来自 CC防护 2021-02-08 14:19 的文章

域名接入防ddos_如何处理_抗d套餐

域名接入防ddos_如何处理_抗d套餐

有人说(也许只有我一个人)2018年将成为决定购买哪种基于端点的安全产品最具挑战性的一年。一个一向拥挤但确实从市场分割中获益的市场,如今却看到了市场分割的侵蚀。端点检测与响应(EDR)与端点保护平台(EPP)之间的界限越来越模糊。在这些大类中,我们有各种各样的用例,从应用程序控制和防病毒到威胁搜索和事件响应。这些用例和其他用例出现在EDR和EPP的营销材料中。尽管如此,如果没有大量的经验和调查研究,几乎不可能判断出任何产品(不管其自述的产品部分)对于给定的用例有多有效。然而,DDos防御方案包括,有一点是正确的,目前在这个领域的一套产品:他们要么提供给你很好的能见度,要么他们提供了巨大的保护。目前两者都没有。随着我们的团队不断学习、评估、衡量和尝试交流各种各样的基于端点的安全控制的有效性,我们发现将谈话集中在几个关键问题上会更容易:你关心能见度还是保护?你们中的大多数人都会读到这个问题,而你的答案应该是"是的"。你可以而且应该同时关注可见性和保护。你可以找到在这两个方面都很出色的产品。你现在买不到一款同时具备这两个优点的产品。所以,你必须做出选择。一个好的保护平台和一个为可见性而构建的保护平台之间的差距听起来很小,但可能是相当大的,通过强制自己确定优先级,您可以评估最重要的特性和功能。如果可见性是您的首要任务,那么数据就是王道,任何保护功能都可以被视为需要而不是需要。如果您需要的是保护,那么可见性是有帮助的,雅虎cc防御系统,但是您应该检查策略引擎、检测技术和调谐拨号。但是$vendor说他们两个都做!他们可能没有撒谎。每一个领先的产品都可以检查盒子的可见性和保护性,但每一个都有明显的优势。我们想要的是一套清晰的问题,我们可以问,或标准,我们可以使用,以作出一个明智的决定。坏消息是,几十年来,增加带宽ddos防御,我们一直无法客观地衡量保护特性和功能。好消息是,可见度和探测的测量更接近实现。如果我们认为没有产品在这两个领域都表现出色,那么我们就可以评估基于可视性的用例的产品,并使用这种评估来划分更广泛的类别。你了解每个产品提供的防御性遥测吗?保护产品和可见性产品之间的显著区别在于它们提供的数据。而且,要理解每种产品提供了什么、在哪里以及如何提供,并不容易。如果可见性再次成为威胁搜寻或事件响应等用例的优先考虑事项,那么您需要回答的几个特定于此功能的问题包括:代理使用哪些数据类型?代理从端点发出并集中收集哪些数据类型?这两个问题通常足以突破产品营销的故意简单性(包括销售宣传和幻灯片),这将使用非常基本的语言,如"我们的代理利用数百种数据类型"或"我们的代理记录流程、文件、网络和其他活动"你可能已经开始拼凑出一个复杂的矩阵,仅仅根据这两个问题的答案就可以建立起来。幸运的是,我们的工作是在非常高的决策层以及促进检测工程所需的非常低的层次上理解这一点。这是我们经常引用的一种表示法,以帮助我们区分和分组产品:注意:这张图片主要说明了可见性及其不足,对保护产品的优点只字不提。该矩阵根据所收集数据的类型和集中收集数据的规律性,将若干特定产品抽象为两大类。完整的Harvey Ball表示数据类型总是集中收集的半满球表示它是有选择地收集的空球表示数据类型存在于给定的平台上,但产品从不集中收集它因此,您可以看到流程元数据(其属性在所有产品中并不一致,但对于我们的目的来说足够接近)是由我们评估的所有产品收集和集中记录的。在流程行下面,我们可以看到可见性优先的产品和保护优先的产品之间的明显区别。这个矩阵必然隐藏了一些细节。有一些保护优先产品,其中集中收集与此表示略有不同,但差别很小,ddos云防御被骗,它们与可见性优先产品之间的差距仍然很明显。一旦你打开了这个楔子,更多的攻击包括与本地数据存储相关的问题:本地写入磁盘的数据类型与检查和丢弃的数据类型相比?除非运营商要求我们在本地存储所有产品的可见性。有些只会在产品本身认为某个过程"有趣"时才发布其他事件本地磁盘上的数据是如何存储或后台处理的?一些产品将存储固定的时间,而其他产品将根据可用/分配的磁盘空间等环缓冲区。然后是关于集中收集的数据的一些重要问题:收集的数据从端点传送到收集点的频率是多少?端点上的数据是有可能被对手篡改的数据。收集的数据的格式是什么?收集的数据在服务器上存储多长时间?这个可以调整吗?费用是多少?如何访问或搜索收集的数据?你知道如何衡量或客观评价数据收集吗?如果您没有可见性,与调查或覆盖相关的用例就没有意义了。你无法察觉你看不见的东西。所有这些关于数据收集的问题都很好。但是它们的目标是理解收集的机械方面,而且它们很少告诉我们给定用例的数据价值。由于某些原因,您将对您的数据提出问题,因此,公安备案ddos防御,了解您所拥有的数据以及这些数据如何映射到您可以提出的问题上是至关重要的。斜接附件(&C)™ 已经成为事实上的衡量标准,但我认为我们仍然不确定我们需要衡量什么。ATT&CK最常见的两个用例是:测量能见度测量探测覆盖范围出于我们的目的,我们将研究如何使用ATT&CK来测量可见性。ATT&CK为每种技术提供数据源。例如"流程监控"和"流程命令行"。如果您知道计划对数据提出什么类型的问题,这些数据源将有助于确定您选择哪种端点产品(或者,您的问题是需要另一种产品来补充还是代替端点!)。数据源的完整列表嵌入下表中:API监控爆震室命名管道系统调用访问令牌数字证书日志Netflow/飞地Netflow第三方应用程序日志反病毒磁盘取证网络设备日志用户界面应用程序日志电喷网络入侵检测系统VBR资产管理电子邮件网关网络协议分析WMI对象身份验证日志环境变量数据包捕获Web应用程序防火墙日志基本输入/输出系统文件监控PowerShell日志Web日志二进制文件元数据主机网络接口过程监控Web代理浏览器扩展内核驱动程序处理命令行参数Windows错误报告组件固件加载的DLL网络使用过程注册表DLL监视膜生物反应器SSL/TLS检查Windows事件日志DNS记录邮件服务器传感器运行状况和状态数据丢失预防恶意软件逆向工程服务理解这一点的第一步是询问数据源的一些问题。您可以使用这个简单的实用程序或一些功能更全面的工具,比如Cyb3rWard0g和Cyb3rPanda维护的攻击Python客户端。例如,我们知道流程元数据(包括流程命令行)是搜索和检测用例的良好起点。但直到最近,我们还不知道这个数据集是否给我们带来了一些或大多数ATT&CK技术的可观测性。幸运的是,ATT&CK API允许我们提出以下问题:首先,我们使用大多数EDR和EPP产品所共有的两个数据源为一个文件种子:进程命令行参数和进程监视。然后我们查询API,看看有多少技术存在,以及使用这些数据源可以观察到哪些技术子集。74%还不错!一些注意事项:可观测性和探测性不是一回事。侦查和调查更是遥不可及。撇开这些警告不谈,我们现在知道我们可以使用这些数据源观察大约75%的已知技术,这意味着检测和调查是可能的。我们还知道,关注可见性的端点产品可以让我们达到85%或更多,并且我们可以通过平台原生日志收集(通常使用开源工具)来弥补许多剩余的差距。这些可观测性指标是特定于ATT&CK技术的,它不代表在寻找异常活动时应该问的其他问题,或者在执行远程取证和事件响应时必须问的问题。同样,对于这些用例,数据是王道。边栏:请记住,检测比ATT&CK要广泛得多。做