ca88登陆平台

红蓝双方近距离“肉搏”,, ,, ,,, ,实战攻防到底鹿死谁手 ????? ??

功夫:2022-08-01 作者:ca88登陆平台

分享到:

红蓝双方近距离“肉搏”,,,,,,,,实战攻防到底鹿死谁手???????

    ‍

    在通过垂钓邮件等一系列手法占据一台推算机之后,, ,, ,,, ,攻击队入侵的脚步会进一步加快,, ,, ,,, ,蕴含网络域内信息,, ,, ,,, ,探查可能保留机密文件和敏感信息的主机地位,, ,, ,,, ,确定横向移动的指标,, ,, ,,, ,好比存储了所有推算机用户的账户密码信息的域节造主机 。。。。。。。

红蓝双方近距离“肉搏”,,,,,,,,实战攻防到底鹿死谁手???????

    此时,, ,, ,,, ,攻击者会通过C2(Command&Control,, ,, ,,, ,号令与节造)服务器,, ,, ,,, ,与在指标系统内植入的恶意软件频仍产生通讯,, ,, ,,, ,并源源不休发送的攻击号令 。。。。。。。

    由于攻防的主战场重要集中在内网,, ,, ,,, ,因而红蓝双方往往要发展近距离“肉搏”,, ,, ,,, ,发展“节造权”的抢夺战,, ,, ,,, ,其强烈水平要远超其他阶段 。。。。。。。

    1 误报、误报还是误报

    曾几何时,, ,, ,,, ,内网的安全防护还不够器沉,, ,, ,,, ,一封垂钓邮件穿透内网之后,, ,, ,,, ,攻击者就能够在内网中如入无人之境,, ,, ,,, ,想入侵哪台服务器就入侵哪台 。。。。。。。

    2010年发作的“震网事务”批注,, ,, ,,, ,就是物理断网也不是绝对安全 。。。。。。。

    所以在RSAC2016上,, ,, ,,, ,时任大会主席阿米特·约伦(AmitYoran)在“沉睡者醒来”的主题演讲中指出,, ,, ,,, ,安全防御是个失败的战术,, ,, ,,, ,将来业界应该增长在安全检测技术上的投资 。。。。。。。

    这句话虽有失偏颇,, ,, ,,, ,但很大水平上强调了持续检测的沉要性 。。。。。。。

    在接下来的几年里,, ,, ,,, ,以全流量分析为代表的检测技术获得了长足的进取,, ,, ,,, ,并迅速成为防守方的实战利器 。。。。。。。

    可即便如此,, ,, ,,, ,别以为防守队就稳了,, ,, ,,, ,他们面对的麻烦一点都不比攻击队少 。。。。。。。在引入全新的安全设备之后,, ,, ,,, ,告警的数量能够说呈几何倍数增长 。。。。。。。

    问题的关键是,, ,, ,,, ,这些告警从来都不是百分之百有效 。。。。。。。

    多所周知,, ,, ,,, ,检测设备发现攻击行为,, ,, ,,, ,必要依附预先设置的规定,, ,, ,,, ,但任何一条文则都很难做到优美绝伦,, ,, ,,, ,正确描述对应的攻击行为 。。。。。。。

    首先,, ,, ,,, ,基于有关性的规定通常无法描述足够数量的特点,, ,, ,,, ,而这些特点正决定检测正确率的主题身分 。。。。。。。

    其次,, ,, ,,, ,基于行为的规定重要关注异常,, ,, ,,, ,但对于任何一家企衣反说,, ,, ,,, ,存在异常行为是再正常不外的事,, ,, ,,, ,所以查究每一个异常唬;;;;;崂朔汛罅康墓Ψ蚝途 。。。。。。。

    误报就是这么产生的 。。。。。。。

    举个例子 。。。。。。。员工在登录办公系统时,, ,, ,,, ,将账号密码陆续输错好几次是一件再正常不外的事件,, ,, ,,, ,但这个行为在检测设备那里就有可能被判定为异常,, ,, ,,, ,由于暴力破解攻击也会陆续将密码陆续输错 。。。。。。。

    不言而喻,, ,, ,,, ,若是误报的事件不能得到很好的解决,, ,, ,,, ,防守队将被覆没在无终点的告警中无法自拔,, ,, ,,, ,从而忽略了真正的威胁 。。。。。。。在告警数量剧增的攻防演习期间,, ,, ,,, ,这正是攻击队想要看到的 。。。。。。。

    即便机械进建/人为智能技术的利用,, ,, ,,, ,已经让这一情况有所改善 。。。。。。。

    天眼正是在这样的环境中,, ,, ,,, ,实现了从能用到好用、易用的自我进化 。。。。。。。

    作为因首发海莲花APT组织而走红的明星产品,, ,, ,,, ,ca88登陆平台天眼选取了入侵检测双向匹配技术,, ,, ,,, ,基于自主研发的QNA大数据人为智能威胁检测引擎,, ,, ,,, ,利用本地大数据平台对流量日志和终端日志进行存储和查问,, ,, ,,, ,结合威胁谍报和攻击链分析对事务进行分析、研判和回溯,, ,, ,,, ,实现威胁的全面发现、攻击了局的精准判定,, ,, ,,, ,大大降低误报率和漏报率 。。。。。。。

    在此基础上,, ,, ,,, ,天眼还专门为实战攻防演习筹备了三个绝招,, ,, ,,, ,助力防守客户少丢分、快提效、稳上分 。。。。。。。

    第一招是智能辅助研判,, ,, ,,, ,工程师“一键”就可能清澈查看产生同类告警的根基信息、判断前提、潜在威胁、措置建议等,, ,, ,,, ,无需分析人员参加,, ,, ,,, ,分析迅速、时效性高 。。。。。。。

    第二招是攻击源IP预警,, ,, ,,, ,只有有一个分支机构发现攻击行为,, ,, ,,, ,天眼便将攻击者IP进行全网通缉,, ,, ,,, ,迅速传递至各有关单元,, ,, ,,, ,并为风险水平定级;;;;;;;下次只有该攻击者再次出现,, ,, ,,, ,便会提醒客户提高警惕,, ,, ,,, ,同时客户还能够参照威胁的关注热度(风险定级水平),, ,, ,,, ,选择持续关注或者联动措置 。。。。。。。

    第三招是旁路阻断,, ,, ,,, ,可能在发现攻击行为后,, ,, ,,, ,第一功夫将攻击源IP进行阻断,, ,, ,,, ,将过后阻断造成事中阻断,, ,, ,,, ,提前防御攻击队;;;;;;;共同天眼智能辅助研庞注攻击源IP预警服务使用,, ,, ,,, ,大幅提升措置效能 。。。。。。。

    2 反向垂钓,, ,, ,,, ,最为致命

    现如今,, ,, ,,, ,天眼等全流量检测产品,, ,, ,,, ,已经成为了防守方的标配 。。。。。。。

    但有些走在时尚前沿的防守人员并不满足于此:凭什么我就得明牌通知攻击队,, ,, ,,, ,我就在这儿等着他 。。。。。。。

    孙子曰“兵者,, ,, ,,, ,诡路也 。。。。。。。”实则虚之,, ,, ,,, ,虚则实之,, ,, ,,, ,谁说只有攻击队能力用钓饵搞垂钓那一套 ????? ??

    因而乎,, ,, ,,, ,以蜜罐为代表的糊弄防御类产品,, ,, ,,, ,成为了实战攻防演习备受追捧的对象 。。。。。。。

    蜜罐这个词,, ,, ,,, ,最早是被猎人使用的,, ,, ,,, ,猎人把罐子装上蜂蜜放在陷阱里,, ,, ,,, ,专门用来捉拿喜欢甜食的熊 。。。。。。。说白了就是为攻击者安插的虚伪指标 。。。。。。。

    蜜罐的重要主张有两个,, ,, ,,, ,第一是迟滞攻击者的入侵脚步,, ,, ,,, ,使其在虚伪的指标中兜圈子;;;;;;;第二是捕获攻击行为的特点、样本等,, ,, ,,, ,为后续检测提供证据 。。。。。。。最沉要的是,, ,, ,,, ,蜜罐理论上是不会产生误报的,, ,, ,,, ,凡是踩中陷阱的行为都能够以为是入侵 。。。。。。。

    听起来很美好,, ,, ,,, ,有路是“顶级的猎人往往都是以猎物的姿势出现的”,, ,, ,,, ,但精明的攻击队却给了某些梦想主义者当头好几棒 。。。。。。。

    首先是蜜罐的仿真水平不够 。。。。。。。仿真是蜜罐的基 。。。。。。。 ,, ,,, ,没有这个基 。。。。。。。 ,, ,,, ,做的陷阱一眼看从前就是假的,, ,, ,,, ,天然没有攻击者会受骗 。。。。。。。

    其次,, ,, ,,, ,陷阱做的足够真,, ,, ,,, ,但脱离了业务环境 。。。。。。。在攻击者的眼中,, ,, ,,, ,你的蜜罐和业务系统之间是孤立的,, ,, ,,, ,在我来之前接见量都没几个,, ,, ,,, ,一看就是给我下的套,, ,, ,,, ,最多也就骗骗刚入行的幼白,, ,, ,,, ,这就像戈壁中的子虚乌有,, ,, ,,, ,稍有经验的观光者都很难受骗 。。。。。。。

    第三,, ,, ,,, ,蜜罐被攻击者作为入侵真实指标的跳板 。。。。。。。攻击者在踩中蜜罐以来,, ,, ,,, ,很有可能利用蜜罐中有意设置的缝隙,, ,, ,,, ,横向渗入进真实的业务系统中 。。。。。。。

    为相识决上述三个问题,, ,, ,,, ,ca88登陆平台推出了攻击诱捕系统 。。。。。。。

    该系统急剧构建出切合真实业务环境的“幻象”,, ,, ,,, ,具备极强的仿真能力和糊弄性,, ,, ,,, ,借助天眼的全流量分析能力,, ,, ,,, ,可将攻击流量自动牵引至蜜罐中并隔离起来,, ,, ,,, ,使攻击者相信已初步获得部门指标的节造权,, ,, ,,, ,并且不能横向渗入进正常系统中 。。。。。。。

    同时,, ,, ,,, ,系统还可能将各类“仿真钓饵”急剧下发到网络的各个区域,, ,, ,,, ,尽可能多的覆盖攻击链的沉点环节,, ,, ,,, ,对攻击行为进行无死角诱捕 。。。。。。。

    针对实战攻防演习,, ,, ,,, ,ca88登陆平台还出格推出了天眼MDR糊弄诱捕服务,, ,, ,,, ,将攻击诱捕系统与远程安全托管服务相结合,, ,, ,,, ,通过云端SaaS化服务,, ,, ,,, ,为客户提供表网资产糊弄、横向移动监测、溯源反造三种服务 。。。。。。。其中:

    ①表网资产糊弄服务,, ,, ,,, ,通过模拟客户真实资产蛊惑攻击队,, ,, ,,, ,提前网络信息;;;;;;;

    ②横向移动监测服务,, ,, ,,, ,捕获攻击者横向移动痕迹,, ,, ,,, ,对内网失陷实时预警;;;;;;;

    ③溯源反造服务,, ,, ,,, ,以高仿真环境,, ,, ,,, ,引诱攻击者自投罗网,, ,, ,,, ,并对攻击者进行追踪溯源,, ,, ,,, ,增长在攻防演习中加分的可能性 。。。。。。。

    3  井蛙之见,, ,, ,,, ,略见一斑

    还有一样威胁检测的王牌产品不得不提 。。。。。。。

    就在RSAC沉提检测战术的统一年(2016年),, ,, ,,, ,Gartner在其SIEM魔力象限汇报中直言,, ,, ,,, ,攻击检测与响应成为了驱动SIEM市场蓬勃发展的主导驱动力 。。。。。。。

    SIEM中文全称是安全信息和事务治理,, ,, ,,, ,顾名思义,, ,, ,,, ,它的重要工作就是从海量的安全事务和日志中寻找出潜在的网络攻击 。。。。。。。

    不外,, ,, ,,, ,安全事务通常极度复杂 。。。。。。。

    尤其是在天堑防御愈加严格的今天,, ,, ,,, ,想要在功夫相对严重的攻防演习期间成功篡夺关键节点,, ,, ,,, ,某些机巧高明的攻击行为入侵节点会覆盖极度广 。。。。。。。若是只对某一个点日志进行分析,, ,, ,,, ,很难描述明显一次攻击行为到底是怎么的 。。。。。。。

    好比安全设备在网络中发现了以下三个事务:

    第一,, ,, ,,, ,某台工作电脑发现被植入了远程节造木马;;;;;;;第二,, ,, ,,, ,官方网站后盾数据库发现了未经授权的接见行为;;;;;;;第三,, ,, ,,, ,工作功夫某服务器接见量异常 。。。。。。。

    这三个场景可能独立产生,, ,, ,,, ,也可能会同时产生,, ,, ,,, ,他们之间到底有没有关联呢 ????? ??

    要想回覆这个问题,, ,, ,,, ,井蛙之见的做法决不成取 。。。。。。。

    若是可能把整个内网的日志进行关联分析,, ,, ,,, ,就能把所有的攻击片段组合起来,, ,, ,,, ,组成一个齐全的全景拼图 。。。。。。。

    说起来容易 。。。。。。。

    随着海量数据的接入,, ,, ,,, ,传统的SIEM产品极易产生告警委顿或者遭逢机能瓶颈,, ,, ,,, ,要想实现齐全的关联分析就必须解决下面三个问题 。。。。。。。

    首先是可能接入全量数据,, ,, ,,, ,蕴含多源异构日志,, ,, ,,, ,如账户登录、数据库查问、批改、DNS解析纪录等;;;;;;;资产信息,, ,, ,,, ,蕴含终端、服务器、Web利用、中央件等;;;;;;;内表部威胁谍报以及其他有关内容,, ,, ,,, ,并支持对输出了局进行回注分析 。。。。。。。

    第二是实时推算和实时统计 。。。。。。。事务的产生和日志的输入是无限无尽的,, ,, ,,, ,只有推算速度够快能力保障实时输出了局,, ,, ,,, ,这就要求可能有壮大的算力机能支持 。。。。。。。

    第三是急剧建模 。。。。。。。分析师可能凭据现实业务场景和事务类型,, ,, ,,, ,急剧搭建出个性化的安全分析模型 。。。。。。。

    此时,, ,, ,,, ,SIEM就必要一个实时的关联分析引擎 。。。。。。。

    作为搭载国内首款散布式关联分析引擎Sabre的ca88登陆平台NGSOC,, ,, ,,, ,可能通过威胁谍报、机械进建、关联分析等多个维度进行威胁的检测,, ,, ,,, ,通过场景分析、实体分析、事务调查等威胁分析工具,, ,, ,,, ,结合安全运营工作现实场景,, ,, ,,, ,援手提升安全事务研判和溯源的效能,, ,, ,,, ,实时进行响应措置 。。。。。。。

    其中Sabre提供了多源数据关联分析、矫捷的威胁建模、丰硕的高低文信息展示能力,, ,, ,,, ,大幅提升了NGSOC的多源异构数据关联分析能力和威胁检测正确度,, ,, ,,, ,在今年进行的2022北京冬奥会和冬残奥会期间,, ,, ,,, ,支持起了对冬奥26个场馆、上千亿条日志的实时监控与安全分析,, ,, ,,, ,累计监测数亿次网络攻击,, ,, ,,, ,跟踪和研判上百起涉奥威胁事务 。。。。。。。

    在Sabre的加持下,, ,, ,,, ,窥一斑而见全豹才成为了可能 。。。。。。。

    在攻防双方之间一场强烈的较量之后,, ,, ,,, ,事件并没有实现 。。。。。。。对于防守方而言,, ,, ,,, ,无论攻击者是否能在规按功夫内达成最终的攻击指标,, ,, ,,, ,都必要实现攻击溯源和攻击者分析,, ,, ,,, ,至于若何做到这一步,, ,, ,,, ,请关注下一期!

    攻防演习突击班:高提效、少失分、稳上分

    攻防演习:70%的防守队没做好这件事导致“未战先输”

    实战攻防演习:破除攻方“杀手锏”,, ,, ,,, ,必要越发精准的缝隙治理

    实战攻防技巧|别不信,, ,, ,,, ,看到这个标题你会不由得点开

    本文图片起源于网络

红蓝双方近距离“肉搏”,,,,,,,,实战攻防到底鹿死谁手???????

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】