来自 安全 2021-04-05 14:15 的文章

ddos保护_排名靠前的_抗ddos攻击防火墙

ddos保护_排名靠前的_抗ddos攻击防火墙

不是中国。除非是这样。或者是地下室里有个400磅重的黑客。不太可能。谁能分辨出谁在网上做了什么?我们为什么会在意呢?归因是一种实践,ddos攻击防御设备,即获取网络攻击的法医工件,并将它们与已知的针对目标的威胁进行匹配,而目标的配置文件与您的组织相匹配。如果这看起来过于复杂,那是故意的。归因有一定程度的映射到非常具体的情境中,用一种简单化的解读来描绘这个情境,除了吓唬决策者投入不必要的支出之外,几乎没有什么效果。并不是因为成功的归因会导致当局进入敌对的领土来压制我们的敌人,而是因为这是一种检查我们的威胁模型的假设与现实世界的方法,并相应地修改这些假设(你有一个威胁模型,对吗?如果我们要研究一下什么是网络攻击归因,那么看看它不是什么可能会有帮助。在法庭上,归属不是一把冒烟的枪。即使是像Crowdstrike的"Hattribution"这样耸人听闻的文章,他们也无法证明此人在攻击时有手在键盘上,也无法提供具体证据,证明即使他这样做了,他也是在中国政府的指导下这样做的。Mandiant提出了一个相当有力的理由,通过开放源代码情报支持他们的技术分析,但他们也缺乏将个人动机与整个国家动机联系起来的关键部分。除非你是美国国家安全局,否则试图建立这种联系是浪费时间和资源的10倍,尤其是如果你面对的是一个普通的一次性网络钓鱼浪潮,cc攻击需要多大防御,而不是一个持续的国家资助的渗透。属性不是二进制的。没有明确的"完成"状态,因为同样,只有情报机构才能用简单的"是"或"否"来明确回答动机、意图和能力的问题。有些人认为这意味着归属感并不是一种有意义的追求——这有点太过分了。作为对支撑公司资源分配的假设的检验,任何基于具体证据的归因数据都是有价值的*一个法医的人工制品不是一个归因。我们这些从事安全行业的人有时会看到大量的妥协指标(IOC)清单,这些指标通常是由某个政府机构确定的。这里的想法是及时拍下一张快照——一张法医照片——然后四处传播,这样维权者就可以一直盯着他们在同一时间段内为类似的TTP开放。(如果你想知道这与一个组织的防御有什么关系,那就不是了。建立一个竞选时间框架主要是为了收集战略情报,这就是为什么通常政府首先公布这些名单。)一些组织将这些名单解释为*任何*国际奥委会列出的名单都很难归因于某个特定的国家,怎么做到防御cc,并将开始在他们的日志中搜索"攻击"。不要这样做。这是在浪费第二级SOC的时间、金钱,并假定其是不可更改的对于工具策略和过程(TTP)来说,1元香港高防cdn,这实在有点令人费解。基准应该是一个合理的观察者得出的结论,而不是一个在中国注册的知识产权。匿名者不是一个组。它作为一个群体的不存在意味着它不能有兴趣、动机或能力。更典型的匿名者是一系列伪政治声明,被用来掩盖当地黑客的自我支持和小政治目标。再说一遍,匿名者不是一个团体,如果你把一次攻击归咎于他们,你就什么也没说。国家赞助的事。你可能会注意到,我提到的两家公司都专注于国家赞助的演员。这在很大程度上是因为国家资助的行为者有权在最长的时间内利用目标,以获取最大限度的情报。因此,目标拥有丰富的法医数据进行分析和关联的可能性越来越大。因此,我们倾向于看到关于国家行为体的浮华、耸人听闻的数据,ddos种类及如何防御,而忽视了更为频繁的由经济动机的行为体发起的一次性机会主义攻击。不要忽视OWASP的前十名来关注可能不会到来的零日攻击。很多人会看着上面的列表,举起手来,说不可能归属,浪费时间,你不应该这么做。我不同意。威胁玩家能通过一个被破坏的盒子代理吗?他们能伪造他们的身份吗?当然。但即使人们撒谎,他们也不会随意撒谎。在设定的时间范围内持续应用虚假数据,与真实数据一样有助于建立动机、意图和能力。考虑到我们的目的是将结构化、真实世界的攻击数据与我们建立的威胁模型相匹配,那么如果参与者在多个攻击中的行为方式一致,那么键盘后面是否有参与者的完整合法名称并不特别重要。下一次收听更多关于好的归因是什么样的,以及为什么你应该关心。*不是具体证据的东西:供应商声称论坛帖子没有提供任何来源的参考,混淆或不清楚。供应商提供翻译威胁行为人讲话,但不提供源语言。在不名誉的网站上提到你的组织。在你的基础设施中公布漏洞,你的组织还使用。一个威胁参与者在一个曾经对你的组织进行理论攻击感兴趣的组中的成员资格。任何一个出现在你的日志中而没有更多上下文的IOC。