1网络杀伤链(TheCyberKillChain)考虑攻击者的行为模式有助于我们更好地去控制事件。在2011年的一篇题为“通过分析对手活动和入侵杀伤链通知智能驱动计算机网络防御”的具有开创性的论文中,Hutchins、Cloppert和Amin在描述了一个七个阶段的入侵模型,此模型已成为行业标准。1.侦察对手对你的组织产生兴趣,将其作为目标,并开始蓄意收集信息以寻找漏洞。2.武器化有足够详细的信息作为装备,对手决定进入你的系统的最佳方法,开始准备并测试将用以攻击你的武器。3.传送在这一阶段,网络武器被传送到你的系统中。在95%的公布案例中都通过电子邮件进行传送,以链接到恶意网站的形式出现。4.漏洞攻击恶意软件会在你的网络中的CPU中运行。当目标用户点击链接、打开附件、访问网站或插入U盘时,恶意软件都可能会被启动。也可能(在个别情况下)是恶意攻击的结果。无论如何,攻击者的软件正在你的系统中运行。5.安装大多数恶意软件都分阶段传送。首先,在上一步中存在破坏系统的漏洞。其次,一些其他的软件被安装到目标系统中以确保持久性,理想状态下具有良好的隐形能力。6.命令与控制(C&C)一旦完成了软件的前两个阶段(攻击和持久留存),大部分恶意软件会“回拨”攻击者,通知其已攻击成功,并请求更新与指示。7.在目标内的行动最终,恶意软件已准备好按照设计宗旨肆意妄为。也许目的是窃取知识产权并将其发送到海外服务器。或者,也许这些努力只是大规模攻击的最初阶段,所以恶意软件会随着被攻击的系统转移。无论是哪种情况,这时候攻击者已经赢了。2为什么要做事故响应策略?许多公司在成为网络犯罪的受害者之后毫无头绪,不知道该找谁或者该做些什么。因此,所有公司都应当制订一个事故响应策略,以规定谁具有启动事故响应的权利,并且在事故发生之前建立支持性措施。这个策略应当由法律部门和安全部门管理。这两个部门应该协同工作,确保技术安全问题和与犯罪活动有关的法律问题都能有效得到解决。事故响应策略和事故管理包括什么?一个事件响应团队;一套标准措施,事故处理应与灾难恢复计划紧密相关,并应成为公司灾难恢复计划的一部分;事故处理还应该与公司的安全培训及认知计划紧密联系,以确保此类不幸不会发生;应当详细说明如何报告一起事故;3检测对事件做出反应的第一步,也是最重要的一步是首先意识到你遇到问题了。尽管有大量的感应器,但由于种种原因,要做到发现问题比听起来的要困难的多。响应在检测到事件后,下一步是确定怎...
