《網絡空間欺騙：構築欺騙防禦的科學基石》一1.2 在惡意敵手模型中內建網絡空間抵賴與欺騙的關鍵因素

本文講的是<b>網絡空間欺騙：構築欺騙防禦的科學基石一1.2　在惡意敵手模型中內建網絡空間抵賴與欺騙的關鍵因素</b>,本章給出了幾個必須與其他防禦操作通信和協同的網絡空間抵賴與欺騙防禦要素的概念，進而通過引導進階攻擊者向着有利于防禦方的方向實施攻擊以保護企業網絡系統。

網絡空間威脅情報：網絡空間抵賴與欺騙防禦系統需要依托攻擊者TTP的威脅情報。防禦方必須能夠觀測、處理并利用公有或私有的威脅情報；能夠收集可觀測的系統與網絡資料；能夠對傳感器資料進行關聯以推斷攻擊者可能使用的TTP；能夠細化攻擊者使用的TTP的特點；能夠監控并追蹤攻擊者利用不同類型TTP的頻率；能夠分辨所有APT攻擊中已有或可能的攻擊TTP模式。

網絡與系統傳感器：企業網絡系統要求主機節點、伺服器、網絡傳感器，以及協同存儲和處理設施對系統行為和攻擊者TTP進行觀測和特征提取。同時，企業網絡系統也要求傳感器監測網絡空間抵賴與欺騙機制中有影響力的嘗試和針對攻擊者行為的緩解性防禦的影響效果。傳感器可使得防禦方确定緩解防禦和欺騙防禦是否奏效、何時增強到何種程度，以及何時轉換到備用防禦計劃。

入侵檢測與惡意行為分析：為了實作入侵檢測和态勢感覺，防禦方需要一個用于分析從系統和網絡傳感器收集到的資料的平台。該平台應允許資料通過關聯來檢測攻擊者的存在性和其入侵的範圍。當不能獲得足夠資料時，分析平台要允許防禦方在一定置信度的條件下對攻擊者在受保護網絡中發起攻擊的可能性進行評估，并要能夠通過進一步調查來确定假設的可信度。理想條件下，這種分析平台不能位于企業網絡系統中或者直接被企業網絡系統接入，因為這樣會導緻攻擊者能夠觀測到入侵檢測和網絡空間抵賴與欺騙防禦的能力。

緩解防禦：随着防禦方已對攻擊者TTP進行了識别，防禦方需要采用具體的緩解防禦及網絡空間抵賴與欺騙TTTP以抵禦攻擊者攻擊企業網絡系統所使用的TTP。緩解防禦和具體的網絡空間抵賴與欺騙技術應針對攻擊者使用的相應TTP進行精心設計。

紅藍攻防實驗：在某種程度上，對攻擊者的檢測、對攻擊TTP的緩解，以及網絡空間抵賴與欺騙TTTP的實施效果應可以從技術角度進行評估和度量。也就是說，攻擊者使用的一些TTP可以被防禦者通過技術手段而進行徹底抵禦或者欺騙。然而，緩解、抵賴和欺騙一些攻擊者使用的TTP取決于之前能否成功影響攻擊者的行為。為了能夠度量成功實施緩解防禦政策和網絡空間抵賴與欺騙TTTP的效果，防禦方可以通過實驗與演習（比如，紅隊模拟攻擊者行為對利用分析平台和網絡空間抵賴與欺騙技術的藍隊實施攻擊）的方法增強資訊，以驗證緩解防禦和網絡空間抵賴與欺騙的方法是否可以按照預期設定的那樣對攻擊者産生影響。

原文标題：網絡空間欺騙：構築欺騙防禦的科學基石一1.2　在惡意敵手模型中內建網絡空間抵賴與欺騙的關鍵因素