类型,他们的计划。你分析他们的行为。然后,如果有必要,你攻击他们。

,幸运的是挫败的工作网络罪犯,斜接了一个资源,帮助他们分析这些网络恶霸的行为。叫做网络分析库,它有助于网络辩护者检测可疑行为,表明一种威胁。

不断变化的威胁需要理解

如果有一个奥运会非法网络活动,今天的网络罪犯需要黄金。恶意hackers-their的敏捷能力迅速改变他们如何operate-makes传统网络防御脆弱和不满意。大部分的传统方法寻找所谓的妥协(IOC)指标。黑客能够适应速度至少在表面上避免与这些方法检测。

弄清楚如何箔的潜在攻击者试图降低您的网络可以拯救无数小时的时间,精力和金钱。这是一个巨大的任务,但是一个很好的起点是了解网络的敌人显示的最可能的行为。

与负责社区收集和分享等行为的知识是斜方工程师开发的原因网络分析库,或汽车。知识库的分析来帮助网络防御识别可疑行为发生在他们的系统。

在与ATT&CK同步工作

车的补充对手的战术、技术和常识(ATT&CK)模型,也由主教法冠。ATT&CK是一个框架来描述后,攻击者采取的行动已经内部和破坏网络。

汽车和ATT&CK关注可能威胁的检测基于观察对手的行为。免费为公众和政府机构使用。

“当你看着你的网络检测攻击者,你应该观察行为,“说横切的克雷格•Wampler领先网络安全工程师。“汽车是一个启动的过程。它包含行为的分析你要小心。”

包括汽车设计的分析基于主机的传感在Windows环境中。目前,斜方公布了分析在四个不同的类别:态势感知,异常/例外,取证,和战术、技术和程序(TTP)。

一个组织没有实现所有的如果它不想分析。并不是每一个分析适合每个组织。斜方广泛测试和改进分析通过一系列有针对性的网络游戏,而不是每一个组织的资源类型的全面测试。

然而,横切的迈克尔·麦克费尔希望的组织将感兴趣的选择和调整分析,最适合他们。”的心态,我们希望人们会采用,”麦克费尔说,领先的网络安全工程师。

为什么监测可疑行为问题时灵活

当试图捕获攻击者时,要注意自己的行为。

那是因为它是更有效监控可疑行为比寻找敌人的特点。安全解决方案依赖于识别指标的妥协,或者国际石油公司,如恶意软件散列(许多来自一个文本字符串,表明病毒)或恶意域名,很容易陷入困境。你看,国际石油公司很容易改变的,这使得他们更难检测和有效使用。

但是汽车的分析可以检测可疑行为。对手可以改变外表,但行为模式往往是相似的。攻击者可以只有这么多路径,一旦找到一个入口点。这使得汽车更有价值的资产,而不是安全解决方案依赖于这些国际石油公司。

考虑这个比喻Crowdstrike由网络安全公司。一个银行劫匪可能试图掩盖自己穿着一件紫色的棒球帽当他介入银行,偷了里面的钱。但强盗总是可以摘下棒球帽。最重要的是跟踪银行劫匪的行为进行抢劫的时候,不是他的穿着。

当你知道你的攻击者的策略和技巧,你可以为自己辩护。

社区使汽车更强

对手总是在寻找下一个最好办法肆虐,所以网络安全总是努力保持至少领先一步。通过必要性,汽车总是一项正在进行中的工作。

“这是一个工具,就像一种乐器,你调整和重新调整,从而得到正确的声音,”麦克费尔说。

通过合作和共享的防守技术,每个人都可以导致攻击者的失败。你有一些想法想要和我们分享吗?发送电子邮件!汽车是公开发布促进社区合作,所以它的设置欢迎贡献。

这篇文章的前一版本发表在这里。