来自 CC防护 2021-02-20 15:01 的文章

防御cc_能不能防住_游戏网站被攻击

防御cc_能不能防住_游戏网站被攻击

万圣节是我一年中最喜欢的时候。如果你想想最恐怖的电影,最让我们害怕的是什么?我认为可怕的东西,真正可怕的东西,是我们看不见的东西。从流行的(和令人敬畏的)显示奇怪的东西到经典的超自然活动,捕食者,外星人,我们看不到的邪恶往往是最可怕的。那么,那些在你的网络中看不见的东西呢?什么东西潜伏在你害怕的阴影里,却无法证实?你不能和你看不见的东西战斗,这就是为什么提高能见度对防守队员至关重要。如何揭露威胁当我在一家银行担任红队队长时,我们每年都要进行一次"万圣节大破坏"演习,以测试我们防御措施的有效性。这些无限制的、客观驱动的测试对于识别我们的可视性和检测方面的差距是非常有用的。虽然我们可以使用PowerShell,但我们决定去做一些以前从未见过的东西。这使我们发现并使用了一种利用InstallUtil.exe. 由于之前从未见过这种情况,华为云ddos防御上限,防御者不得不调整可见性和分析来发现活动。对于一个组织来说,有很多方法可以提高知名度并开始让这些"怪物"曝光。我们的CSO,Keith McCammon,长期以来一直是一个概念的倡导者,他称之为"最小可行集合"。它基于最小可行产品的开发技术,即发布一个新产品时,ddos在线攻击如何防御,只需提供足够的特性来驱动反馈,以指导正在进行的开发。同样,组织可以开始收集关于其环境的足够信息,以推动未来的检测工作。要做到这一点,被ddos怎么防御,组织需要确定他们收集和分析端点和网络遥测的能力。从哪里开始我建议从三个方面入手,以获得最低水平的可行收集:Sysmon–Windows端点集合DNS日志记录环境的基线和清单为什么是这些?采集能力低成本、高信号。如果你在这些领域有收集和分析,你将有可能揭露你舰队中的敌方活动。以下是每个领域的一些资源,可以帮助您开始。1: Sysmon–Windows端点集合Sysmon易于部署,可以配置为收集特定进程或端点上发生的一切。任何一个选项都提供足够的数据,完全防御ddos,苹果6可以防御多少ddos,以便在端点上执行最小可行的收集以进行检测。我的同事michaelhaag有一个惊人的Github存储库,介绍如何使用各种工具收集和分析Sysmon。如果你有Splunk,还有一个用于Sysmon的技术附加组件和Splunk应用程序。Splunk App for Sysmon是另一种帮助组织获得可见性和快速决策端点行为的方法。如果Splunk不是您的专长,请查看ELK或Graylog;它们都在sysmondfir存储库中。2: DNS日志记录如果您使用的是Microsoft DNS服务器,您可以打开它并获得巨大的洞察力。例如,我们的端点正在搜索的所有这些NX域(不存在的域)是什么?您还可以深入了解您的组织可能正在联系的恶意域。有关配置和启用这种类型的DNS日志记录,以及如何使用Windows事件转发来帮助进行入侵检测,请参阅这篇Microsoft Technet文章。DNS日志只是收集和转发的一个方面,但它是一个很好的起点。另一个很好的资源是Phil Hagen写的文章:被动DNS监控-为什么它对你的IR团队很重要。三。基线和清点您的环境我们以前都听过这样的话……"只需建立一个基线。"这个油嘴滑舌的建议往往一点帮助都没有。如何建立基线?你从哪里开始?你如何测量偏离基线的偏差?这些都是有效的问题。我们的团队编写了一个名为Surveyor的免费工具,为安全团队提供了一种切实可行的方法来遵循"构建基线"的模糊建议。它与炭黑的端点遥测结合使用,它可以为您的组织提供一些对您网络上的内容的最佳洞察。我鼓励你阅读这篇文章以获得更多的细节和指导:如何在几分钟内用炭黑反应+测量员来确定一个环境的基线和清单主要收获我们从三个方面来提高你的知名度。把这些当作你的"夜视"护目镜,看你平时看不见的东西。一旦发现了什么,就可以对其进行研究和分析。也许一旦你发现了你人际网络中黑暗的地方,事情就不会那么可怕了。