文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.003
引用格式: 何樹果,袁瑗,朱震,等. 基于ATT&CK框架的域威脅檢測[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,40(12):15-18,25.
0 引言
互聯(lián)網(wǎng)企業(yè)規(guī)模不斷擴(kuò)張,隨之而來的是計(jì)算機(jī)數(shù)量的逐年增加。微軟為管理員提供了兩種方式管理計(jì)算機(jī),即域和工作組。默認(rèn)情況下,計(jì)算機(jī)會(huì)加入工作組,但是工作組在管理上屬于分散型,很難用于集中管理,更加適用于小型網(wǎng)絡(luò)。其中,為提升大型網(wǎng)絡(luò)的管理效率以及安全性,微軟提供了域技術(shù)來管理大型網(wǎng)絡(luò)中的計(jì)算機(jī),輔助管理人員對計(jì)算機(jī)進(jìn)行集中管理[1]。在域中,使用域控制器(Domain Controller,DC)進(jìn)行管理,使用服務(wù)器為申請連接的計(jì)算機(jī)進(jìn)行驗(yàn)證,DC中存放著域賬戶、密碼以及隸屬于域的計(jì)算機(jī)信息等。如果某臺(tái)計(jì)算機(jī)想要連接這個(gè)域,域控制器會(huì)根據(jù)賬戶和密碼來判定這臺(tái)計(jì)算機(jī)是否屬于這個(gè)域,從一定程度上對網(wǎng)絡(luò)安全管理進(jìn)行了加強(qiáng)。
使用域技術(shù)進(jìn)行管理是目前很多企業(yè)、工廠都會(huì)采用的一個(gè)常見管理方法。由于DC中涵蓋了域的敏感信息,因此域管理下的網(wǎng)絡(luò)安全是需要建立在DC的安全之上的[2]。一旦域管理員的賬號和密碼泄露,黑客便可以利用盜取的高權(quán)限賬戶來操縱域環(huán)境,進(jìn)行信息盜取、投放病毒、留后門維持訪問等操作,因此域滲透已經(jīng)成為了黑客入侵企業(yè)網(wǎng)絡(luò)的主要手段之一。一旦域控服務(wù)器被黑客攻陷,可能會(huì)導(dǎo)致企業(yè)的敏感信息泄露、工作進(jìn)度癱瘓、被黑客勒索等后果,會(huì)給企業(yè)帶來非常嚴(yán)重的損失[3]。保障域安全是域管理的重要環(huán)節(jié),傳統(tǒng)的防御方式主要是從防御者的角度去提出解決方案,但往往面臨著覆蓋范圍不全面、難以檢測新的未知威脅等問題[4]。
本文詳細(xì)內(nèi)容請下載:http://www.rjjo.cn/resource/share/2000003890
作者信息:
何樹果1,袁 瑗2,朱 震1,盧圣龍1,陳嘉磊1,畢鑫泰1
(1.北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實(shí)驗(yàn)室,北京101111;
2.西南大學(xué) 計(jì)算機(jī)與信息科學(xué)學(xué)院,重慶400715)