来自 应用 2022-06-20 14:10 的文章

网站防御_ddos高防ip服务协议_如何解决

网站防御_ddos高防ip服务协议_如何解决

理解和击败APT,第2部分:与死敌进行"永远的战争"

SANS研究所推出了一门课程,培训安全人员检测和纠正预先持续威胁(APT)、复杂和秘密攻击,通常用于进行工业/商业/政府间谍活动。安全小酒馆与安全、事件响应和取证专家Rob Lee交谈,Rob Lee是"高级计算机取证分析和事件响应"课程的讲师,讲述了如何理解和打击APT。在前两篇文章中,Lee谈到了APT威胁的性质和来源。在这篇文章中,Lee讲述了检测和补救这些威胁所需的技能和经验,课程的目标和与APT的无休止的斗争。

安全小酒馆:让我们谈谈APT中的"P"。我们所说的"持久性"是什么意思,以及对目标组织的影响是什么?

Rob Lee:这可以追溯到事件响应101。多年来,如果你发现一个系统被破坏,你应该拔掉插头:限制数据暴露,停止出血。这是对高级威胁所能做的最糟糕的事情。它告诉对手他们被检测到了,一旦他们认为自己被检测到,他们可能会认为正在进行全面的补救,并且会在网络中传播得更远。它本质上变成了一个打鼹鼠的游戏。你发现一个系统,取下它,另一个系统就会弹出。然后,您之前修复的系统开始再次发出信号,然后是第三个。当我们告诉大多数组织这一点时,他们会有点惊慌失措:"等一下,你是说一旦我们发现网络上存在威胁,就什么都不要做?"

不,我们不是这么说的。对机器进行取证,拿出尽可能多的威胁情报,这样你就能确切地知道这个对手在网络上的样子。使用此信息确定整个企业的范围,识别每个受损节点。您必须同时使所有受损的机器同时脱机,这将基本上使APT脱离您的网络-今天。然后你实施额外的安全措施。

SB:我感觉你会告诉我,这还没有结束。

李:通常,一旦他们意识到他们完全失去了与目标的联系,他们会开始另一场战役,通常是第二天。更多的矛式网络钓鱼电子邮件将出现,试图重新危害目标。这就是它的持久性。他们不会放弃尝试访问您的网络;在许多情况下,cdn高防服务,他们将再次成功,因为他们将采用不同的技术。他们开始使用技术2.0。他们将使用功能最差的工具版本。他们将从棒球棒开始;你拔出刀,他们拔出枪。你拔出机枪,他们拔出火箭筒。当您迫使对手再次进入研发模式时,这种升级最终将停止。部署新功能以对抗您的技术需要更长的时间。他们需要想出一个新的魔术。但是你会让他们慢下来,给自己一点喘息的空间。

SB:那么,没有尽头了吗?

李:我们告诉高管们:一旦你成为APT的受害者,你将永远面对它。你不会回到你以前的时代。从今天起,从安全的角度来看,这是你将要处理的事情。问题是这个月发生了多少次浪潮。

SB:一个组织如何暗示它可能已经被破坏,他们需要从哪里寻找。

李:有两种方法。第一,联邦调查局或其他人打电话给你说,高防cdn可以防止ddos吗,"我们不知道为什么,但你可能想看看这个IP地址;我们很确定你已经妥协了。90%的组织发现他们被APT破坏,因为第三方通知了他们,这有点令人沮丧,因为你在这一点上是盲目的。

第二种方式是你在某种共享组中,比如金融业的FS-ISAC[金融服务信息共享和分析中心]。其他行业也有自己的组织。在这些会议上,你会被告知某某上周被泄露,这是攻击者使用的当前配置文件。您可能想查看您的网络。所以他们在飞行中学习对手在做什么。

最好的类比是,本质上你的安全就像TSA。在他们确切知道要寻找什么之前,它也和TSA一样有效。你不可能搜索队伍中的每一位祖母,然后期望找到恐怖分子。但恐怖分子有可能使用内衣炸弹,这是新的说法;你收到了某种情报,开始寻找这种特定类型的威胁。你不能盲目地看你的人际网络中每一件可疑的事情。太激烈了。许多安全组织缺少的一件事是一个威胁情报矩阵,它磨练数据并指导他们的团队寻找他们网络中发生的这类事情。这一信息没有得到高度宣传。在某种程度上,大多数组织将其视为机密。

SB:需要什么类型的调查技能?

李:有两种类型的个人:一种是基于主机的取证人员,可以查看系统内部并快速确定该系统是否可能受损。

第二种个人,网络取证人员,是一个谁可以做深入的数据包检查了有趣的流量,他们已经确定。缺少的一点是,服务器怎么防御cc攻击,如果您所在的组织拥有这些类型的个人,但拥有500000名主机。我怎么能告诉他们去看什么?这就是我们所谓的威胁情报发挥作用的地方。通常,ddos攻击与防御产品,一个组织会对它可能要寻找的东西有一些感觉。这有点难,尤其是对于那些刚刚接触这一领域的组织来说。但是,一旦一个组织受到打击,他们就能够开始建立正在进行的连接类型的概况,以及他们应该寻找的足迹类型。

SB:这门APT课程有什么帮助?