日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

三年前,青藤參加攻防實(shí)戰(zhàn)演練,也是我首次作為公司攻防實(shí)戰(zhàn)行動(dòng)的負(fù)責(zé)人深度參與到該行動(dòng)中來(lái)。三年來(lái),我去過(guò)數(shù)百個(gè)攻防實(shí)戰(zhàn)客戶現(xiàn)場(chǎng),既有安全建設(shè)水平非常高,甚至是武裝到“牙齒”的組織機(jī)構(gòu),當(dāng)然也接觸過(guò)安全人員和建設(shè)都處于比較初級(jí)階段的機(jī)構(gòu)。

從2016年到2020年攻防實(shí)戰(zhàn)行動(dòng)整體都發(fā)生了巨大變化,執(zhí)行力度逐年增強(qiáng)?？偟脕?lái)說(shuō),呈現(xiàn)出攻擊力度越來(lái)越強(qiáng),攻擊點(diǎn)的范圍越來(lái)越廣,防護(hù)難度越來(lái)越大的特點(diǎn)。可以預(yù)見(jiàn)的是,2021年即將到來(lái)攻防實(shí)戰(zhàn)行動(dòng),防守方將面臨巨大挑戰(zhàn)。那么,矛與盾的對(duì)抗,防守者真的一定處于弱勢(shì)地位嗎?如何用有限的資源去對(duì)抗無(wú)限的攻擊呢?

在時(shí)間緊、任務(wù)重的背景下,修建固若金湯的防線顯然是不太現(xiàn)實(shí)。那么企業(yè)除了基礎(chǔ)安全加固,包括弱密碼、管理后臺(tái)暴露、重要服務(wù)器未打補(bǔ)丁等之外,有沒(méi)有在短時(shí)間、低投入下可以少扣分,多加分的辦法?

方法顯然是有的。通過(guò)威脅狩獵,可以實(shí)現(xiàn)該目標(biāo)。威脅狩獵可以分為主動(dòng)狩獵和被動(dòng)狩獵。主動(dòng)狩獵始于“假設(shè)”,然后確定邊界范圍開(kāi)始狩獵。通常意義上威脅狩獵指的都是主動(dòng)狩獵,下文所說(shuō)的也是主動(dòng)狩獵。

威脅狩獵核心宗旨是減少發(fā)現(xiàn)攻擊者蹤跡所需時(shí)間,降低事件響應(yīng)時(shí)間,降低其對(duì)組織機(jī)構(gòu)影響。正如下圖所示,攻擊時(shí)間軸包括幾個(gè)關(guān)鍵時(shí)刻,威脅狩獵減少是T=1和T=2兩點(diǎn)之間時(shí)間差。

主動(dòng)狩獵是指通過(guò)主動(dòng)查找IT基礎(chǔ)設(shè)施中存在惡意活動(dòng),尤其是在攻擊者使用了新的、經(jīng)過(guò)改進(jìn)的或者未知的攻擊技術(shù),例如無(wú)文件攻擊等,可以發(fā)揮出比較高價(jià)值。

威脅狩獵是一個(gè)循環(huán)迭代的過(guò)程(如下圖所示),來(lái)尋找隱藏在數(shù)字資產(chǎn)中攻擊。威脅狩獵從“假設(shè)”開(kāi)始。例如:

“是否有一個(gè)攻擊者隱藏在這里”

“如果我是一個(gè)攻擊者,我會(huì)這樣做”

“核實(shí)一下攻擊者是否已經(jīng)在自己內(nèi)網(wǎng)站穩(wěn)了腳跟。”

一、定邊界:核心系統(tǒng)和集中管控系統(tǒng)需要“大”投入

正如上文所說(shuō),主動(dòng)狩獵一定是始于“假設(shè)”,因此需要先確定狩獵的邊界范圍。顯然,在攻防實(shí)戰(zhàn)期間,主動(dòng)狩獵并不適用于所有資產(chǎn),只能“抓大放小”。在資源有限的前提下,重點(diǎn)關(guān)注企業(yè)核心的“神經(jīng)中樞系統(tǒng)”,包括OA系統(tǒng)、郵件系統(tǒng)、工單系統(tǒng)、大數(shù)據(jù)系統(tǒng)、工控系統(tǒng)等。此外還需要重點(diǎn)關(guān)注集中管控系統(tǒng),其重要性不言而喻,一旦攻陷單系統(tǒng)即獲得公司內(nèi)大部分系統(tǒng)的權(quán)限,包括域控、堡壘機(jī)、云管平臺(tái)等。

此外,對(duì)于一些核心系統(tǒng)周邊的供應(yīng)鏈安全管理也不容忽視。一定要篩查和關(guān)閉為供應(yīng)商開(kāi)啟的VPN、遠(yuǎn)程接入通道、特權(quán)賬號(hào)等,清理重要系統(tǒng)開(kāi)發(fā)運(yùn)維人員個(gè)人終端上存儲(chǔ)的敏感資料。千里之堤,毀于蟻穴,如果因?yàn)楣?yīng)鏈安全基礎(chǔ)工作沒(méi)做好,而導(dǎo)致核心系統(tǒng)被拿下,那就得不償失了。

二、看指標(biāo):通過(guò)精準(zhǔn)化的威脅模型第一時(shí)間發(fā)現(xiàn)入侵

核心系統(tǒng)是重中之重的皇冠珍珠,如果一旦被攻破,結(jié)果輕則批評(píng)通報(bào),重則崗位不保。

針對(duì)關(guān)鍵資產(chǎn)(核心系統(tǒng)和集中管控系統(tǒng))保護(hù)常見(jiàn)的思路包括對(duì)系統(tǒng)本身采用白名單策略和對(duì)試圖想訪問(wèn)核心系統(tǒng)系統(tǒng)、核心管控系統(tǒng)進(jìn)行嚴(yán)控。例如,核心系統(tǒng)只允許堡壘機(jī)IP能夠訪問(wèn),盡早刪除不必賬戶,所有賬戶使用“強(qiáng)”口令登錄(十六位隨機(jī)密碼+隨機(jī)6位KEY)。

另外,以堡壘機(jī)為代表的集中管控系統(tǒng),則可以采用白名單IP+強(qiáng)密碼+令牌的登錄方式。對(duì)于其它一些重要神經(jīng)系統(tǒng),包括控制臺(tái),運(yùn)維系統(tǒng)等,可集中到堡壘機(jī)登錄。對(duì)于部分無(wú)法使用堡壘機(jī)登陸的系統(tǒng)可采用白名單IP+強(qiáng)口令策略+隨機(jī)驗(yàn)證碼組合策略。

在對(duì)核心系統(tǒng)實(shí)施白名單和嚴(yán)控策略之后,還需要通過(guò)狩獵工具,例如青藤獵鷹等,對(duì)核心系統(tǒng)機(jī)器每天的行為進(jìn)行持續(xù)監(jiān)控。通過(guò)主動(dòng)狩獵來(lái)保護(hù)核心資產(chǎn)最重要的一條準(zhǔn)則就是要關(guān)注微指標(biāo),包括進(jìn)程創(chuàng)建、網(wǎng)絡(luò)連接、命令執(zhí)行、DNS請(qǐng)求等。

例如,針對(duì)需要重點(diǎn)防護(hù)的資產(chǎn)和核心系統(tǒng),可通過(guò)對(duì)其訪問(wèn)關(guān)聯(lián)關(guān)系,建立威脅模型或者基線,以此對(duì)攻防實(shí)戰(zhàn)期間的資產(chǎn)異常變動(dòng)和訪問(wèn)進(jìn)行檢測(cè)。

總得來(lái)說(shuō),在實(shí)戰(zhàn)對(duì)抗中,攻擊方是占優(yōu)勢(shì)的。攻擊者一旦進(jìn)入內(nèi)網(wǎng),在內(nèi)網(wǎng)駐留時(shí)間越長(zhǎng),就對(duì)網(wǎng)絡(luò)越熟悉。攻擊方做一個(gè)動(dòng)作就被發(fā)現(xiàn),可以采取策略避免做這個(gè)動(dòng)作,就變成攻擊時(shí)間越久就對(duì)防守方的業(yè)務(wù)環(huán)境越熟悉。但是防守方原地踏步,因?yàn)榉朗胤綇念^到尾都在盯著告警。而很多情況是,攻防演練第二周之后告警就沒(méi)了,一切都靜悄悄的,安靜的讓人害怕。青藤威脅狩獵平臺(tái)提供給了防守方一個(gè)有力的“武器”,能夠在與黑客對(duì)抗中不斷地了解黑客。

比如,當(dāng)發(fā)現(xiàn)一臺(tái)機(jī)器被黑了的時(shí)候,可以調(diào)查這臺(tái)機(jī)器,發(fā)現(xiàn)黑客的手段和方法,再把這些手段和方法在更多機(jī)器上分析,就可能從1臺(tái)機(jī)器發(fā)現(xiàn)3臺(tái),3臺(tái)里繼續(xù)收集攻擊隊(duì)攻擊手法,有可能又發(fā)現(xiàn)20臺(tái)。如此循環(huán)滾動(dòng),像滾雪球一樣,只要被防守方逮到一個(gè)線索,它像一個(gè)線頭一樣不斷抽、不斷滾動(dòng),把攻擊方在內(nèi)網(wǎng)控制的機(jī)器以及內(nèi)網(wǎng)最初的切入點(diǎn)都給找出來(lái),這是青藤威脅狩獵平臺(tái)(THP)賦予防守方的能力,讓攻防開(kāi)始對(duì)等起來(lái)。

因此,威脅獵人不能只是簡(jiǎn)單地執(zhí)行有限的、不變的狩獵場(chǎng)景實(shí)例模型。否則,攻擊者只需要切換技術(shù)就可以逃過(guò)“雷達(dá)”監(jiān)控。相反,威脅獵人需要持續(xù)更新生成威脅模型,才能真正體現(xiàn)“人”的價(jià)值。當(dāng)然,威脅狩獵工具可以簡(jiǎn)化該過(guò)程。如果某些用例產(chǎn)生特別明顯的結(jié)果,則可以將其反饋到自動(dòng)化中,在將來(lái)以更高的優(yōu)先級(jí)向威脅獵人突出此類情況,或者只是在將來(lái)加快執(zhí)行速度。

三、場(chǎng)景案例:發(fā)現(xiàn)異常連接核心系統(tǒng)行為

在強(qiáng)攻防對(duì)抗場(chǎng)景下,幾乎沒(méi)有任何安全規(guī)則可以完全適配客戶場(chǎng)景。通過(guò)主動(dòng)威脅狩獵產(chǎn)品青藤獵鷹,可以在迅速根據(jù)客戶業(yè)務(wù)環(huán)境、數(shù)據(jù)和業(yè)務(wù)特點(diǎn),迅速形成威脅模型,使得告警少而精,價(jià)值非常高,這樣,威脅模型會(huì)完全匹配客戶場(chǎng)景。下面展示一個(gè)簡(jiǎn)單威脅建模場(chǎng)景:

在攻防對(duì)抗中,監(jiān)測(cè)到存在異常連接訪問(wèn)核心系統(tǒng)的行為。

狩獵階段-確定邊界:是否存在可疑IP連接核心系統(tǒng)。確定所需數(shù)據(jù)源、所采用分析技術(shù)。

狩獵階段-狩獵執(zhí)行:通過(guò)一定工具,進(jìn)行威脅狩獵活動(dòng)。因?yàn)樵L問(wèn)核心系統(tǒng)服務(wù)器的連接行為是相對(duì)穩(wěn)定,因此只需要將訪問(wèn)連接的增量IP單獨(dú)篩選出來(lái)做一個(gè)人工判斷,基于新增IP方向看對(duì)應(yīng)進(jìn)程。

完成階段-文檔化結(jié)果:將狩獵結(jié)果文檔化,反哺威脅情報(bào),重點(diǎn)監(jiān)控這些可疑IP,或者直接采取相關(guān)阻斷行為。