安全专业人员必须继续问自己,他们做得足够了吗?他们是否在继续发展他们的知识和防御能力?他们成功地领先于网络罪犯了吗?即使答案是肯定的,他们怎么知道明天他们还会继续领先呢?建立了系统,建立了安全协议,但在许多情况下,开发停止了,新的防御措施没有实施以减轻新的威胁。随着网络犯罪分子的攻击能力和攻击数量的增加,曾经安全的东西可能很快就无法抵御新的威胁和漏洞。
为了防止攻击,组织可以保持良好的补丁管理周期和更新的规则集。有些人甚至可能进一步采用威胁情报反馈,尽管有人认为这可能会适得其反。当威胁情报被正确使用时,它可以提供可能威胁的早期预警,从而有足够的时间相应地调整防御。
防御团队的任务是在SOC内进行监视,保护业务,并赢得与敌人的每一次交战。另一方面,威胁行为者或渗透测试者只需要成功一次就能获胜。网络安全社区的一个普遍心态是,关注保护组织免受网络攻击的难度。但这是双向的,因为调查人员只需要找出网络罪犯的一个失误。
寻找和识别威胁行为者提供了一个了解敌人和学习更好的防御方法的机会。网络安全专业人员可能没有执法部门的管辖权,而且大多数人肯定没有黑客反击的合法权利。但他们可以在威胁行为人预想到他们的新工具、技术或程序(TTP)之前,就知道需要什么新的控制措施。
这本电子书涉及的主题包括: