第6步:调查攻击
时间:2022-03-27 10:48:01 | 来源:网络推广
时间:2022-03-27 10:48:01 来源:网络推广
一旦在给定的网络竞赛中红队发起了攻击,蓝队要尽可能发现红队的所作所为。在MITRE的许多网络竞赛中,蓝队中有负责创建场景的开发人员。这样做的好处是,场景开发者人员可以亲身体验他们的分析方案在现实模拟情况下表现如何,并从中汲取经验教训,推动未来的发展和完善。
在网络竞赛中,蓝队最开始有一套高度可信的过程分析方案,如果执行成功,就会了解一些初步指标红队,例如,红队时何时何地活跃起来的。这很重要,因为除了模糊的时间范围(通常是一个月左右)之外,没有向蓝队提供任何有关红队活动的信息。有时,蓝队的过程分析属于行为分析类别,而有些分析可能属于异常类别。应用这些高可信度的分析方案会促使蓝队使用先前描述的其它类型的分析(情景感知、异常情况和取证)进一步调查单个主机。当然,这个分析过程是反复迭代进行的,随着收集到新信息,在整个练习过程中,这一过程会反复进行。
最终,当确定某个事件是红队所为时,蓝队就开始形成自身的时间表。了解时间表很重要,可以帮助分析人员推断出只靠分析方案无法获得的信息。时间表上的活动差距可以确定需要进一步调查的时间窗口期。另外,通过以这种方式查看数据,即便没有关于红队活动的任何证据,蓝队成员也可以推断出在哪些位置能够发现红队的活动。例如,看到一个新的可执行文件运行,但没有证据表明它是如何放置在机器上的,这可能会提醒分析人员有可能存在红队行为,并可以提供有关红队如何完成其横向移动的详细信息。通过这些线索,还可以形成一些关于创建新分析的想法,以便用于基于ATTCK的分析开发方法的下一次迭代。
在调查红队的攻击时,蓝队会随着自身演习的进行而制定出几大类信息。这些信息是他们希望发现的信息,例如:
受到影响的主机在演习时,这通常表示为主机列表以及每个主机视为可疑主机的原因。在尝试补救措施时,这些信息至关重要。
帐户遭到入侵蓝队能够识别网络上已被入侵的帐户,这一点非常重要。如果不这样做,则红队或现实生活中的攻击者就可以从其它媒介重新获得对网络的访问权限,以前所有的补救措施也就化为泡影了。
目标蓝队还需要努力确定红队的目标以及他们是否实现了目标。这通常是最难发现的一个内容,因为这需要大量的数据来确定。
使用的TTP在演习结束时,要特别注意红队的TTP,这是确定未来工作的一种方式。红队可能已经利用了网络中需要解决的错误配置,或者红队可能发现了蓝队当前无法识别而无法进一步感知的技术。蓝队确定的TTP应该与红队所声称的TTP进行比较,识别任何防御差距。