本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:数字化转型和云形态日新月异的变化,给网络安全领域带来了各种各样的新式挑战,有效的保证网络空间安全,开展攻击溯源及反制,已经成为新形势下网络安全行业所面临的新任务。网络安全防护人员如何在当今攻守不对称的情况下做好入侵检测与防御,已经成为每个组织需要重点解决的问题。分析了当前入侵检测与防御体系存在的问题,结合 ATT&CK 框架,讨论了如何构建入侵检测与防御体系,才能更好地应对攻击行为。
关键词:ATT&CK;网络空间安全;入侵检测;入侵防御
doi:10.12045/j.issn.1007-3043.2022.09.016
前言
当今时代,随着数字化转型的推进和云计算技术的普遍应用,进入了开源和云原生时代。在这个时代背景下,开源组件和云原生技术得到广泛应用,并且已成为软件应用系统快速开发、发布部署和持续运营的必要条件。据中国信息通信技术研究院统计,软件应用中开源代码占软件代码的比例从2015年的36%增长到2019年的70%,近2年又增长到80%~90%,而容器、Docker和Kubernetes等技术的应用改变了传统软件交付的方式,Docker和Kubernetes则进一步成为了新型的基础设施。新技术的普遍应用和相应防御措施建设的滞后,使企业面临着更多的新型攻击,攻击者不断地利用开源组件漏洞、镜像漏洞、微服务漏洞、容器漏洞发起更多的攻击。
因此,在这个时代背景下,网络空间防守方既要面对传统的安全攻击行为,又要面对新兴的软件供应链攻击、APT攻击、开源组件攻击以及基于云原生技术发起的攻击。在这种攻守不对称的情况下,如何做到对入侵行为的有效检测与防御,构建更加有效的安全体系,是保护组织机构安全进而保护国家安全的迫切需求。