来自 CC防护 2021-02-09 03:26 的文章

H5防护_怎么办_香港高防100g

H5防护_怎么办_香港高防100g

在我们正在进行的"用ATT&CK寻找威胁"系列网络研讨会的第2部分中,来自红金丝雀的Joe Moles和Adam Mathis与炭黑的Jimmy Astle一起深入探讨了测试和保持网络中高水平可见性的关键性。主题从运行原子红队测试到熟悉您的特定环境和网络基础。有超过350名与会者,在现场问答过程中,我们未能回答所有人的问题。幸运的是,ddos防御怎么实现,乔、亚当和吉米友好地回过头来,并在随后回答剩下的问题。在下面找到他们的答案。错过了在线研讨会?按需观看,并获得"使用ATT&CK进行威胁搜索"系列网络研讨会的所有三个部分。Q: 在学习威胁搜索之前,有没有什么先决条件,比如编程或操作系统知识?Joe Moles,Red Canary客户安全运营副总裁你一定是在寻找你想要的那些系统的威胁。如果您在一个标准的企业环境中操作,那么请确保您对其中的操作系统、更广泛的网络和部署在其中的工具具有坚实的系统管理员级别的知识。你还需要阅读与环境相关的战术和技术。Adam Mathis,事件处理者,红色金丝雀如果你不知道某个平台或系统的"正常"是什么样子,那么很难确定同一平台或系统的"异常"是什么。例如,san在标准父子进程关系方面有一些很好的资源。了解这些预期的行为将有助于你更快地消除正常的,可能是良性的活动,并确定哪些是不正常的,更有可能是恶意的。Jimmy Astle,高级威胁研究员,20g每秒ddos防御,炭黑对网络基础的理解,如开放系统交互(OSI)层、操作系统内部结构和对手行为,都是在威胁搜寻的背景下需要掩盖的话题。你几乎需要戴上你的"IT"或"坏人"的帽子,才能真正挖掘出一个威胁猎人的心态。Q: 我应该打开ATT&CK框架并选择任何TTP开始在环境中查找它吗?我也会抱着同样的心态,但要开始寻找合适的工具和可见性。例如,如果您没有适当的审核策略和日志聚合工具,我就不会从帐户操作开始。这是没有道理的,你基本上是在让自己失败。ATT&CK框架真正有用的另一个领域是确定技术和流程方面的投资领域,目前可能存在差距。 根据你想要实现的目标,对你要寻找的东西进行优先排序。提出一个问题或假设,然后收集信息来回答这个问题,或者确认或反驳这个假设。寻找威胁非常类似于进行科学实验:确定你的假设是什么,为什么答案或想法很重要,然后收集调查所需的数据。一些好的初始问题包括:我是否可以访问必要的数据来检查ATT&CK的这方面?对手能在什么系统上实际执行这些技术?我建议你把这些信息都写下来,然后在你前进的过程中跟踪你的发现;这样你就可以回去参考你所做的和学到的东西。这将有助于你确定下一步的目标。 开始系统地搜索ATT&CK中所有记录在案的贸易手工艺的过程肯定会让人不知所措。根据可用的数据,将一种策略优先于其他策略可能更有意义。例如,如果您没有很好的历史流程数据集,您仍然可以从您的计算机上使用的现有持久性机制中寻找妥协的迹象。现在就做你能做的,而不是等到你有了完美的视野。Q: 当你在执行原子试验或狩猎任务时,你在何时何地划分威胁搜寻和事件响应程序?在没有准备好直接进入事件响应之前不要去打猎。所以确保你的猎手知道你的事故应对计划(IRP)。如果你还没准备好应对突发事件,就不要开始威胁追捕。毕竟,威胁搜索最终可以主动发现安全事件。Q: 如果我们使用Cb Response这样的工具来自动识别大部分的ATT&CK相关技术,那么威胁搜索有何帮助?对我来说,威胁搜索不仅仅是从攻击者的角度看问题,还包括不断地监视环境中的异常行为。这些行为可能来自于对手,但通常情况下,它们来自于您的IT团队、业务流程、开发人员以及日常业务运营的其他正常部分。Endpoint只是收集和关联ATT&CK数据的一个地方,ATT&CK恰好提供了最丰富的覆盖范围。网络(DHCP/DNS、ARP表等)、入侵检测和预防系统(IDS/IPS)、代理、防火墙、netflow和其他IT和安全工具都是非常丰富的数据源,它们将帮助您描绘ATT&CK覆盖范围和可见性的整个图景。 根据大多数公认的定义,威胁狩猎区分了狩猎和响应警报。如果你有系统来自动检测和警告观察到的活动,这绝对是你的目标,寻找那些没有在这个监测范围内覆盖的东西。测试你的检测能力将帮助你决定是否有额外的狩猎/探测建筑,如何设置防御cc,你可以集中在一个给定的技术。关于权限提升,您认为哪些指标是值得关注的?例如,进程权限的远景、权限的更改、具有奇怪权限的奇怪进程、不同的会话等等。你从哪里开始?在检测权限升级方面没有什么灵丹妙药,但是确保您能够了解权限升级可能发生的途径是非常重要的。因此,一个关于端点和文件完整性监控(FIM)的EDR解决方案,在服务器系统上,您知道文件不应该更改(想想:webshell),超强cc防御,然后在您的端点之间关联用户帐户登录,是一个不错的选择。老实说,ATT&CK是一个很好的开始寻找这些行为类型的地方。我会从那里开始! 大多数特权升级是通过滥用错误配置来完成的。ATT&CK记录了一些最常见的错误配置问题(不明确的服务路径、预定的任务等),是开始制定计划的最佳场所。Q: 您是否应该学习在多个环境(如常规系统、虚拟机系统和服务器)中进行测试,尽管是在不影响生产的受限系统中?对。您需要验证您在网络的各种不同系统类型和区域中的可见性。我也认为在您的生产环境中进行无损检测是有价值的。您可以创建或执行一个测试,在不影响系统的情况下验证您的可见性。结合使用单元测试和功能测试。 在任何你想发现邪恶的地方进行测试,因为在实验室机器上进行真空测试只会让你走到这一步。通常,您会发现特定生产系统的控件可能被禁用或可见性缺失,如果没有实弹测试,您可能会错过这一点。Q: 你如何决定测试哪种技术?您是否建议从ATT&CK框架的早期阶段(初始访问)开始,从左到右逐步完成?测试应该与您的监视和检测优先级保持一致。我认为这类似于对漏洞进行分类:如果有折衷的话,首先看看哪些地方最有可能被破坏,影响最大。然后从那里开始按优先顺序排列。不要试图一次解决所有的问题,要有条理地、有优先次序地工作。这样,当你发现一个问题或差距时,ddos攻击防御apache,你就可以解决它并显示出渐进式的改进。 如果你刚开始的时候所有的选择都是一样的,我会看看Mandiant网络攻击的生命周期。您会注意到,平均而言,攻击者花费了不成比例的时间来提升权限级别、执行侦察、横向移动和建立持久性。这是一个很好的开始!Q: 你能提供一些好的资源或参考书来学习威胁狩猎吗?这里有一个博客、文章和书籍的集合,可以用来快速启动你的威胁搜索过程:https://www.threathunching.net/reading-list。还有(无耻的插头!)红金丝雀也有很好的资源选择redcanary.com/threat-打猎。请观看本次网络研讨会的录制,以及"ATT&CK威胁搜索"系列的第1部分和第2部分。