威胁追踪 —— 数据驱动安全@2017

威胁追踪强调的关键是要建立威胁追踪的能力,尽可能早地早在杀伤链中发现威胁信息,分析并采取准确行动,并建立可重复利用的经验,周而复始的迭代追踪。

TH有两个成熟度模型,杀伤链(the Cyber Kill Chain)入侵分析钻石模型(the Diamond Model of Intrusion Analysis)。不管组织的安全成熟程度,组织只要执行安全行动就已经在追踪。但成熟的组织机构中,通过系统建设和投资,威胁追踪成为一种持续性活动,通过团队的努力,将为组织创造更大的价值。

以下幻灯片出自威胁猎杀与主动取证 Threat Hunting and Proactive Forensics

术语对照表

简体中文 英语
威胁追踪 Threat Hunting
(网络)公害 nuisance
(出于政治目的)骇客行动主义 hacktivism
内鬼 insiders
网络犯罪 Cyber Crime
国家资助/高级持续威胁 State Sponsored / APT
横向渗透 Move Laterally
留存后门 Maintian Presence
战术/工具、技术和过程 TTP: Tactics, Techniques and Procedures / Tools, Techniques and Procedures
发现入侵时间差 dwell time
(数字)取证与(事件)响应 DFIR, Digital Forensics and Incident Response
入侵指标 IoC, Indicator of Compromise
对手/敌手 adversary
遏制 containment
分类 triage

主要参考文献

© @黄玮 all right reserved,powered by Gitbook该文件修订时间: 2023-10-11 03:07:46

results matching ""

    No results matching ""