D5安全防御模型包括哪些方面
D5安全防御模型包括以下这些方面:
阻断:阻断攻击者的想法很直接简单,以至于大多数企业都不认为这是一种主动防御。如果按照我们传统的破坏攻击者节奏的定义,这就是一个很好的例子。阻断措施可以很简单,例如实施防火墙规则阻止攻击者的C2服务器IP地址,或者禁用被盗的电子邮件账户。阻断的关键是先发制人地清除恶意攻击者的资源。
干扰:如果说阻断措施第一时间清除了攻击者的资源,干扰措施则是将攻击者与资源隔离。在大多数情况下,干扰需要主动观察攻击者,知道攻击者何时处于活动状态,以便实时干扰攻击。举几个例子,比如切断一个正在使用的C2通道,或者干扰黑客对大文件的传输。
降级:干扰和降级对于网络安全防御团队来说是一个有趣而又危险的机会。虽然阻断行动可能会被误解为正常的被动防御行为,但是干扰和降级显然是积极的。与干扰和阻断对手类似,降级措施聚焦于减少攻击者正在积极使用的边缘资源。一个容易理解的例子就是在出口限制攻击者的传输带宽,导致大文件的上传变得极其缓慢。这种降级措施尝试缓解攻击者的攻击,并驱使他们尝试以不同的方式访问数据,并暴露他们额外的基础设施、工具或TTP。
欺骗:采用最先进的技术,欺骗措施是基于有意识地为攻击者提供虚假信息的反情报概念,并希望他们将其视为真相,并据此做出决定。这包括将错误的文档和不正确的值植入到蜜罐系统甚至网络中。欺骗行动需要深入了解攻击者的目标、方法、心理以及自己的资源。制作攻击者愿意接受的欺骗材料是非常困难的,因为熟练的攻击者将试图利用其他来源来佐证他们找到的任何材料。
破坏:破坏行为会对攻击者的工具、基础设施甚至攻击执行者造成物理或虚拟的伤害。在大多数情况下,这是执法人员、情报人员或军事执法人员(称为Title 10和Title 50机构)的职权范围。这些人员有合法权力可以进行此类行为,对于商业公司或私人企业来说,这样做不仅会被认为是非法的,而且是危险的。他们不太可能拥有有效的计算机网络攻击工具、方法和执行人员,并且可能会有意想不到的后果。这些资源最好是用于改善防御行动。