13、网络安全威胁建模与事件响应全解析

网络安全威胁建模与事件响应全解析

1. SIEM 警报的威胁建模

在安全运营中心（SOC）工作的安全专业人员会收到各种各样的警报。像杀毒软件、防火墙、入侵检测与预防系统（IDS/IPS）、身份与访问管理（IAM）、数据丢失防护（DLP）等工具和系统都会生成警报，但这些警报不一定都有助于判断是否发生了不良事件。过度记录和启用这些警报可能会导致高误报率，使 SOC 团队分心，从而忽略环境中可能存在的真正威胁。

为了解决这个问题，可以对警报进行威胁建模，具体步骤如下：
1. 确定目标 ：明确要保护的目标，可以是数据、流程或组织中的人员，将其写在图表右侧，并预留一些空间。
2. 识别对手 ：确定感兴趣的对手，如黑客行动主义者、国家行为体、网络犯罪分子或内部威胁，将它们分别列在图表左侧的不同行中。
3. 确定初始向量 ：识别可能的初始攻击向量，并按对手列出在对手列表的右侧。例如，针对性钓鱼、内部人员使用 USB、路过式恶意软件下载等。
4. 确定横向移动点 ：思考从初始向量到目标的横向移动点，如权限提升、远程桌面协议（RDP）、安全外壳（SSH）协议或内部鱼叉式网络钓鱼等。关注从初始向量到目标的最短路径。
5. 确定后续行动 ：确定获取目标后的后续行动，将其列在目标的右侧，展示对手将如何利用对目标的访问权限，如数据篡改/盗窃、勒索软件攻击、出售访问权限或通过业务流程提交欺诈性作业等。
6. 确定可见性点 ：在攻击路径模型中确定