入侵分析与痛苦金字塔

写在前面笔者曾在《威胁情报专栏 | 特别策划 - 网空杀伤链》一文中提到：“网络安全攻防的本质是人与人之间的对抗或每一次入侵背后都有一个实体（人或组织）”。这不是一个新的观点。为什么要强调这个观点？高质量的APT报告通常具备3+1个要素：威胁情报分析、“作案现场”取证和样本分析+Cui bono。每一次入侵背后都有一个实体，通过现场取证分析，可提取用于跟踪入侵者的“指纹”。毫无疑问，理解“网络安全攻防的本质是人与人之间的对抗”这一观点，无论是在纵深防御体系设计、APT分析以及入侵响应等方面都能为我们开展工作提供清晰的思路。痛苦金字塔（the Pyramid of Pain）、网络杀伤链（Cyber Kill Chain）、钻石模型（the Diamond Model of Intrusion Analysis）和ATT&CK，是网络安全领域（入侵分析和威胁情报方向上）短短50～60年历史上最知名的入 ………………………………