在完善的深度防御策略到位的情況下，攻擊如何仍能破壞網(wǎng)絡(luò)？

目標(biāo)，馬里蘭大學(xué)和社區(qū)醫(yī)院在 2014 年都遭受了嚴(yán)重的數(shù)據(jù)外泄。盡管這些機(jī)構(gòu)有多層的安全技術(shù)和警報(bào)，攻擊者仍然能夠危害業(yè)務(wù)，在網(wǎng)絡(luò)內(nèi)行動(dòng)而未被發(fā)現(xiàn)并且竊取數(shù)據(jù)。
當(dāng)今企業(yè)網(wǎng)絡(luò)的規(guī)模和復(fù)雜性已經(jīng)創(chuàng)造了一個(gè)巨大的“攻擊面區(qū)域”，使人們無法阻止威脅網(wǎng)絡(luò)的每一次攻擊。此外，攻擊者正在創(chuàng)造非常有針對性的攻擊活動(dòng)——專門針對您的網(wǎng)絡(luò)而精心研究和設(shè)計(jì)的一個(gè)由攻擊、規(guī)避技術(shù)和模糊組成的組合。

為什么事件響應(yīng)得到這么多的關(guān)注以及為什么我需要它？

事件響應(yīng)包括對影響您的業(yè)務(wù)活動(dòng)做出識別、分析和應(yīng)對。在安全方面，這可以包括分布式拒絕服務(wù)（DDoS） 攻擊，數(shù)據(jù)外泄或網(wǎng)絡(luò)危害，甚至丟失設(shè)備或數(shù)據(jù)。
事件響應(yīng)，或至少用于有效 IR（信息檢索）的工具和流程，可不僅僅用于解決“事后”問題。通過將工具放置到位以建立您的 IR 網(wǎng)絡(luò)活動(dòng)基線，安全團(tuán)隊(duì)可以“捕獲”表明某些資產(chǎn)已被損害（如僵尸）的網(wǎng)絡(luò)活動(dòng)。
通過捕獲網(wǎng)絡(luò)內(nèi)的威脅，然后分析這些威脅的關(guān)鍵屬性，團(tuán)隊(duì)可以采取措施盡量減少攻擊事件的影響，比如在額外的惡意軟件可以安裝之前停止僵尸通信或停止數(shù)據(jù)泄露。此外，這些相同攻擊的詳細(xì)信息可以用來增強(qiáng)安全防御以防止未來的威脅。

“高級攻擊”與惡意軟件有何不同？

惡意軟件是設(shè)計(jì)成執(zhí)行某些惡意活動(dòng)的一種軟件。高級攻擊是用來描述威脅活動(dòng)的一個(gè)組合——DDoS 攻擊、僵尸網(wǎng)絡(luò)、惡意軟件、網(wǎng)絡(luò)釣魚——每個(gè)在不同的時(shí)間執(zhí)行，針對網(wǎng)絡(luò)的不同區(qū)域。這背后的想法是要利用網(wǎng)絡(luò)表面區(qū)域的任何漏洞來創(chuàng)建一組攻擊。如上所述，當(dāng)今企業(yè)網(wǎng)絡(luò)的復(fù)雜性已經(jīng)創(chuàng)造了一個(gè)較大的“表面區(qū)域”，其更加難以監(jiān)控和保護(hù)。這些攻擊者正在使用定時(shí)事件、攻擊類型、規(guī)避技術(shù)和“清理”工具的特別公式，對每個(gè)組織和/或預(yù)期的結(jié)果都是唯一的。
高級攻擊的目的在于捆綁您的當(dāng)前保護(hù)技術(shù)或者將注意力從網(wǎng)絡(luò)的一個(gè)區(qū)域轉(zhuǎn)移到另一個(gè)區(qū)域?？傊鼈兙腿缤渌a(chǎn)品一樣被設(shè)計(jì)和測試，具有特定的用途、特別的買家和期望的設(shè)定結(jié)果。

現(xiàn)在我可能會受到威脅嗎？

很可能—答案是肯定的。如上所述，攻擊和攻擊工具包就像任何其他的產(chǎn)品一樣被制造出，并且也可以購買、出售或像商品一樣交易。這些攻擊是“新型的”，或使用不能用傳統(tǒng)的檢測工具識別的不同技術(shù)，因而這些攻擊會帶來更高的價(jià)值。很容易開發(fā)武器化的工具包——惡意軟件或者可以利用網(wǎng)絡(luò)漏洞的其他攻擊——也有很高的需求。并且這些類型的攻擊有任意數(shù)量的購買者，比如正意欲偷取競爭信息的組織，或者想削弱對方的各個(gè)國家，或者甚至有攻擊者想發(fā)表公開聲明反對其認(rèn)為錯(cuò)誤的做法。可能性是無窮無盡的，而且鑒于攻擊的動(dòng)機(jī)和不同類型，你的網(wǎng)絡(luò)遭受攻擊的可能性非常大——即使它是“良性的”攻擊，在 DDoS 攻擊中讓你的用戶充作一個(gè)僵尸網(wǎng)絡(luò)大軍的主力。
使用社交設(shè)計(jì)（網(wǎng)絡(luò)釣魚），欺詐性憑證或其他模糊處理技術(shù)的攻擊可能已經(jīng)在你的網(wǎng)絡(luò)上存在。他們中的一些可以休眠很長時(shí)間因而可能難以跟蹤，如果攻擊者使用竊取的憑證活動(dòng)可能更加難以檢測。

你如何評估事件響應(yīng)或攻擊響應(yīng)技術(shù)的結(jié)果？

可評估的結(jié)果——顯示技術(shù)投資的價(jià)值——是找到適合你的正確解決方案的關(guān)鍵因素。第一步，要知道“怎樣”評估用以確定評估“什么”。這包括優(yōu)先次序的資產(chǎn)，或許專注于你的業(yè)務(wù)中最重要的或那些被審計(jì)為合規(guī)的資產(chǎn)。
同樣重要的是，要知道使用什么類型的性能指標(biāo)來評估。事件響應(yīng)、安全分析和取證技術(shù)對于安全團(tuán)隊(duì)而言通常是一個(gè)挑戰(zhàn)，因?yàn)槟銦o法評估“什么停止了”。對于最有效的性能評估，你一定要看關(guān)鍵指標(biāo)，比如：

時(shí)間

• 從事件發(fā)生到發(fā)現(xiàn)的時(shí)間
• 從發(fā)現(xiàn)到 CERT 報(bào)告的時(shí)間
• 從 CERT 報(bào)告到事件結(jié)束的時(shí)間

成本

• 工作人員的時(shí)間、喪失的生產(chǎn)力、通知、額外的軟件等等

欲了解防范高級攻擊的先進(jìn)產(chǎn)品信息，請致電：容域科技 010 6234 2972