来自 DDOS 2021-10-14 06:22 的文章

网站防御_网络安全防护系统_超高防御

网站防御_网络安全防护系统_超高防御

最近,我参加了安全世界波士顿会议,参加了一个由行业专家组成的关于APT(高级持续威胁)的小组讨论,关于APT的定义,请参阅Richard Bejtlich的文章"什么是APT,它想要什么?"。以下是我对这个话题的一些看法:是不是每个人都应该担心什么?–APT是一个新的流行语,但当然,只要有计算机网络,这种威胁就一直存在。这让我想起了克利福德·斯托尔的书《布谷鸟蛋》。我喜欢克里夫的比喻:在通信线路上"摇动"钥匙,足以干扰攻击者,但仍然给他们足够的权限来监视他们。解释APT如何工作(侦察、网络钓鱼、感染、过滤)?–侦察阶段是最难防御的阶段,也是攻击者最重要的阶段。预先发短信非常重要,但是很多信息都必须公开,而且很难发现有人在进行侦查。这可能会变成有针对性的网络钓鱼攻击,这种攻击越来越成功。无论我们如何努力,我们都不能教育我们的所有用户,并期望他们100%的攻击-我们必须依靠技术和培训来抵御这些攻击。不可避免地,人们进入我们的系统,我们需要有措施来检测对我们系统的未经授权的访问。认为你的组织永远不会有违规行为是冒昧的。APT针对哪些行业?–我相信所有的行业都会受到攻击,这取决于攻击者的动机。在这个行业里,动机是扼杀我们的因素之一,因为它们是如此巨大,ddos防御vps,有时似乎是随机的。这是将物理安全与信息安全分开的因素之一。如果你是在捍卫总统的安全,那么袭击者的动机是非常明确的,让总统活着就是你的目标。特勤局有严格而周密的安全程序,我相信我们可以从中学到很多东西。然而,我们的IT问题更为严重:攻击者可能是为了获取信息、金钱、您的互联网接入/带宽、您的合作伙伴或您的员工,原因从经济到政治各不相同。因此,对于受到攻击的不同行业来说,这是一个相当公平的竞争环境。国家地理杂志有一部关于特勤局的纪录片。他们提供了特勤局如何对总统将访问的每个地点进行侦察的信息,包括询问当地警方是否有制服丢失。在维护组织的It基础设施时,很难将这些策略付诸实施。不过,我认为很明显,我们需要更多地了解我们的攻击者,并对他们进行侦察,而不是让他们对我们进行侦察。什么数据最常被使用(这意味着在最有价值的数据周围添加更多的保护)?–取决于攻击者和行业。有时攻击者追求的是知识产权。例如,针对几家大公司的一系列攻击,最近的一次攻击包括RSA和证书颁发机构Comodo。在每一种情况下,攻击者都在寻找特定于该组织的东西,例如有关RSA SecurID令牌的信息,或根级CA证书的副本。其动机也可能是政治性的,攻击者将自己埋在系统中,试图破坏SCADA系统(例如Stuxnet)的通信或操作。与APT一起使用的最常见特洛伊木马程序是什么?–这是一个有趣的问题,我认为更有趣的一点是,恶意软件有多复杂。坏人使用的技术和我们使用的一样,只是他们是为了邪恶的目的而实现这些技术。攻击者正在使用加密、0天漏洞攻击、云计算和P2P网络技术来增加成功的机会并降低其操作开销。你还有一个地下经济正在增长,把最好的黑客的工作交给普通罪犯。所以,你不必成为世界上最好的黑客,你只需要有一些钱,网站怎么防御ddos,认识合适的人,你就可以得到一些最好的工具。我认为我们看到的最常见的恶意软件不是我们需要担心的,而是那些基本上没有被发现的一次性尝试。什么可以用于检测(系统日志、AV日志、IDS日志、Netflows、DNS、VPN日志、完整数据包捕获、文件系统分析)?-侦查是游戏的真正名称。再次,高防cdn有免费的吗,很难发现侦查和利用。我不是说你不应该尝试,但是攻击者有优势,主要是使用社会工程和漏洞利用,留下很少的痕迹,甚至不依赖软件漏洞(Java小程序、默认/弱密码等)。检测到系统的远程连接是至关重要的,ddos云防御平台,因为最终攻击者必须建立连接来控制系统或过滤数据。我非常喜欢日志分析和NetFlow数据,它们是折衷的重要指标。关键是要尽快检测到它,不要让一个受损的系统长时间(如数月或数年)留在您的网络中。可以做些什么(日志、跨企业的数据关联、将响应工作组合到一个中心位置、将数据保存更长时间)?–我认为最好的检测技术是监控进程行为的软件。例如,如果你能回答诸如"为什么资源管理器.exe"连接到中国服务器上的443端口"或"Internet Explorer为什么要读取所有NTLM哈希?"您通常可以在不依赖签名的情况下检测到攻击者的存在。你怎么知道你被APT感染了?–最好的情况是,您可以在日志中看到折衷并加以处理。最坏的情况是你的私人信件或是最坏的邮件。对于那些不太流利的"勒索信",ddos检测防御方法,上面写着:"我在你的网络上,请发很多钱。k THX再见"您应该维护这个网络数据多长时间(3个月,6个月,9个月,一年)?–有些法规遵从性要求将规定您应该存储特定类型的数据多长时间。撇开法规遵从性不谈,这完全取决于您,我不认为存储更多数据会增加成功检测攻击者的机会。一年是最好的,但这需要与你的商业目标和成本和人力时间目标相平衡。更重要的是,如果您不能或不愿意将数据关联起来并将其用于您的优势,那么拥有大量数据将毫无帮助。什么可以用于缓解(DNS/IP接收器孔、系统修复和重新映像)?–我是蜜罐技术的超级粉丝。我不是说建立一个系统,让人们闯入其中,然后看着他们。我喜欢将蜜罐模块化,并实现darknet空间监控、tarpits(网络和网络)、虚拟帐户等。这方面有很多工作要做(请参阅我即将在SOURCE Boston发表的演讲以获取更多信息)。当您发现APT(或您看到的公司被此恶意软件感染)时,您是否通知执法部门?–如果你认为你的妥协是一个更大计划的一部分,或者你已经遭受了可能导致刑事指控的损害,你应该通知执法部门。这里的关键是在妥协之前与你的法律部门和执法部门建立关系。Infraguard是一个很好的项目,可以让执法部门保持沟通渠道的畅通。您是否向所有员工推荐安全意识?如果有,您是否有任何示例/建议?–当然,最好的用户教育始于个人和实践培训。把这一点融入到你的文化中,让它在员工之间以积极的方式传播。你看到APT被某些国家使用还是在全球范围内被平等使用?——我也有同样的问题,其中一个最好的答案是由布莱恩·克雷布斯给我的。许多东方国家,罗马尼亚等,都有很好的基础设施来培训他们的人民从事高技术性的工作,但是没有这样的工作。因此,他们利用自己的技能从事邪恶活动,而不是从事报酬低得多的工作。供应商是否应该对他们生成的所有代码(包括JavaScript)进行加密签名,以便用户能够验证他们是否真的在运行他们认为正在运行的代码?–代码签名有帮助,但与许多加密形式一样,它只是解决方案的一部分。例如,在移动设备上,这有助于防止恶意代码运行,但是放置在系统上的rootkit可以绕过代码签名。相关文章马库斯·拉纳姆的反炒作