来自 应用 2021-06-09 09:21 的文章

云盾_防御服务器_零元试用

云盾_防御服务器_零元试用

我到处都是新闻报道,用"武器级的漏洞"和"武器化的恶意软件"来描述最新的恶意软件爆发。从这种丰富多彩的语言中产生的叙述,不利于保护我们的计算机网络的进展,因为它试图将军事冲突的隐喻明确地应用于网络安全,而不是网络冲突中的每一个事件都符合军事式的"攻击"我想说的是,我们在这个行业中使用的词语很重要,并为我们关于网络安全的公开讨论定下了基调和背景。将松散和不精确的术语应用于网络安全领域的问题在于,它限制了我们的思维;如果一切都是武器,那么它的使用就是攻击,因此我们必须检测即将到来的攻击,并对攻击作出反应。这就是OODA循环(观察、定向、决定、行动)。一个糟糕的语言选择会导致一个糟糕的讨论框架,并最终导致糟糕的政策决策,比如认为用动态武器应对计算机网络入侵是合适的。我们只剩下威慑力了,美国高防cdn多久生效,彼得·辛格·诺特(Peter Singer note)等观察人士并没有起到有效的作用,反而鼓励其他民族国家侵入私人网络,窃取敏感信息。一个拿着锤子的人…将所有的漏洞利用和恶意软件都描述为"武器",会导致错误的想法,即只有国家支持的行为体才有能力开发网络武器。我们现在知道事实并非如此。例如,Mirai僵尸网络(Mirai botnet)最初被认为是一个民族国家的产物,它以破纪录的分布式拒绝服务(DDoS)攻击造成了大规模的破坏。但最终,它被揭露是几个大学生的作品。换言之,ddos防御购买,由于一款流行的视频游戏Minecraft的服务器发生争执,一个能够击败大型在线提供商和网站的僵尸网络应运而生。制造恶作剧和混乱的门槛已经降低了,因为我们不断地将越来越多的东西(如:I(di)oT devices)连接到我们的网络,甚至更糟的是,连接到公共互联网。以指数级的速度编写代码,将产品推向市场(现在有了更多的摄像头、麦克风、GPS和其他传感器),这只会意味着我们越来越容易受到攻击。坏蛋们不必提高他们的交易技巧,因为我们用不安全的设备和匆忙编写的软件应用程序对我们的网络进行地毯式轰炸,使他们的工作变得更容易。另一个值得注意的问题是,信息安全行业和新闻媒体喜欢崇拜"武器化的功绩"这一概念,至少,ddos防御怎么关,这个词肯定会成为一个性感的标题,成为一个极好的点击诱饵。这种痴迷导致了懒散的新闻报道,每一次安全事件或灾难都被描述为"网络攻击"。过度使用和滥用"网络攻击"一词导致了2017年美联社样式书的新指导,它将其定义为"在设备或网络上进行的计算机操作,导致物理损坏或严重而广泛的中断"。同样,战略与国际研究中心(Center for Strategic&International Studies)的詹姆斯•刘易斯(James Lewis)在其《反思网络安全》(refining network security)报告中将攻击定义为"通过暴力或胁迫达到政治效果"的工具,或许是为了给我们讨论安全的方式增加一些精确性。打破网络杀戮链媒体固执己见地将军事观点应用于网络能力,导致了一个由战争术语主导的行业。网络领域现在是"一个领域"(作战领域,不是ICANN批准的.cyber TLD),包括网络指挥部、"网络部队"和"网络杀伤链"这种想法使我们产生了"网络珍珠港"或"网络9/11"的夸张隐喻。(在我看来,这些术语的使用不尊重那些在那些悲惨事件中丧生的人的记忆。)同样,这种观点导致了可笑的简单化想法,即我们可以简单地"隔离恶意软件"并"重新设计它,并准备用它对付同一个对手"——就好像一段可执行代码相当于一支敌人拿起的来复枪离开战场。将无法访问社交媒体或网上银行带来的不便与导致大量人员伤亡的现实世界动态攻击相比较,令人难以置信。当我们的社会开始越来越依赖信息技术时,这种对比会进一步打破,导致诸如当你在急诊室时,医院无法访问你的电子健康记录(EHR)。那么,武器化究竟意味着什么?我并不是说我可以从Metasploit项目中挖出一个漏洞,把它绑在洲际弹道导弹上,称之为武器化。攻击并不是用"砰"或"砰"来发射的,更多的是一个"皮尤-皮尤",因为试图把它们贴上武器的标签是一个笑话;音效应该同样滑稽。我们从武器和防御的角度谈论网络安全,听起来像是一部糟糕的科幻电影:《赛博纳多》(Cybernado),一个勒索软件蹂躏地球的故事,只有通过比特币开采产生足够的现金来支付赎金,才能阻止勒索。在现实世界中,软件漏洞是漏洞或意外的计算产物,使攻击者能够有效地诱使计算机运行攻击者提供的代码或无意中泄漏有关计算机状态的信息(如密码、用户名、,或用于进一步利用的内存地址)。利用漏洞是利用其他计算机程序中的漏洞的计算机程序。软件更新和修补程序修复漏洞并使您免受攻击。真正的损害可以由利用漏洞所提供的有效载荷造成。有效载荷可以秘密地在你的机器上安装一个后门,从而允许威胁参与者稍后返回,或者通过加密你的所有文件并要求赎金立即采取破坏性行动。"武器化开发"的定义甚至不能得到专家们的一致同意。有些人认为这是一个有效的概念证明(PoC),与第一支3D打印的枪支能够在摧毁自己之前发射一发子弹的方式大致相同。同时,其他专家认为,利用的"武器化"是对一个漏洞的改进,它总是有效的:按下键,得到外壳。前者仅仅是程序员"在我的机器上工作"的安全版本,而后者只是从漏洞开发者的角度来看可靠地工作的软件。同样,现实世界中的"武器"也有进攻或防御的意图;尽管有些武器可以(分裂地)归类为"工具",但证明意图可能很棘手。例如,厨师刀可以用来切牛排,也可以用来杀人,但尽管这两种行为都可能是刀的使用者有意为之,但只有第一次使用是由刀子的制造商/零售商有意的。同样,仅仅通过阅读代码很难确定意图。软件程序是恶意删除了你所有的文件还是只是代码中的一个错误?当你的防病毒软件删除一个关键的操作系统文件时,这是一种攻击吗?我不认为有人会说这些软件供应商有恶意。建立可靠的漏洞利用软件是复杂的,ddos防御报价,伴随着复杂性也会出现bug。在某种程度上,老练的演员会利用这一点,并在软件的掩护下进行操作,这些错误可能会引入后门或意外删除您的文件。如果有足够多的互联网连接设备被免疫,我们可能会避免这种新的"隐藏错误"攻击的潜在冲击,但在当前市场饱和的不安全设备(所有设备都使用相同的默认密码发布)造成的狂野西部气候下,物联网的未来会带来什么是谁都猜不到的。同时,防御ddos系统,对"武器化利用"进行脆弱性概念证明的过程需要大量的研究、开发和测试。修补程序级别、运行时设置、语言包、插件和第三方软件的细节在漏洞利用开发中非常重要,在开发内存损坏漏洞时必须加以考虑。开发人员测试系统的每一个小偏差都会干扰内存布局,这需要额外的开发工作来优雅地处理这些情况。尽管内存布局有变化,但利用漏洞必须是健壮的。换句话说,这只是标准软件工程,其目标是构建一个可靠的软件产品,能够解释错误的情况并优雅地处理它们。用@halvarflake的话来说,"一个漏洞‘只是'一个针对奇怪机器的程序,它会导致违反安全属性"。构建可靠的漏洞利用与构建可靠的软件没有区别。但如果是这样的话,也许我们应该"武器化"通用软件(操作系统和浏览器)。这种努力是存在的,但它有一个并不那么性感的名字:硬化。处理程序的完整性,消除流控制的漏洞,但它没有得到太多的宣传和新闻报道,因为技术细节很难消化,如果故事没有涉及到爆炸的事情,就没有那么有趣了。这些特性通常是自愿加入的,并且需要独立软件供应商(ISV)更新他们的编译器基础设施来启用这些保护。举个例子,我们可以看到各种操作系统的安全选择加入率,这要感谢Cyber ITL的员工。在一个完美的世界里,供应商公司