来自 CC防护 2021-02-08 14:19 的文章

服务器被打_有效的_安全tcp防护

服务器被打_有效的_安全tcp防护

红金丝雀团队是一个有竞争力的团队,尤其是在识别新兴对手的交易技巧方面。我们强烈鼓励客户进行红队测试,以验证我们的检测和响应能力。越硬越好!测试最新和最先进的技术,使我们的网络事件响应团队(CIRT)保持在最佳状态,并帮助我们提高。认识一位经常接受我们挑战的客户:埃里克,一家流行快餐连锁店的信息安全工程师。埃里克是一个成熟的安全团队的一员,该团队负责保护餐厅总部大约450台macOS机器和3500台Windows机器。他是测试的忠实信徒,免费ddos防御工具,他的团队一直在运行红金丝雀的CIRT。埃里克解释说:"很高兴看到我们队和红金丝雀之间的争吵是如何表现出来的。我已经改进了一些我的红队战术,因为我被红金丝雀抓了很多次。从探测的角度来看,当我可以进行一些初步测试并在雷达下飞行6或8小时,而不是在20分钟内得到警报,我感觉很好。"检测新兴技术这种测试是互利的。我们的CIRT喜欢根据红队的任务创建新的探测器和检测流程。"我们一直试图坦诚地面对这样一个事实:我们永远都不可能做到完美,"一位红色金丝雀事件处理者亚当·马蒂斯评论道我们的看法是:如果我们在考试中漏掉了什么,那就好。这是一个提高防御能力的机会。"当然,我们也喜欢捕捉到一些特别棘手的事情。埃里克讲述了他与红金丝雀团队为测试一种新兴技术的检测而争吵时的一些趣事:"我正在观看SpecterOps的Matt Graeber在DerbyCon上的一个演讲,内容是通过修改Windows内置代码签名验证的行为来颠覆信任。我可以很好地看到他的幻灯片中的示例代码,以便键入代码并进行尝试。果然,红金丝雀察觉到了。马特还在解释这个技术是如何工作的,当我试图模仿它时,我发现了一只红色的金丝雀。我被吓跑了。"结果,我们的一个检测工程师在德比孔的人群中,开发了一种检测格雷伯技术的方法,就在埃里克为它做测试的时候。原子红队测试与对手仿真Eric和他的团队与Red Canary进行交流的另一种方式是在他的环境中运行对手仿真测试,包括使用原子Red team测试和真实世界的后攻击工具。下面的屏幕截图显示了Eric运行一些测试时检测到的macOS威胁Red Canary的示例。首先,ddos攻击防御策略,redcanary检测到Python正在执行并检查防火墙。redcanary的CIRT随后检测到Python试图启动出站连接,这是macOS上帝国post漏洞利用框架的一个常见指标。我们的探测工程师提供了观察到的侦察和特权提升技术的背景。埃里克评论道,"我认为我没有做过红金丝雀最终没有抓住的事情。一旦我开始做一些攻击者会做的事情,侦查队就会全力以赴。他们会通知我发生了什么,并将其与可疑活动和入境点联系起来。我们的测试对红金丝雀也很有价值,这是我们两个提高的机会。红金丝雀越好吃,防御ddos产品,我们就越好吃。"主要收获我们爱我们的所有客户在这里红金丝雀,但我们特别感谢那些巧妙地测试我们的检测和响应能力的客户。不是因为它展示了我们的强项,而是因为它向我们展示了我们需要改进的地方。通过质量测试和友好竞争,我们可以作为一个社区进行协作,推动持续改进。埃里克给出了类似的建议:"对于像我们这样的其他团队,防御cc攻击代码,bp神经网络怎么防御ddos攻击,我建议:从可见性的角度来看你今天的表现。下载Atomic Red Team并运行它,查看您检测到的和未检测到的内容。如果您缺乏可见性,并且未能检测到ATT&CK矩阵中的大部分技术,那么您可以从查看红色金丝雀中受益。"要了解更多关于埃里克和他的团队的安全计划,请阅读完整的案例研究:在MacOS设备上寻找对手:高级安全团队如何弥补整个车队的空白