CN113824736A - 一种资产风险处置方法、装置、设备及存储介质 - Google Patents
一种资产风险处置方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113824736A CN113824736A CN202111381740.0A CN202111381740A CN113824736A CN 113824736 A CN113824736 A CN 113824736A CN 202111381740 A CN202111381740 A CN 202111381740A CN 113824736 A CN113824736 A CN 113824736A
- Authority
- CN
- China
- Prior art keywords
- attack
- defense
- asset
- information
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computational Linguistics (AREA)
- Animal Behavior & Ethology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种资产风险处置方法、装置、设备及存储介质,该方法包括:采集资产信息;通过应用ATTACK框架构造对应的Tatic攻击链,通过应用D3fend框架构造对应的Tatic防御链;在获取资产信息中受攻击风险资产的告警信息时,将告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;搜索Technique或subTechnique对应映射的D3fend防御Tatic,防御Tatic下的防御操作信息;根据防御操作信息进行资产风险处置的防御措施。这样通过Tatic攻击链和对应的Tatic防御链,可以对资产被攻击时或沦陷后,有效进行资产风险处置。
Description
技术领域
本发明涉及资产风险处置领域,特别是涉及一种资产风险处置方法、装置、设备及存储介质。
背景技术
随着数字化的大力推进,互联网应用早已无声无息遍布人们生活中的各个角落,与之对应的,面对网络攻击种类和数量的巨大挑战,网络安全受到各个行业的持续且高度关注。面对当前企业业务迅速增长的情况下,涉及到的是业务资产、设备资产数量的骤增,但伴随着这些,与之重视的是业务资产数量增加的资产风险问题。
目前,为了解决实时产生的资产风险,往往企业会使用众多的流量与日志设备对资产进行监控,根据对应监测出的告警问题,处理资产风险。但往往随着告警种类与流量的海量数据,导致处置资产风险过程中,出现以下问题:处置时间长、处置力度不够完整、风险资产处置方式欠缺统一和最佳的处理方式。
因此,如何通过制定一套规范化的告警与对应告警的精准化处置方式,对资产范围内的突发风险进行及时处置和精确处置,并在一定情况下加固资产,是本领域技术人员亟待解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种资产风险处置方法、装置、设备及存储介质,可以通过Tatic攻击链和对应的Tatic防御链,对资产被攻击时或沦陷后,有效进行资产风险处置。其具体方案如下:
一种资产风险处置方法,包括:
采集资产信息;
通过应用ATTACK框架,构造对应的Tatic攻击链,以及通过应用D3fend框架,构造对应的Tatic防御链;
在获取所述资产信息中受攻击风险资产的告警信息时,触发所述Tatic攻击链,将所述告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;
触发所述Tatic防御链,搜索所述Technique或subTechnique对应映射的D3fend防御Tatic,以及所述防御Tatic下的防御操作信息;
根据所述防御Tatic下的防御操作信息进行资产风险处置的防御措施。
优选地,在本发明实施例提供的上述资产风险处置方法中,还包括:
对触发的所述Tatic攻击链和所述Tatic防御链中的相应模块进行标记。
优选地,在本发明实施例提供的上述资产风险处置方法中,还包括:
收集并汇总所述资产信息、触发的所述Tatic攻击链、所述Technique或subTechnique、触发的所述Tatic防御链、所述防御措施,生成资产风险处置报告。
优选地,在本发明实施例提供的上述资产风险处置方法中,所述通过应用ATTACK框架,构造对应的Tatic攻击链,包括:
根据ATTACK框架中的不同设定战术,划分战术区域;所述战术区域包括前渗透、单点渗透、横向渗透、内部获利、获利统计、防御规避中的任意种;
根据划分的所述战术区域,生成战术区域衍生图。
优选地,在本发明实施例提供的上述资产风险处置方法中,所述将所述告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique,包括:
查询所述告警信息中告警名称以及涉及的ATTACK攻击告警方式;
根据所述告警名称以及涉及的ATTACK攻击告警方式,将所述告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique,以触发所述ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique。
优选地,在本发明实施例提供的上述资产风险处置方法中,在所述搜索所述Technique或subTechnique对应映射的D3fend防御Tatic之前,还包括:
获取主机告警-防御矩阵映射信息,并将所述主机告警-防御矩阵映射信息映射至D3fend矩阵中。
优选地,在本发明实施例提供的上述资产风险处置方法中,所述采集资产信息,包括:
根据业务划分,确定资源区域;
在所述资源区域中采集资产信息;所述资产信息包括资产使用的内部主机IPv4地址、资产使用的操作系统版本信息、资产的端口开放信息以及对应的应用服务信息、安全设备监测的检测源。
本发明实施例还提供了一种资产风险处置装置,包括:
信息采集模块,用于采集资产信息;
攻击链构造模块,用于通过应用ATTACK框架,构造对应的Tatic攻击链;
防御链构造模块,用于通过应用D3fend框架,构造对应的Tatic防御链;
信息映射模块,用于在获取所述资产信息中受攻击风险资产的告警信息时,触发所述Tatic攻击链,将所述告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;
信息搜索模块,用于触发所述Tatic防御链,搜索所述Technique或subTechnique对应映射的D3fend防御Tatic,以及所述防御Tatic下的防御操作信息;
防御操作模块,用于根据所述防御Tatic下的防御操作信息进行资产风险处置的防御措施。
本发明实施例还提供了一种资产风险处置设备,包括处理器和存储器,其中,所述处理器执行所述存储器中存储的计算机程序时实现如本发明实施例提供的上述资产风险处置方法。
本发明实施例还提供了一种计算机可读存储介质,用于存储计算机程序,其中,所述计算机程序被处理器执行时实现如本发明实施例提供的上述资产风险处置方法。
从上述技术方案可以看出,本发明所提供的一种资产风险处置方法,包括:采集资产信息;通过应用ATTACK框架,构造对应的Tatic攻击链,以及通过应用D3fend框架,构造对应的Tatic防御链;在获取资产信息中受攻击风险资产的告警信息时,触发Tatic攻击链,将告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;触发Tatic防御链,搜索Technique或subTechnique对应映射的D3fend防御Tatic,以及防御Tatic下的防御操作信息;根据防御Tatic下的防御操作信息进行资产风险处置的防御措施。
本发明提供的上述方法,通过应用ATTACK与D3fend框架,分别形成对应的Tatic攻击链和对应的Tatic防御链,结合ATTACK框架中的Technique攻击技术与D3FEND框架中的与之对应Technique攻击技术的防御技术,将Technique攻击技术所属攻击Tatic和防御Tatic以及其他信息进行搜集,这样通过Tatic攻击链和对应的Tatic防御链,可以对资产被攻击时或沦陷后,有效进行资产风险处置。
此外,本发明还针对资产风险处置方法提供了相应的装置、设备及计算机可读存储介质,进一步使得上述方法更具有实用性,该装置、设备及计算机可读存储介质具有相应的优点。
附图说明
为了更清楚地说明本发明实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的资产风险处置方法的流程图;
图2为本发明实施例提供的多点资产范围内Tatic攻击链资产的展示示意图;
图3为本发明实施例提供的Tatic攻击链对应的战术区域衍生图;
图4为本发明实施例提供的可单点/可范围内Tatic防御链资产处置的展示示意图;
图5为本发明实施例提供的资产风险处置装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种资产风险处置方法,如图1所示,包括以下步骤:
S101、采集资产信息;
在具体实施时,采集资产信息,可以包括:根据业务划分,确定资源区域;在资源区域中采集资产信息;资产信息包括资产使用的内部主机IPv4地址、资产使用的操作系统版本信息、资产的端口开放信息以及对应的应用服务信息、安全设备监测的检测源。这里的安全设备的检测源,泛指监测的原始数据,例如流量、终端安全日志等。
S102、通过应用ATTACK框架,构造对应的Tatic攻击链,以及通过应用D3fend框架,构造对应的Tatic防御链;
需要说明的是,ATTACK(Adversarial Tactics, Techniques, and CommonKnowledge)是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。D3FEND是由MITRE 公司的NSEC(National SecurityEngineering Center)进行管理发布的网络安全对抗技术的知识库,确切的说是网络安全对策知识图谱,其基于ATTACK的攻击行为知识库,衍生并映射了对应的防御技术。本发明是基于ATTACK、D3fend告警攻击链及防御链的资产风险处置方法,采用d3fend矩阵与attack矩阵,基于两者分别构建出对应的tatic攻击链和tatic防御链。
S103、在获取资产信息中受攻击风险资产的告警信息时,触发Tatic攻击链,将告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;
S104、触发Tatic防御链,搜索Technique或subTechnique对应映射的D3fend防御Tatic,以及防御Tatic下的防御操作信息;
S105、根据防御Tatic下的防御操作信息进行资产风险处置的防御措施。
在本发明实施例提供的上述资产风险处置方法中,通过应用ATTACK与D3fend框架,分别形成对应的Tatic攻击链和对应的Tatic防御链,结合ATTACK框架中的Technique攻击技术与D3FEND框架中的与之对应Technique攻击技术的防御技术,将Technique攻击技术所属攻击Tatic和防御Tatic以及其他信息进行搜集,这样通过Tatic攻击链和对应的Tatic防御链,可以对资产被攻击时或沦陷后,有效进行资产风险处置。
在具体实施时,在本发明实施例提供的上述资产风险处置方法中,步骤S102通过应用ATTACK框架,构造对应的Tatic攻击链,具体可以包括:根据ATTACK框架中的不同设定战术,划分战术区域;战术区域包括前渗透、单点渗透、横向渗透、内部获利、获利统计、防御规避中的任意种;根据划分的战术区域,生成战术区域衍生图。
具体地,首先对战术划分做了统计,见表一:
表一
然后根据ATTACK框架中的14分战术,形成攻击流程的攻击链展示图。如图2所示,将ATTACK其中的14个战术,分别划分为A、B、C、D、E、F共6个战术区域:战术区域A——前渗透;战术区域B——单点渗透;战术区域C——横向渗透;战术区域D——内部获利;战术区域E——获利统计;战术区域F——防御规避。
之后,根据图2衍生出图3的战术区域衍生图作为Tatic攻击链。
这样引用ATTACK框架中的Tatic形成一个专属ATTACK的攻击链图,如图2和图3所示,展示多点资产的受攻击ATTACK种类图,能够较好的展示收到的攻击渗透过程。
另外,图4示出了通过应用D3FEND框架构造的Tatic防御链,其中它展示了可单点/可范围内Tatic防御链资产处置的防御措施模块,包括Detect(检测)模块、Evict(排除)模块、Harden(加固)模块、Isolate(隔离)模块、Deceive(欺骗)模块;这样通过引用其中攻击技术的触发的处置方向,能够形成多方位的可供选择的风险资产处置能力。
在具体实施时,在本发明实施例提供的上述资产风险处置方法中,步骤S103将告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique,具体可以包括:查询告警信息中告警名称以及涉及的ATTACK攻击告警方式;根据告警名称以及涉及的ATTACK攻击告警方式,将告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique,以触发ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique。
下面以一个具体实例对本发明实施例提供的上述步骤S103进行举例说明:
假设有A资产10.50.1.192、B资产10.50.1.210(域控);当攻击者利用winrs -r:http://10.50.1.210:5985 -u:administrator -p:Asd123@ "net user",在A机器上执行此条命令,主要意图为从A主机横向移动到B主机上,若成功执行,则能在此条命令执行后,回显得到10.50.1.210的net user结果。
若攻击者执行此条命令(不管是否成功或者失败执行,失败执行可能存在其他因素,例如winrm服务没开启、权限不足等等),则A主机会存在如下告警:
告警名称:T1021.006-远程服务(Windows远程管理);
涉及Technique技术:T1021;
涉及subTechnique技术:T1021.006;
命令行:winrs -r:http://10.50.1.210:5985 -u:administrator -p:Asd123@ "net user";
进程:C:\Windows\System32\winrs.exe。
若攻击者执行成功(即通过命令行winrs -r:http://10.50.1.210:5985 -u:administrator -p:Asd123@ "net user",回显得到10.50.1.210的whoami结果。),则B主机会存在如下告警:
告警名称:T1087.001-账号发现;
涉及Technique技术:T1087;
涉及subTechnique技术:T1087.001;
命令行:C:\Windows\system32\cmd.exe /C "net user";
进程:C:\Windows\System32\net.exe。
A主机告警:T1021.006-远程服务(Windows远程管理);
攻击所属Tatic:TA0008-横向移动;
攻击所属Technique:T1021;
攻击所属subTechnique:T1021.006。
B主机告警:T1087.001-账号发现;
攻击所属Tatic:TA0007-发现;
攻击所属Technique:T1087;
攻击所属subTechnique:T1087.001。
在具体实施时,在本发明实施例提供的上述资产风险处置方法中,在执行步骤S104搜索Technique或subTechnique对应映射的D3fend防御Tatic之前,还可以包括:获取主机告警-防御矩阵映射信息,并将主机告警-防御矩阵映射信息映射至D3fend矩阵中。
具体地,根据映射ATTACK矩阵中的Technique或subTechnique,搜索对应映射的D3fend防御Tatic、防御Tatic下具体防御操作等信息:根据D3fend防御矩阵(https://d3fend.mitre.org/),搜索步骤S103中攻击技术所对应映射的D3fend防御Tatic、防御Tatic下具体防御操作等信息。
下面以一个具体实例对本发明实施例提供的上述步骤S104进行举例说明:
A主机告警-防御矩阵映射信息为:
https://d3fend.mitre.org/offensive-technique/attack/T1021.006;
将A主机告警-防御矩阵映射信息映射至D3fend矩阵中:
# 告警名:T1021.006-远程服务(Windows远程管理)
+ 攻击所属Tatic:TA0008-横向移动
- 攻击所属Technique:T1021
- 攻击所属subTechnique:T1021.006
- D3fend矩阵映射所属的防御Tatic
- Detect(检测)
- Network Traffic Analysis
- Remote Terminal Session Detection
- Isolate(隔离)
- Network Isolation
- Inbound Traffic Filtering。
B主机告警-防御矩阵映射信息:
https://d3fend.mitre.org/offensive-technique/attack/T1087.001;
将B主机告警-防御矩阵映射信息映射至D3fend矩阵中:
# 告警名:T1087.001-账号发现
+ 攻击所属Tatic:TA0007-发现
- 攻击所属Technique:T1087
- 攻击所属subTechnique:T1087.001
- D3fend矩阵映射所属的防御Tatic
- Detect(检测)
- Platform Monitoring
- Local Account Monitoring
- .......
- Harden(加固)
- Credential Hardening
- Strong Password Policy
- ......
- Evict(排除)
- Credential Eviction
- Account Locking
- .....
在具体实施时,上述步骤S105根据防御Tatic下的具体防御操作,进行资产风险处置的防御措施;根据步骤S104中定义结果,进行具体处置方式:
针对A主机告警-T1021.006-远程服务(Windows远程管理)-具体处置和防御措施:在 Detect(检测)方面,Network Traffic Analysis、Remote Terminal SessionDetection,防御措施为增加对资产A、B的远程会话通信的流量或日志的检测源;在Isolate(隔离)方面,Network Isolation、Inbound Traffic Filtering,防御措施为将资产A、B进行winrm服务上5985的通信会话隔离;
针对B主机告警-T1087.001-账号发现-具体处置和防御措施:在 Detect(检测)方面,Platform Monitoring、Local Account Monitoring,防御措施为增加B资产上本地用户的监控,例如远程登录等敏感操作;在Harden(加固)方面,Credential Hardening、StrongPassword Policy,防御措施为加固B资产上本地用户的密码强度;在Evict(排除)方面,Credential Eviction、Account Locking,防御措施为暂时锁定用户,并对B资产上的本地用户进行排查。
进一步地,在具体实施时,在本发明实施例提供的上述资产风险处置方法中,还可以包括:对触发的Tatic攻击链和Tatic防御链中的相应模块进行标记。
在实际应用中,将攻击告警所触发Tatic攻击链中的模块进行标记的步骤可以包括:根据步骤S103的触发的告警tatic,在图2和图3中高亮显示,视为触发相对应的Tatic告警。例如:针对A主机告警-T1021.006-远程服务(Windows远程管理),高亮图2中的横向移动模块、高亮图3中的横向移动模块;针对B主机告警-T1087.001-账号发现,高亮图2中的b2发现模块、高亮图3中的B单点渗透模块。另外,将攻击告警所触发Tatic防御链中的模块进行标记:根据步骤S104中映射的防御链在图4中高亮显示。例如:针对A主机告警-T1021.006-远程服务(Windows远程管理)-具体处置和防御措施,高亮图4中Isolate(隔离)、Detect(检测)模块。针对B主机告警-T1087.001-账号发现-具体处置和防御措施,高亮图4中Detect(检测)、Harden(加固)、Evict(排除)模块。
更进一步地,在具体实施时,在本发明实施例提供的上述资产风险处置方法中,还可以包括:收集并汇总资产信息、触发的Tatic攻击链、Technique或subTechnique、触发的Tatic防御链、防御措施,生成资产风险处置报告。
具体地,将资产信息、触发的Tatic攻击链、触发的攻击Technique或subTechnique、触发的Tatic防御链、触发的防御措施进行采集,汇总采集信息,提供资产风险处置流程报告,该报告的输出内容可以包括:资产范围(包含操作系统版本信息,所在业务组,以及安全设备监测的检测源等信息);图2的多点资产范围内的,ATTACK攻击链资产的展示细节图;图3的多点资产范围内的,ATTACK攻击链资产的大致图;图4的可单点\可范围内的,D3fend防御链资产处置的展示图;单点资产的受攻击的ATTACK告警(告警名称、攻击技术的tatic、technique、subtechnique);单点资产的受攻击触发的D3fend的处置措施(Tatic防御链、触发的防御措施);根据对应D3fend处置措施的修复情况。
需要指出的是,在现有技术都是通过人工手段对资产进行手动渗透测试,时效低,耗能大,存在对范围资产内测试种类不完全,测试手段过于单一化,且存在测试深度不够完全,无法确定资产列表内各资产面临风险不同的承受能力,而本发明是通过ATT&CK框架中总结的已知技术,提取其中的TTP(Techniques(技术),Tactic(类别),Procedures(过程)),编排出攻击链组合,创建攻击剧本,以进行自动化模拟攻击行为,对资产风险进行探测以及评估。其中首先基于Procedures过程,编排出可能的攻击链组合:具体根据ATT&CK框架中总结的已知Procedures过程,并结合攻击技术Techniques所利用工具,编排出可能的攻击链组合;然后筛选攻击链组合,创建攻击剧本:具体通过编排的攻击链组合,筛选出多种攻击链,根据攻击链所使用的工具或者命令行不同,定义不同的攻击剧本。
基于同一发明构思,本发明实施例还提供了一种资产风险处置装置,由于该装置解决问题的原理与前述一种资产风险处置方法相似,因此该装置的实施可以参见资产风险处置方法的实施,重复之处不再赘述。
在具体实施时,本发明实施例提供的资产风险处置装置,如图5所示,具体包括:
信息采集模块11,用于采集资产信息;
攻击链构造模块12,用于通过应用ATTACK框架,构造对应的Tatic攻击链;
防御链构造模块13,用于通过应用D3fend框架,构造对应的Tatic防御链;
信息映射模块14,用于在获取资产信息中受攻击风险资产的告警信息时,触发Tatic攻击链,将告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;
信息搜索模块15,用于触发Tatic防御链,搜索Technique或subTechnique对应映射的D3fend防御Tatic,以及防御Tatic下的防御操作信息;
防御操作模块16,用于根据防御Tatic下的防御操作信息进行资产风险处置的防御措施。
在本发明实施例提供的上述资产风险处置装置中,可以通过上述六个模块的相互作用,通过应用ATTACK与D3fend框架,分别形成对应的Tatic攻击链和对应的Tatic防御链,结合ATTACK框架中的Technique攻击技术与D3FEND框架中的与之对应Technique攻击技术的防御技术,将Technique攻击技术所属攻击Tatic和防御Tatic以及其他信息进行搜集,这样通过Tatic攻击链和对应的Tatic防御链,对资产被攻击时或沦陷后,能够有效进行资产风险处置。
进一步地,在具体实施时,在本发明实施例提供的上述资产风险处置装置中,还可以包括:
标记模块,用于对触发的Tatic攻击链和Tatic防御链中的相应模块进行标记。
更进一步地,在具体实施时,在本发明实施例提供的上述资产风险处置装置中,还可以包括:
报告生成模块,用于收集并汇总资产信息、触发的Tatic攻击链、Technique或subTechnique、触发的Tatic防御链、防御措施,生成资产风险处置报告。
关于上述各个模块更加具体的工作过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
相应地,本发明实施例还公开了一种资产风险处置设备,包括处理器和存储器;其中,处理器执行存储器中存储的计算机程序时实现前述实施例公开的资产风险处置方法。
关于上述方法更加具体的过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步地,本发明还公开了一种计算机可读存储介质,用于存储计算机程序;计算机程序被处理器执行时实现前述公开的资产风险处置方法。
关于上述方法更加具体的过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备、存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
综上,本发明实施例提供的一种资产风险处置方法,包括:采集资产信息;通过应用ATTACK框架,构造对应的Tatic攻击链,以及通过应用D3fend框架,构造对应的Tatic防御链;在获取资产信息中受攻击风险资产的告警信息时,触发Tatic攻击链,将告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;触发Tatic防御链,搜索Technique或subTechnique对应映射的D3fend防御Tatic,以及防御Tatic下的防御操作信息;根据防御Tatic下的防御操作信息进行资产风险处置的防御措施。上述方法通过应用ATTACK与D3fend框架,分别形成对应的Tatic攻击链和对应的Tatic防御链,结合ATTACK框架中的Technique攻击技术与D3FEND框架中的与之对应Technique攻击技术的防御技术,将Technique攻击技术所属攻击Tatic和防御Tatic以及其他信息进行搜集,这样通过Tatic攻击链和对应的Tatic防御链,可以对资产被攻击时或沦陷后,有效进行资产风险处置。此外,本发明还针对资产风险处置方法提供了相应的装置、设备及计算机可读存储介质,进一步使得上述方法更具有实用性,该装置、设备及计算机可读存储介质具有相应的优点。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的资产风险处置方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种资产风险处置方法,其特征在于,包括:
采集资产信息;
通过应用ATTACK框架,构造对应的Tatic攻击链,以及通过应用D3fend框架,构造对应的Tatic防御链;
在获取所述资产信息中受攻击风险资产的告警信息时,触发所述Tatic攻击链,将所述告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;
触发所述Tatic防御链,搜索所述Technique或subTechnique对应映射的D3fend防御Tatic,以及所述防御Tatic下的防御操作信息;
根据所述防御Tatic下的防御操作信息进行资产风险处置的防御措施。
2.根据权利要求1所述的资产风险处置方法,其特征在于,还包括:
对触发的所述Tatic攻击链和所述Tatic防御链中的相应模块进行标记。
3.根据权利要求2所述的资产风险处置方法,其特征在于,还包括:
收集并汇总所述资产信息、触发的所述Tatic攻击链、所述Technique或subTechnique、触发的所述Tatic防御链、所述防御措施,生成资产风险处置报告。
4.根据权利要求1所述的资产风险处置方法,其特征在于,所述通过应用ATTACK框架,构造对应的Tatic攻击链,包括:
根据ATTACK框架中的不同设定战术,划分战术区域;所述战术区域包括前渗透、单点渗透、横向渗透、内部获利、获利统计、防御规避中的任意种;
根据划分的所述战术区域,生成战术区域衍生图。
5.根据权利要求1所述的资产风险处置方法,其特征在于,所述将所述告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique,包括:
查询所述告警信息中告警名称以及涉及的ATTACK攻击告警方式;
根据所述告警名称以及涉及的ATTACK攻击告警方式,将所述告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique,以触发所述ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique。
6.根据权利要求1所述的资产风险处置方法,其特征在于,在所述搜索所述Technique或subTechnique对应映射的D3fend防御Tatic之前,还包括:
获取主机告警-防御矩阵映射信息,并将所述主机告警-防御矩阵映射信息映射至D3fend矩阵中。
7.根据权利要求1所述的资产风险处置方法,其特征在于,所述采集资产信息,包括:
根据业务划分,确定资源区域;
在所述资源区域中采集资产信息;所述资产信息包括资产使用的内部主机IPv4地址、资产使用的操作系统版本信息、资产的端口开放信息以及对应的应用服务信息、安全设备监测的检测源。
8.一种资产风险处置装置,其特征在于,包括:
信息采集模块,用于采集资产信息;
攻击链构造模块,用于通过应用ATTACK框架,构造对应的Tatic攻击链;
防御链构造模块,用于通过应用D3fend框架,构造对应的Tatic防御链;
信息映射模块,用于在获取所述资产信息中受攻击风险资产的告警信息时,触发所述Tatic攻击链,将所述告警信息映射至ATTACK矩阵中所属的攻击Tatic、Technique或subTechnique;
信息搜索模块,用于触发所述Tatic防御链,搜索所述Technique或subTechnique对应映射的D3fend防御Tatic,以及所述防御Tatic下的防御操作信息;
防御操作模块,用于根据所述防御Tatic下的防御操作信息进行资产风险处置的防御措施。
9.一种资产风险处置设备,其特征在于,包括处理器和存储器,其中,所述处理器执行所述存储器中存储的计算机程序时实现如权利要求1至7任一项所述的资产风险处置方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的资产风险处置方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111381740.0A CN113824736B (zh) | 2021-11-22 | 2021-11-22 | 一种资产风险处置方法、装置、设备及存储介质 |
PCT/CN2022/075617 WO2023087554A1 (zh) | 2021-11-22 | 2022-02-09 | 一种资产风险处置方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111381740.0A CN113824736B (zh) | 2021-11-22 | 2021-11-22 | 一种资产风险处置方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113824736A true CN113824736A (zh) | 2021-12-21 |
CN113824736B CN113824736B (zh) | 2022-02-25 |
Family
ID=78917897
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111381740.0A Active CN113824736B (zh) | 2021-11-22 | 2021-11-22 | 一种资产风险处置方法、装置、设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113824736B (zh) |
WO (1) | WO2023087554A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023087554A1 (zh) * | 2021-11-22 | 2023-05-25 | 杭州安恒信息技术股份有限公司 | 一种资产风险处置方法、装置、设备及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2271047A1 (en) * | 2009-06-22 | 2011-01-05 | Deutsche Telekom AG | Game theoretic recommendation system and method for security alert dissemination |
US9213540B1 (en) * | 2015-05-05 | 2015-12-15 | Archive Solutions Providers | Automated workflow management system for application and data retirement |
US20160359899A1 (en) * | 2012-02-29 | 2016-12-08 | Cytegic Ltd. | System and method for cyber attacks analysis and decision support |
CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
CN111209570A (zh) * | 2019-12-31 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 基于mitre att&ck创建安全闭环过程的方法 |
CN112351021A (zh) * | 2020-10-30 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 资产风险探测方法、装置、可读存储介质及计算机设备 |
CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
CN113536573A (zh) * | 2021-07-19 | 2021-10-22 | 中国人民解放军国防科技大学 | 网络攻防过程的仿真建模方法、装置及网络回合制兵棋 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113824736B (zh) * | 2021-11-22 | 2022-02-25 | 杭州安恒信息技术股份有限公司 | 一种资产风险处置方法、装置、设备及存储介质 |
-
2021
- 2021-11-22 CN CN202111381740.0A patent/CN113824736B/zh active Active
-
2022
- 2022-02-09 WO PCT/CN2022/075617 patent/WO2023087554A1/zh unknown
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2271047A1 (en) * | 2009-06-22 | 2011-01-05 | Deutsche Telekom AG | Game theoretic recommendation system and method for security alert dissemination |
US20160359899A1 (en) * | 2012-02-29 | 2016-12-08 | Cytegic Ltd. | System and method for cyber attacks analysis and decision support |
US9213540B1 (en) * | 2015-05-05 | 2015-12-15 | Archive Solutions Providers | Automated workflow management system for application and data retirement |
CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
CN111209570A (zh) * | 2019-12-31 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 基于mitre att&ck创建安全闭环过程的方法 |
CN112351021A (zh) * | 2020-10-30 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 资产风险探测方法、装置、可读存储介质及计算机设备 |
CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
CN113536573A (zh) * | 2021-07-19 | 2021-10-22 | 中国人民解放军国防科技大学 | 网络攻防过程的仿真建模方法、装置及网络回合制兵棋 |
Non-Patent Citations (3)
Title |
---|
JEREMY STRAUB: "Modeling Attack, Defense and Threat Trees and the Cyber Kill Chain, ATT&CK and STRIDE Frameworks as Blackboard Architecture Networks", 《2020 IEEE INTERNATIONAL CONFERENCE ON SMART CLOUD (SMARTCLOUD)》 * |
RAWAN AL-SHAER; JONATHAN M. SPRING; ELIANA CHRISTOU: "Learning the Associations of MITRE ATT & CK Adversarial Techniques", 《2020 IEEE CONFERENCE ON COMMUNICATIONS AND NETWORK SECURITY (CNS)》 * |
宋文文: "美国多措并举推动网络空间军民协同发展", 《网信军民融合》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023087554A1 (zh) * | 2021-11-22 | 2023-05-25 | 杭州安恒信息技术股份有限公司 | 一种资产风险处置方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113824736B (zh) | 2022-02-25 |
WO2023087554A1 (zh) | 2023-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104811447A (zh) | 一种基于攻击关联的安全检测方法和系统 | |
WO2011153227A2 (en) | Dynamic multidimensional schemas for event monitoring priority | |
Lutta et al. | The complexity of internet of things forensics: A state-of-the-art review | |
CN112822147B (zh) | 一种用于分析攻击链的方法、系统及设备 | |
Shah et al. | A modern approach to cyber security analysis using vulnerability assessment and penetration testing | |
CN113468542A (zh) | 一种暴露面资产风险评估方法、装置、设备及介质 | |
Colbert et al. | A process-oriented intrusion detection method for industrial control systems | |
CN113824736B (zh) | 一种资产风险处置方法、装置、设备及存储介质 | |
Miranda-Calle et al. | Exploratory data analysis for cybersecurity | |
Rose et al. | Something is better than everything: A distributed approach to audit log anomaly detection | |
Hermanowski | Open source security information management system supporting it security audit | |
CN115865494A (zh) | 一种安全测试系统及方法 | |
Chen et al. | Stakeholder value driven threat modeling for off the shelf based systems | |
Zhou | Improvement of information system audit to deal with network information security | |
CN115333806A (zh) | 渗透测试攻击路径规划方法、装置、电子设备及存储介质 | |
Alharbi | A qualitative study on security operations centers in saudi arabia: challenges and research directions | |
CN115174154A (zh) | 高级威胁事件的处理方法、装置、终端设备和存储介质 | |
Awan et al. | Continuous monitoring and assessment of cybersecurity risks in large computing infrastructures | |
CN113378159A (zh) | 一种基于集中管控的威胁情报的评估方法 | |
Kai et al. | Development of qualification of security status suitable for cloud computing system | |
Khyavi | ISMS role in the improvement of digital forensics related process in SOC's | |
Zhou et al. | A network risk assessment method based on attack-defense graph model | |
Wibowo et al. | Faux Insider Hazard Investigation on Non-Public Cloud Computing by Using ADAM’s Technique | |
Putra et al. | Measurement of Security System Performance on Websites of Personnel Information Systems in Government Using Common Vulnerability Scoring System | |
Liu et al. | SEAG: A novel dynamic security risk assessment method for industrial control systems with consideration of social engineering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |