信息及其相关技术是个人、组织甚至整个国家需要保护的重要资产。我们对信息技术的依赖与日俱增,因此其安全是我们福祉的关键问题。信息技术带来的好处毋庸置疑,但其使用也带来了风险,由于我们对技术的依赖性与日俱增,我们必须降低这些风险。高级威胁行为者主要分为以经济为目的的犯罪团伙和以在商业或军事等战略事务中取得优势为目的的国家。这些行为者利用技术,特别是网络空间来实现其目标。
本文对高级威胁行动者的分类及其敌对活动的检测做出了重大贡献。分析这些行为者的特征不仅是更好地了解这些行为者及其行动的必要条件,也是便于部署反制措施以提高我们的安全的必要条件。发现这些行动是消除其影响的第一步,因此必须将其影响降至最低。
在特征描述方面,这项工作深入分析了高级威胁行动者的战术和技术。要准确检测网络空间中的敌对活动,总是需要进行这种分析,但对于从犯罪团伙到民族国家的高级威胁行为者而言,这种分析是强制性的:他们的活动是隐秘的,因为在大多数情况下,他们的成功依赖于不被目标检测到。
在检测方面,这项工作确定并论证了建立精确响应能力以应对高级威胁行动者的关键要求。此外,这项工作还定义了部署在安全运营中心的战术,以优化其检测和响应能力。需要强调的是,这些战术采用了 “杀伤链”(kill-chain)安排,不仅可以实现这种优化,还能特别实现所有防御中心通用的同质化和结构化方法。
对威胁行动者战术和技术的分析与这一分析的主要公共框架 MITRE ATT&CK 保持一致。本研究的成果和建议可直接纳入该框架,从而改进威胁行动者的特征描述及其网络空间活动。此外,改进这些活动检测的建议可直接应用于当前的安全运营中心和常见的行业技术。因此,这项工作极大地改进了当前的分析和检测能力,同时也改进了敌对行动的消除。这些能力增强了所有组织的全球安全,当然也增强了我们整个社会的安全。
原文
相关内容
微信扫码咨询专知VIP会员