来自 CC防护 2021-02-20 16:02 的文章

防流量攻击_未备案_福建纸牌防御

防流量攻击_未备案_福建纸牌防御

"从根本上说,如果有人想进去,他们就要进去…。我们告诉客户的是,‘第一,你在打架,不管你是否认为你是。第二,你几乎肯定被人打透了。第三,请记住:还有其他的防线,你可以而且应该依靠这些防线来最大限度地减少伤害。"——美国中央情报局和国家安全局前局长迈克尔·海登(正如对CBS新闻所说)我们在谈论网络安全时经常使用战争类比。这是一个很好的模型,它能够很好地表达组织在考虑保护环境时需要采取的景观和姿态。正如迈克尔·海登在上面的引述中所说,无论你是否想成为,你都在战斗。您无法选择攻击者可能出现的时间和地点。但是你当然可以选择如何准备和训练来迎接这场战斗。那么,在资源有限、显然没有约束的威胁的环境中,我们如何改进防御?在这篇文章中,我将分享一些关于什么是威胁地形,如何评估风险和发现防御漏洞的想法,并就准备工作提出一些可采取行动的建议。在高级别上,以下是帮助您的组织准备迎接现代威胁的三个实际步骤。为了更深入地潜水,看看最近我和基思·麦卡蒙和弗兰克·麦克莱恩的网络研讨会。1: 评估您的控制。Mitre ATT&CK框架(Mitre Corporation的商标)为确定需要防御的攻击组织提供了一个极好的起点。这个框架的优点是它还包括了实际的攻击细节和参考源,在这里您可以了解更多关于攻击的信息。我可以模拟一些特定的例子,比如攻击者绕过用户帐户控制或劫持DLL搜索顺序,而不是模糊地思考如何防止、检测和响应权限升级。让我们来看看一个示例攻击。在我们评估它时,考虑一下您的组织如何准备好应对这种攻击。示例攻击:开发后在本例中,攻击者利用两个内置实用程序来控制端点。上图中所看到的是一个红色金丝雀分析师调查的样本检测,然后通知我们的客户。此攻击不是针对在系统上执行的新二进制文件或可执行文件;而是攻击者使用本机操作系统工具来扩展其在环境中的影响和控制。这项活动是我们认为的后剥削。使用类似米特的ATT&CK矩阵这样的框架的好处是它帮助您评估您的安全性,而不是每个阶段的安全性。这些阶段如下所示。此攻击具有来自米特ATT&CK矩阵的两种攻击者技术,特别是Regsvr32.exe和PowerShell,可在此端点上远程执行命令。您可以在MitreAtt&CK矩阵中找到这些示例,它们是Regsvr32.exe和PowerShell。来源:https://attack.mitre.org/wiki/Introduction\u和\u概述评估现有控件时,请询问以下问题:我们现有的工具是否会检测到这一点?收集了哪些数据来帮助我们进行调查?如果我们发现了这个,我们会如何应对?我们如何找到可能已被破坏的其他端点?2: 了解您的能力。您的组织的能力将是人员、流程和技术的混合体。使用我们上面概述的米特ATT&CK框架,您可以开始优先考虑相关威胁,并调整资源。需要记住的一些事情和问题:你的队伍有多大?他们的优势是什么?您是否在关键领域有覆盖范围,cc防御设,ddos防御方式,如:分析事件响应通过了解团队的才能和能力,你可以开始与他们进行匹配以增强防御。我们经常谈论一个最低可行的收集水平。您需要开始思考如何获得您需要的可见性,以开始了解您的环境中发生了什么。最低可行的采集水平是网络遥测和端点遥测的混合。每个组织都是独一无二的,没有合适的可见性组合,显然收集所有的东西是最好的方法。但这对四人安全队来说不管用。每个组织都需要平衡在环境中的可见性和洞察力与响应能力之间的平衡。3: 部署改进。我们通过确定两个现实来开始这篇博客文章:(1)你在战斗中;(2)你可能在某个地方妥协。在您检查这些攻击模式时,有一件事是肯定的:预防系统最终会失败。事情被错误地认为,关闭,破碎,cc攻击后怎么防御,或只是简单的错过。我们建议你不断地反馈,从你的成功和错误中吸取教训。最好的开始是进行小型的、可重复的攻击测试。使用这些工具来识别差距,改进和分析哪些工作与不工作。随着战术和技术的不断变化,有些人很容易认为没有希望获胜。我们的策略变成了"我希望不会发生在我们身上……"记住前面的话:"请记住:有其他防御线,你可以而且应该依赖于它来最小化伤害。"这些防线是什么,为什么重要?我们相信一个组织的攻击应该成为每个人的防御。我们需要学习和分享攻击和检测模式。一个强大的跨行业团队帮助您提供您可能要寻找的覆盖范围,免费ddos防御墙,以填补您确定的差距。红金丝雀在找到你当前控制不到的东西上是非常有效的。我们继续与客户站在一起,帮助他们准备好环境,使其在面对现代威胁时更具抵抗力和弹性。希望你能找到这个帮助。请提供您需要的反馈,或让我们知道我们如何帮助。作为一名威胁研究者,ddos能防御吗,我总是有兴趣听到组织看到的新威胁和新的检测方法。你发现什么防线有效?你在报道中看到了哪些差距?你可以通过电子邮件发送给我们research@redcanari.com继续对话。要想了解凯西·史密斯和其他金丝雀红色安全领导的更多信息,请观看点播网络研讨会:你和什么军队?精益安全团队如何抵御不断演变的威胁