第6步：調查攻擊

時間：2022-03-27 10:48:01 | 來源：網(wǎng)絡推廣

時間：2022-03-27 10:48:01 來源：網(wǎng)絡推廣

一旦在給定的網(wǎng)絡競賽中紅隊發(fā)起了攻擊，藍隊要盡可能發(fā)現(xiàn)紅隊的所作所為。在MITRE的許多網(wǎng)絡競賽中，藍隊中有負責創(chuàng)建場景的開發(fā)人員。這樣做的好處是，場景開發(fā)者人員可以親身體驗他們的分析方案在現(xiàn)實模擬情況下表現(xiàn)如何，并從中汲取經(jīng)驗教訓，推動未來的發(fā)展和完善。

在網(wǎng)絡競賽中，藍隊最開始有一套高度可信的過程分析方案，如果執(zhí)行成功，就會了解一些初步指標紅隊，例如，紅隊時何時何地活躍起來的。這很重要，因為除了模糊的時間范圍(通常是一個月左右)之外，沒有向藍隊提供任何有關紅隊活動的信息。有時，藍隊的過程分析屬于行為分析類別，而有些分析可能屬于異常類別。應用這些高可信度的分析方案會促使藍隊使用先前描述的其它類型的分析(情景感知、異常情況和取證)進一步調查單個主機。當然，這個分析過程是反復迭代進行的，隨著收集到新信息，在整個練習過程中，這一過程會反復進行。

最終，當確定某個事件是紅隊所為時，藍隊就開始形成自身的時間表。了解時間表很重要，可以幫助分析人員推斷出只靠分析方案無法獲得的信息。時間表上的活動差距可以確定需要進一步調查的時間窗口期。另外，通過以這種方式查看數(shù)據(jù)，即便沒有關于紅隊活動的任何證據(jù)，藍隊成員也可以推斷出在哪些位置能夠發(fā)現(xiàn)紅隊的活動。例如，看到一個新的可執(zhí)行文件運行，但沒有證據(jù)表明它是如何放置在機器上的，這可能會提醒分析人員有可能存在紅隊行為，并可以提供有關紅隊如何完成其橫向移動的詳細信息。通過這些線索，還可以形成一些關于創(chuàng)建新分析的想法，以便用于基于ATTCK的分析開發(fā)方法的下一次迭代。

在調查紅隊的攻擊時，藍隊會隨著自身演習的進行而制定出幾大類信息。這些信息是他們希望發(fā)現(xiàn)的信息，例如：

受到影響的主機在演習時，這通常表示為主機列表以及每個主機視為可疑主機的原因。在嘗試補救措施時，這些信息至關重要。

帳戶遭到入侵藍隊能夠識別網(wǎng)絡上已被入侵的帳戶，這一點非常重要。如果不這樣做，則紅隊或現(xiàn)實生活中的攻擊者就可以從其它媒介重新獲得對網(wǎng)絡的訪問權限，以前所有的補救措施也就化為泡影了。

目標藍隊還需要努力確定紅隊的目標以及他們是否實現(xiàn)了目標。這通常是最難發(fā)現(xiàn)的一個內容，因為這需要大量的數(shù)據(jù)來確定。

使用的TTP在演習結束時，要特別注意紅隊的TTP，這是確定未來工作的一種方式。紅隊可能已經(jīng)利用了網(wǎng)絡中需要解決的錯誤配置，或者紅隊可能發(fā)現(xiàn)了藍隊當前無法識別而無法進一步感知的技術。藍隊確定的TTP應該與紅隊所聲稱的TTP進行比較，識別任何防御差距。