来自 CC防护 2021-02-08 23:35 的文章

高防加速cdn_能不能防止_买防御ddos

高防加速cdn_能不能防止_买防御ddos

你如何处理这样一个场景:一切(形象地)都着火了,你要确保你的团队把它扑灭?这篇文章提供了一个关于我们的网络事件响应团队(CIRT)如何应对最近爆发的Emotet感染,从大量警报中退一步,设计一个主动的自动化策略。我们希望,当你的环境中发生类似的事情时,这篇文章可能会给你带来一些想法。威胁分析人员和第一反应人员在概念层面上,威胁分析员的工作与应急第一反应人员的工作差别不大。应对措施的一个关键部分是分流。从喧嚣和混乱中退一步,ddos攻击高防御服务器,找出最需要关注的领域以及向前迈进的最佳战略方法,这一点至关重要。大多数安全团队都有多个人,他们会在问题失控时发现问题。然而,你也需要至少一个人作为"事件指挥官"或行动领导远离火场,可以说,制定缓解计划。这个人需要掌握可以求助的内部和外部资源,并且应该明白,有些时候,为了制定更长期、更具影响力的解决方案,你必须把人们从眼前的斗争中解救出来。案例研究:抗击迅速蔓延的Emotet疫情战略分类规划在理论上和理论上看起来都很好,但是你如何将其应用到现实世界中呢?好吧,这正是CIRT最近面临的问题,当我们发现自己对多起Emotet疫情作出反应时。Emotet并不是什么新鲜事,Red Canary也曾帮助客户应对Emotet感染。然而,直到我们的一个事件响应合作伙伴开始给我们带来大量恶意软件的客户,我们才看到如此大范围的爆发。很明显,这些工作占用了大量的分析师时间,这正是我们需要制定一个新的分类计划的原因。对于那些不知道Emotet是什么的人来说,我们将为您省去google搜索的麻烦:它是一种特洛伊木马,通常通过垃圾邮件或钓鱼电子邮件传递,这些电子邮件包含外观友好但恶意的附件(pdf、Word文档等)。系统被感染后,通过web浏览器拦截网络流量,窃取财务信息、凭证和其他敏感数据。在我们所处理的案例中,Emotet与另一种称为Trickbot的恶意软件捆绑在一起,通过使用服务器消息块(SMB)协议在受影响的网络上横向传播并迅速感染其他机器,从而扩大了问题的范围。为了让事情变得更有趣,Emotet二进制文件会在检测到本地防病毒措施的情况下将自己重写到主机。所以现在我们有了一个特洛伊木马在网络中蠕动,当它感觉到病毒的存在时会重写自己。我们该怎么解决?有时最简单的计划是最有效的。首先,我们建立了一个新的探测器来识别我们百分之百看到的行为。这样,我们就不必在我们更广泛的探测器上继续挖掘遥测数据了。在那之后,我们与我们的事件响应合作伙伴(在受感染的环境中有实际操作经验)一起利用我们新的自动化产品。在本例中,我们使用redcanary Automate来开发自动化剧本,它使用炭黑Live Response API开始禁止我们正在识别的各种二进制散列。远程禁止错误哈希的能力非常重要,防御cc代码,因为客户的IT资源有限;不幸的是,它无助于缓解我们的检测工程师和分析师在响应每个端点上的感染时所经历的单调。进入检测机器人…不久前,我们开发了一种策略,使我们的操作中最具补救性和最乏味的恶意软件检测自动化。我们称之为探测机器人。在一个非常高的层次上,探测机器人做的正是人类分析员对我们武器库中特定探测器产生的事件的反应。到目前为止,检测机器人主要用于快速识别与潜在不需要的程序(pup)对应的行为。然而,更广泛的计划始终是使检测机器人更加健壮,这样我们就可以越来越多地自动检测已知的不良行为。在我们看来,vps防御cc攻击,我们的检测工程师浪费时间反复识别和报告相同的行为是没有价值的;这正是计算机应该做的工作。这些Emotet的爆发为我们提供了一个很好的机会来检验这个想法,并找出如何使它发挥作用。我们配置了一个检测机器人程序来识别进程何时符合以下条件:(a)是从父进程执行的。"服务管理程序"和(b)有一个至少由6个字符组成的名称,其中要么是数字,要么是字母a到G。这很好地找到了Emotet二进制文件,但现在我们遇到了一个新问题:我们随着检测机器人和人类不断发现更多恶意二进制文件,我们被新的妥协指标(IOC)淹没。到目前为止,探测机器人仅仅依靠行为检测器来采取行动。当我们发现恶意二进制文件时,我们将它们标记为IOC,这不仅是为了让我们的客户意识到它是坏的,而且还为了创建一个已知坏二进制文件的内部数据库。事件生成过程的一部分是让遥测数据通过一个检查,以查看正在执行或正在写入的二进制文件是否与已知的IOC相匹配。如果我们的引擎在错误的二进制文件上检测到匹配,那么它将引发一个事件。这种情况发生得如此之快,以至于基于二进制的检测器几乎总是能够在竞相生成事件的过程中击败任何类型的行为检测器。这降低了检测机器人的有效性,因为我们继续寻找更多的Emotet二进制文件。因此,我们决定更新检测机器人,这样它们就能触发ioc。几乎在做出这个改变之后,我们就控制住了火势。前后下面的图表说明了检测机器人前后的区别。如你所见,我们的CIRT在与Emotet合作的过程中被成千上万的恶意软件检测淹没。垂直的黑线标志着我们开始通过检测机器人平台自动摆脱混乱。在下面的图表中,您可以看到检测机器人所执行的工作量相对于人类分析师所执行的工作量。顺便说一句,你会注意到,在周末,当客户的网络基本上处于离线状态时,这两个图中的谷线都相当陡峭。请记住,我们从这些受Emotet感染的环境接收到的入侵事件数量没有太大变化,相反,被推出的绝大多数相关检测现在都是由检测机器人完成的。主要收获那么我们能从中学到什么呢?最重要和最广泛的教训是一个简单的提醒:退一步,牺牲短期进展,而选择一个长期的,甚至是(祈祷)永久性的解决方案是多么有益。在处理这些疫情的最初几天里,我们只是在忍受它,并期待着缓解的努力将很快开始,以减轻负担。当事情变得很明显这是不可能发生的时候,我们决定在找出一个长期的解决方案的同时,忍受一个短期的负面影响是值得的。我们设计的长期解决方案最好的部分是,高防CDN评价,它不仅适用于下一个Emotet感染,而且适用于下一个比特币矿工蠕虫病毒,以及我们在前进过程中可能遇到的许多未来爆发。我们都有需要发展和改进的业务领域。关键是要认清基本需求,cc规则防御,接受短期的成长痛苦,坚持下去,才能享受到长远的利益。hbspt.cta.负荷(1860440,'d85e90e9-16d6-433b-ae70-77b4829c1081',{});