来自 安全 2021-06-11 14:10 的文章

抗ddos_ddos攻击能防住吗_原理

抗ddos_ddos攻击能防住吗_原理

随着勒索软件和大规模破坏性攻击的持续冲击,很明显,行动越来越复杂,威胁参与者的技能也在提高。更糟糕的是,安全团队经常被要求以更少的成本做更多的事情,组织决策者对任何不足之处几乎没有容忍。在这样的背景下,安全行动小组还有没有希望跟上?当然。这一切都是从一个全面的安全战略开始的,该战略解决了一个组织独特的威胁环境,然后审查了It体系结构,并将资源集中在最需要的地方,以便在实现其目标之前识别和减轻威胁参与者。剖析威胁任何安全战略的核心都应该是减少攻击面,以限制威胁行为体能够成功的地方。为了实现这一目标,必须充分掌握适用于特定组织的威胁情况。这通常包括三大类:1) 商品威胁:商品威胁是一组对所有人来说都很常见的威胁行为体。商品参与者不一定有目标;他们真正在用炸药捕鱼,因为他们侦察互联网,寻找悬而未决的水果。虽然商品威胁通常不会为他们的贸易制造定制工具,他们有很多开源的攻击框架来进行复杂的攻击。威胁研究社区对这一组参与者的指标有很好的了解。通常,精心设计的基于签名的安全控制和修补良好的环境将降低商品参与者的成功率,这使得安全团队能够专注于更复杂的威胁。2) 目标威胁:有针对性的威胁参与者是专门寻找一个组织的。与商品威胁发送数百万个网络钓鱼电子邮件不同,目标威胁可能会发送10个鱼叉式网络钓鱼电子邮件,发送给有权访问他们想要的特定个人。这些攻击来自伪造的电子邮件地址,这些地址增加了潜在受害者打开电子邮件的可能性。正是有了这个"目标威胁"群体,一个优秀的安全团队才能真正赚到钱。这些威胁行为体大多避免基于特征的检测,需要复杂的安全行动才能被抓获,他们通常被称为先进的持续性威胁,包括老练的犯罪团伙和低级的民族国家行为者。3) 高级目标威胁:最后,高级目标威胁是那些在开源报道中没有讨论的参与者,因为他们非常努力地避开新闻。这些是高端的民族国家参与者,他们喜欢在OSI模型中向下移动以获得访问权限。他们不仅生活在应用层,还通过物理和远程手段。先进的有针对性的威胁将协调近距离、内部、行动和远程行动。他们追求国家机密和尖端技术知识产权。并非所有组织都是这些行为者的目标;但是,一个好的安全策略也能在抵御这些真正的坏蛋方面带来一些成功。检查IT架构在我看来,大多数安全团队面临的最重大挑战是一个从未考虑过安全性的架构。而且,在构建了威胁格局之后,下一步是仔细观察这一重要领域。基于24年的军事经验,我了解到,在作战行动中了解你想要保护的物理地形,并在你的防御计划中利用这些地形是至关重要的,这个基本的安全原则很好地解释为"网络地形"首先从active directory开始。如果安全团队不参与active directory的组织和管理,他们很可能永远无法成功地保护环境。active directory基础结构倾向于根据易于管理而不是安全原则自行发展和组织一些IT服务管理团队在如何设置环境方面完全疏忽大意。我在active directory中查找的第一件事是组织单位(OU)的组织方式。应该有一个安全策略应用于OU的构建。这提供了逻辑划分环境和拒绝的能力根据OU成员的风险访问资源。例如,一个安全团队总是会有一组由于某种原因无法及时修补的遗留业务应用程序。如果所有这些服务器都被置于高风险OU组中,如果这些服务器由于延迟的修补程序而受损,则暴露在网络的其他部分是有限的。这也是一样的原则可以应用于用户组OU。如果存在高风险的用户类别,例如用户正在向您的来宾Wi-Fi进行身份验证,则该组应在与正常用户群不同的OU中进行管理。这确保了这个高风险和短暂的用户组对其余网络资源的访问是有限的。在active directory安全策略中,最后要考虑的是如何使用提升的权限管理和创建帐户,最老练的行为体正试图提升特权,以至于他们现在是一个局内人而不是局外人。密切监视谁拥有特权并多因素验证这些特权,将为大多数威胁行为体设置一个重要的屏障,并限制攻击面域。评估体系结构的下一步是研究数据中心的细分。三层数据中心架构的NIST模型应该是目标。无论是Web服务器、应用程序和数据库之间的细分,还是微观细分开发、测试和生产,这是一项关键任务,否则安全团队将失败。今天的软件开发方式是,工程师去他们的软件库,海外高防cdn,比如GetHub,下载库来实现他们在项目中要开发的任何特性。很多时候,软件开发人员不知道需要什么端口和协议,所以他们喜欢在"信任所有"模式。相反,每个服务器都应该配置"零信任"模型方法。也就是说,所有端口和协议都应该关闭,只有应用程序需要的端口和协议才应该保持打开状态。另一个常见的错误是在一台主机上组合服务器功能。例如,网站怎么防御ddos,在Web服务器上托管应用程序。这会导致IT服务经理使用此策略,但这种做法具有高风险,不允许安全团队管理分段良好的环境。关于体系结构的最后一点是远程访问。而且,这是一个非常简短的对话,所有对环境的远程访问毫无疑问都必须具有多因素身份验证。用户不喜欢这样做,因为这会导致远程访问环境更痛苦。但是,如果没有这种安全控制,ddos攻击和防御实验报告,这不是一个如果的问题,而是一个环境何时会被一个目标或高级目标参与者破坏和拥有的问题。改善安全性一旦架构得到优化,下一步就是缩小安全操作的重点,以确保获得最佳的回报。根据我的经验,威胁参与者通常只对网络的2%感兴趣,但他们使用另外98%的网络来访问它。在可用资源有限的情况下,couldflareddos防御,安全团队应该有目的地将这些资源集中在最重要的风险上。第一步是对数据和业务应用程序进行分类,以了解哪些是最需要保护的,这是没有人愿意做的,"那些保护一切的人什么都不保护"确实让我明白了这一点。我见过有20多个安全分类类别的组织。这种级别的粒度是不必要的。简单地从三个类别开始,它更易于管理和可重复:1) 低:数据或应用程序是公共知识,如果泄露不会造成损害2) 中:工作负载和数据对业务运营至关重要,大规模ddos攻击防御,如果中断将对业务产生影响3) 高:如果妥协或中断,它可能会有实质性的,如果不是存在的,后果。一旦确定了这三种分类,就可以建立安全仪表盘和从基于风险的控制系统接收的安全遥测的自定义视图。在我们的安全团队中,我们将这些称为"指定的关注区域",这意味着我们比其他低风险系统更关注这些关键系统。另一个需要考虑的策略是,你的安全团队应该付出多少努力来保护用户终端。尖端的安全团队认为他们的用户基础已经受到损害。与其尝试监控和感知成千上万的用户终端,他们密切监视用户和业务应用程序之间的入口和出口点,寻找异常活动。他们还引入了一些将身份作为安全边界的体系结构设计,例如要求web应用程序使用沙盒浏览器和多因素身份验证。银行和流行的云应用程序已经在使用这种确切的策略来保护基础设施,使其免受他们认为受到损害的客户的影响。跟上步伐即使有了这些策略,安全团队也会一直努力跟上不断变化的威胁。勤奋是预测和保持领先可能对组织造成危害的关键。另一个重要因素是要有一个团队,不怕承认他们不知道所有的事情。"无自我"的方法有助于每个人都认识到,团队合作对于阻止老练的黑客是必要的。这是一个恒定状态下的动态场