主动防御

评估运营技术主动防御内部威胁有效性的数据分析方法

近年来，人们认识到了所谓的运营技术 (OT) 防御的必要性，当信息技术 (IT) 防御被绕过时，它可以作为额外的防线。在处理预计由国家支持并获得内部人员协助的高级持续威胁 (APT) 行为者时，这已不再是一种不常见的可能性。在这些极端对抗情况下，OT 防御旨在为系统提供另一层防御，直接在物理过程级别引入，如传感器数据、系统模型和控制操作所述。就像 IT 防御一样，出现了两种思想流派来应对这一挑战，即被动防御和主动防御。在主动防御中，代表本文的重点，将基于系统独特特性合成的已知签名插入系统中。相反，被动方法仅依赖于观察系统行为来寻找正常行为模式，而偏差则代表异常行为。在最复杂的实施中，被动防御和主动防御都依赖于数据分析的使用来识别模式并合成观察到的和/或插入的签名。过去的研究表明，APT 参与者可以依靠数据分析和对系统的深入了解来绕过被动防御，通过尊重防御者识别的模式来逃避检测。因此，本文探讨了在攻击者拥有系统特权访问权限（包括访问系统模型和传感器数据）的假设下使用主动防御的情况。具体来说，本文评估了主动防御对攻击者保持隐形的能力，并讨论了必须解决的相关挑战，以确保其对 APT 参与者的弹性。