墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

攻防演练中防护阵线构建的三件事

06-28 WEB安全

攻防演练中防护阵线构建的三件事

相信如今特别多团队,公司都开始为今年的攻防演练做预备,有钞票的买设备,买人,没钞票的没人的只好自个儿搭设备,如何都要有些东西才干跟领导交代。尤其是今年的行动又跟以往的有所区别,但无论如何样,自个儿硬才是的确硬。

FREEBUF里面对怎么自个儿硬也有了相当多的文稿,从战略意义上的,到战术意义上的;从行动派到口水派;从务实派到虚幻派。针对各种派别都有了属于自个儿的一套思路,一套打法,真正意义上的将大伙儿的防护水平提升了一大截。然而,道高一尺魔高一丈,各种新型的,花样的,实力的攻击想法层出不穷,还没开战,就基本隐隐约约地看到尘嚣甚上,关于防守方而言,压力真的不小,但讲来讲去,总结下来,攻击渠道就惟独三种,哪三种?一曰(yue):从外到内(E2I);二曰(yue):从内到外(I2E);三曰(yue):从内到内(I2I)。

首先是从外到内。这么作为一具优秀的MT,应该怎么肉抗呢?具体的想法就不展开细谈了,话题太大,浓缩后的精华我们简单的提一下,从外到内的谨防想法,即物抗和魔抗。何为物抗?即俗称的WAF,有硬件WAF和云WAF,只要有公网的要求,WAF是必须覆盖的,然而针对现有的各种攻击的手段,比如各种变形的SQL注入,反序列化等等,WAF基本显得有点有心无力,基本不能再保证强防护力度,于是魔抗的RASP也是需要启用的了,好在百度开源了OpenRASP,用插桩的方式能够特别轻松的植入网站从而能有能力检测攻击者最后来的渗透手段。(IPS/IDS就不再讲了,恐怕大伙儿都有)此外,针对弱口令,补丁,中间件漏洞举行及时整改,这么不讲固若金汤,起码攻击成本是被大大增加了。

接下来算是从内到外。从内到外,普通而言我们能够思量NTA,或者叫态势感知系统,但真的,态势感知系统比较贵,不是随随便便能够挤出来的预算,假如之前没有做好预算的话,想要暂时上态感会比较艰难,只能到时候找厂商借用了,借用的后果算是不可预测性,你都对那个系统不熟悉,没有调优,也没有预处理过(指清除目前态感发觉的告警,优化黑白名单),是没有办法顺顺利利地使用态感的,假如真的没有预算,又想进一步加强网络监控,这么使用免费的Moloch摩罗神https://www.freebuf.com/sectool/183984.html或者SecurityOnion 安全洋葱https://www.freebuf.com/sectool/84043.html就能够开启简单易用的NTA了。假如是采纳商业方案,斗象目前在做NTA的评估报告,有机遇能够参考一下,但有几个指标是建议达到一定标准的的,包括且不限于,CC防御,依靠AI检测算法在不依靠威胁情报的事情下对反弹外联,隧道传输能力的检测;兼容各威胁情报,包括免费的,商业的,对C&C地址,域名有快速检测的能力;能同WAF,IPS,下一代防火墙设备等举行一定程度的联动,包括隔离,封堵,重置包等的能力。此外算是安装位置,普通而言,假如有威胁情报(TI, Threat Intelligence)的支持,仅监控从南到北的数据流基本够用了,大企业中假如还想监控从西到东的数据流甚至全域流量,流量将是很之大,交换机口都不够用,也对服务器和探针的需求会有很夸张的要求,要靠企业的实力(钞票)硬扛,能部署的应该寥寥无几。在依赖南北向的监控中还有一点须得注意,威胁情报在攻防演练事件中的检测效率大大落低,请务必不要迷信,反倒在真实防护中能起到一定的作用。那个地点列出几个常用的威胁情报源,供大伙儿配置参考:

·

·

·https://isc.sans.edu/block.txt

·https://isc.sans.edu/api/threatlist/miner/?csv

·https://talosintelligence.com/documents/ip-blacklist

·https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

·https://rules.emergingthreats.net/blockrules/compromised-ips.txt

·?list=bt_spyware

·?list=tor

·?list=logmein

·?list=bt_proxy

最终算是从内到内了。内到内的防护也从三个方面来说,从内到内爱护中的第一点,相信大伙儿都有基础包,即防病毒软件,然而关于目前各种绕过手段,单一的防病毒工具并不能真正有效地识别并检测攻击工具,就以Mimikatz为例,Tide重剑无锋所提到的18种免杀姿势及谨防策略就基本令人望而生畏了,更别讲还有某些大佬自制的工具。连Kaspersky这位反病毒先锋也被轻易地斩在马下 ,于是,适当的搭配是必须的。讲实话,WindowsDefender的查杀能力依旧很不错的,关于大部分变形,变种均能识别,假如能启用DeviceGuard,CredentialGuard,Secure Boot,App locker,WindowsFirewall,UAC并配置AttackSurface Reduction Rule,回收计算机用户权限(重置Admin治理员密码),清理本地治理员组成员,限制用户权限最高不超过PowerUser,启用强密码策略,启用RestrictedAdmin模式的RDP登录爱护,启用受爱护的用户组,将域治理员等全部加入受爱护用户组,经过以上手段基本差不多能够将系统防护能力提升至MAX了。

内到内的爱护中的第二点,除了策略的加强,从内到内的防护,仅靠AV是确信不现实的,这么应声而起的新方案为AV+NGAV+EDR,即,防病毒系统+下一代反病毒系统+终端响应系统。国内的某些安全厂商将NGAV+EDR合并为EDR防护,也未尝不可,事实上质概念均为基于用户行为的高级防护。据讲某些企业基本开始放弃传统的AV系统,开始投奔NGAV+EDR防护,事实上这点会触及到一具异构的咨询题,我的个人建议是保留传统的AV系统,并配置部署EDR系统(含NGAV清除功能),缘由跟上面提到的态感产品一样,需要保留最大能力,最高效率的检测并对抗已知病毒的能力,否则光靠EDR系统动态识别能力是不够效率的,而大部分EDR系统并不具备本地或者文件静态识别能力,于是必须依赖AV的特征库识别来举行预查杀。(国内某厂除外,其采纳了二者结合,使用第三方AV库,能够举行静态查杀,然而,良心地说,专业的事依旧需要专业的人去做)。顺便讲一句国外某AV产品的续约,据讲基本有蛮多小伙伴基本下车了,缘由在于其大幅度的撤销国内的售后,客服的投入,但事实上那个产品依旧相当不错的,那个地点我就不多讲了,大伙儿都有自个儿的一杆秤。

内到内的爱护中的第二点基本明确标记为AV+EDR方案,EDR产品的挑选还是包括三条准则,第一,事件回溯能力,能清楚反映进程与进程之间的关系,进程与网络之间的关系;第二,AI模块和机器学习的能力,需要有效的识别新型威胁,并能落低误报率;第三,MITRE ATT&CK矩阵的检测能力,增加防护覆盖面。最终一点能够参考Bitdefender是怎么应对ATT&CK矩阵的,详情见:https://attackevals.mitre.org/APT29/results/bitdefender/或https://attackevals.mitre.org/APT29/results/bitdefender/allresults.html,高防ip,引用MITRE的官宣,不做评分、排名或评级。评估结果对公众开放,所以其他机构能够提供自个儿的分析和解读——MITRE不认可或验证这些结果。但无可厚非,ATT&CK矩阵真的涵盖了几乎所有目前已知的攻击大概的渠道,使用ATT&CK矩阵来验证攻击手段是很可行的。(尽管误报会比较多,需要有一定能力的调优以及数据分析人员)

内到内的爱护中的第三点即为构建一具可以快速检索的应急响应平台,态感即为NTA+SIEM的结合,于是有态感的需要好好调优策略,熟悉数据检索的想法。关于需要自个儿造轮子的童鞋,或者还没有自个儿的SIEM方案的童鞋,必须赶紧思量成熟的方案,假如依旧因为预算的原因,这么使用Elasticsearch+ Wazuh + TheHive + MISP构建开源安全应急响应平台也是很有价值的。具体文章能够参考:https://www.freebuf.com/articles/es/203538.html。使用上述方案还有一具好处,能够容纳NTA的事件,如此就能够经过ELK的大数据平台构建一套完整的态势感知+威胁情报+EDR平台方案,除了维护量略大以外,效果依旧棒棒的。至于有钞票的童鞋呢,能够采纳SPLUNK+ SYSMON方案,能更为效率地举行数据关联和分析处理,维护量远远小于ELK方案,但谁叫ELK方案是免费的呢?(硬件不免费)

最终,引用一张很有价值的图,作为防护向量的有效补充,原文在此:https://www.pathcom.com/security-tools-and-tips/我就不翻译了。

攻防演练中防护阵线构建的三件事

END

从外到内,依赖FW+WAF+RASP;内到内,依赖NGAV+EDR;从内到外,高防cdn,依赖NTA+TI。这算是攻防演练防护阵线构建的三件事,事实上也是关于安全工作的一具简单的总结,希翼本文能够给第一次参加攻防演练防护的兄弟提供一些关心,不至于两眼一抹黑而不懂从何做起。安全更多的是做起来看似特别简单,然而策略怎么可以推动,可以降地,才是需要认真考量和最花功夫的地点。

版权保护: 本文由 主页 原创,转载请保留链接: /web/183174.html


QQ客服

400-0797-119