对手可以执行主动侦察扫描来收集信息,以便在锁定目标时使用。与其他不涉及直接交互的侦察形式不同,主动扫描是指对手通过网络流量探测受害者的基础设施。
01 定义与手法
对手可以执行主动侦察扫描来收集信息,以便在锁定目标时使用。与其他不涉及直接交互的侦察形式不同,主动扫描是指对手通过网络流量探测受害者的基础设施。
对手可能会根据他们想要收集的信息而执行不同形式的主动扫描。这些扫描可以以各种方式执行,包括使用诸如ICMP等网络协议的本机特性。从这些扫描中获得的信息可能会揭示对手所使用的其他形式的侦察(例如:搜索开放网站/域名或搜索开放技术数据库)、建立操作资源(如:开发能力或获得能力)和/或初始访问(如:外部远程服务或利用面向公众的应用程序)的机会。
02 缓解措施
|
名称 |
描述 |
|
被攻破前 |
|
03 检测方法
|
ID |
数据来源 |
数据组件 |
检测方式 |
|
DS0029 |
网络 流量 |
网络流 量内容 |
监控和分析与不遵循预期协议标准和流量相关的协议的流量模式查(例如,不属于已建立流的外部数据包、不合理的或异常的流量模式、异常语法或结构)。 考虑与进程监控和命令行的相关性,以检测异常进程的执行,以及与流量模式相关的命令行参数(例如,监控异常使用的文件通常不启动各自协议的连接)。 |
|
DS0029 |
网络 流量 |
网络数 据流 |
监控网络数据,防止不常见的数据流。使用非正常网络通信或从未见过的网络进程通常都是有可疑的。 |
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
往期推荐
|
|||
|
|||
|
关于我们
云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
每个企业都需要安全运营
云纷科技
Comments are closed