企業有效運維離不開威脅模式驗證

更多全球網路安全資訊盡在E安全官網www.easyaq.com

在探尋威脅模式的生命之旅中，人們正處於測試階段。從分析需求、資產和威脅，到設計通用的可重用威脅模式，並在安全監控平台實現這種模式，人難免會犯錯。

19世紀英國著名藝術家約翰-羅斯金（John Ruskin）曾說， 「品質從來靠的就不是偶然機遇，唯有勤奮才能打造卓越品質」（Quality is never an accident，it is always the result of intelligent effort）。

因此，結構良好的精確測試過程對驗證模式是否正確實現並確保有效解決攻擊場景至關重要。

即使處於測試階段，軟體開發生命周期（Software Development Life Cycle，SDLC）的典型流程也能引領正確的方向。

以上這種驗證攻擊模式一旦實現，通常用於軟體測試的黑盒測試及白盒測試兩種互補的方法將如何應用到新實現的威脅模型之中？

白盒測試旨在驗證威脅模式的邏輯，並確保實現（Implementation）與要求相符。如果正確進入設計階段，構成該模式的不同組件應已被明確定義和記錄。無論處於哪個階段，都需要準備具體的輸入和預期輸出列表，以觸發實現的各個部分。與任何軟體一樣，測試進度可以通過測試覆蓋的代碼百分比來量化，但這個過程可能會比較耗時。

在安全運維中心（SOC），時間就是寶貴的資源，因此自動化是關鍵。所幸的是，在這個階段，我們應該能擁有大量的歷史數據，因為信息已經開始流入系統。因此，選擇精確的樣本至關重要，因為必須要具有良好的水平覆蓋範圍（例如測試組件的數量）和垂直覆蓋範圍（例如輸入的種類）。可以藉助測試組件映射每個選定的樣本使邏輯驗證和威脅模式邏輯有效。此外，為了確保輸出仍與要求一致，變化之後，可以將相同的樣本重新注入平台。

相反，黑盒測試檢驗的是威脅模式的功能，而無需仔細檢查邏輯。

在這個階段，建議從攻擊場景（最初在分析階段詳細闡述的）開始，並確定攻擊者可能會利用的方法。許多組織機構發現建立或參與到「紅隊」中（扮演攻擊者的角色）是有益的，藍隊通過確保實現的威脅模式防禦，並按預期行事。演習最後，兩隊會面審查結果，並羅列所有當前未被實現和需進一步審查的威脅模式而檢測的所有情形。

留下的疑問就是，如何根據測試結果衡量模式的有效性。最簡單的方式是評估誤報和漏報率。這兩個參數便於理解威脅模式基於漏報率的有效性，以及該模式能根據誤報率產生的潛在「雜訊」。

每個安全運維中心目前為止應該學到了一個非常重要的教訓：最危險的敵人可能不是隱蔽的攻擊者，而是誤報量淹沒了分析師，阻止其響應事關重大的安全問題。在保護組織機構之前必須減少信噪比。

此流程結束時，企業必須著手從根本上分析識別到的每個問題，但要注意簡單對實現進行更改，要是最終迷途未返，那就太可惜了。

接觸代碼之前，企業應從需求分析結果入手思考：是否完全錯過了攻擊場景？是不是存在沒有考慮到的數據源？是不是實現過程出了差錯？藉助簡單的清單進入該階段能夠減少或者杜絕對其它威脅模式造成負面影響。

但需要注意的是，要意識到所做的工作可能會在短時間內過時，也就是說，可能會出現新的測試威脅模式和攻擊場景，當然，企業對策也在不斷變化。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com