攻防演练 | 关于蓝队攻击研判的3大要点解读
攻防演练 | 关于蓝队攻击研判的3大要点解读
- 攻击研判的定义及重要性
- 攻击研判中的团队角色分类
在对检测到的事件进行处置之前,有一个对事件从识别到评估的过程。这个过程被称为“攻击研判”,攻击研判相当于整个事件响应流程的“军师”,承担分析判断安全事件和决定处置方式的任务。为了帮助企业组织在攻防演练中更好地理解、部署、实施安全事件响应,本文重点以攻击研判为主题,从团队角色分类、具体实施步骤和创新服务模式3个方面对其进行详细解读。
攻击研判的定义及重要性
网络安全中的攻击研判,可以理解为人工层面对攻击事件进行再分析的行为。安全人员针对安全系统或工具发出的告警,通过结合已有的经验和相关工具,来判断其是否为真实存在的攻击,并根据判断结果做出响应的响应、给出处置建议。
一般来说,对攻击事件的分析研判通常从以下4个维度进行:
- 对已发现攻击的来源进行研判;
- 综合分析攻击技术、工具和路径,判断其威胁性大小;
- 攻击意图研判;
- 处置方式判断。
攻击研判,可以看作安全防护流程最为关键的一环。它上承安全告警的分析,下接安全处置的实施,是安全防护过程中技术含量最高的一步。
一个企业组织,拥有攻击研判能力是至关重要的。这样在发生告警的时候,它可以做出正确的判断,进而实施有效的措施,使情况恢复控制。攻击研判,同时也是事件响应过程中最具挑战性的