网络杀伤链
背景:美国航空航天制造商洛克希德·马丁公司开发的一个模型
概念:网络杀伤链也称为网络攻击生命周期,用于描述有针对性的网络攻击的各个阶段。它分解了恶意软件攻击的每个阶段,防御者可以识别并进行阻止。
组成:网络杀伤链的7个步骤:侦察、武器化、交付、利用、安装、命令与控制、行动
特点:
用法:
区别:
ATT&CK模型
背景:MITRE在2013年推出了ATT&CK模型,它是根据真实的观察数据来描述和分类对抗行为。
概念:将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。
组成:ATT&CK是MITRE提供的“对抗战术、技术和常识”框架,是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。
特点:详尽
用法:用来盘点安全工具、评估企业安全能力
区别:与洛克希德-马丁公司提出的KillChain模型比较:粒度更细、更易共享
PDR模型
背景:由美国国际互联网安全系统公司(ISS)在1998年提出,最早体现主动防御思想的一种网络安全模型
概念:PDR模型包括protection(保护)、detection(检测)、response(响应)3个部分。保护就是采用一切可能的措施来保护网络、 系统以及信息的安全;检测可以了解和评估网络和系统的安全状态,为安全防护和安全响应提供依据;应急响应在安全模型中占有重要地位,是解决安全问题的最有效办法。
组成:保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。
特点:PDR模型,即引入时间参数、构成动态的具有时间特性的安全系统。用Pt表示攻击所需的时间,即从人为攻击开始到攻击成功的时间,也可是故障或非人为因素破坏从发生到造成生产影响的时间;用Dt表示检测系統安全的时间;用Rt表示对安全事件的反应时间,即从检查到漏洞或攻击触发反应程序到具体抗击措施实施的时间。
用法:由于主观不可能完全取消攻击或遭受破坏的动因,无论从理论还是实践上都不可能社绝事故或完全阻止入侵,因此只能尽量延长Pt值,为检测和反应留有足够时间,或者尽量减少Dt和Rt值,以应对可能宿短的攻击时间。根据木桶原理,攻击会在最薄弱的环节突破,因此进一步要求系统内任一具体的安全需求应满足:Pti>Dt+Rti。这一要求非常高,实现的代价也非常高昂,因此对某些漏洞或攻击可以放宽尺度。设Pti<Dt+Rti,则Eti=Dti+Rti-Pti。其中,Et>0,称为暴露时间,应使其尽量小。
区别:最早体现主动防御思想
自适应安全框架(ASA)
背景:Gartner于2014年提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。
概念:自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。
组成:预测、防御、检测、响应
特点:细粒度、多角度、持续化
用法:
区别:增加了安全威胁“预测”的环节、从事件响应升级到安全防御响应、持续地进行基于异常的深度检测、强调协调一致的动态安全防御体系
