网站建设中gif,成都私人网站建设,做app的网站有哪些功能,网站开发用什么写前言
红队和蓝队的兄弟们都辛苦了#xff0c;趁夜深人静的时候写了一点东西#xff0c;算是一点心得与体会#xff0c;谈谈安全对抗的本质#xff0c;仅供大家参考。 今年的活动#xff0c;笔者和去年一样#xff0c;镇守公司#xff0c;运筹帷幄之中#xff0c;决胜千…前言
红队和蓝队的兄弟们都辛苦了趁夜深人静的时候写了一点东西算是一点心得与体会谈谈安全对抗的本质仅供大家参考。 今年的活动笔者和去年一样镇守公司运筹帷幄之中决胜千里之外记得去年笔者写过一篇文章《攻防演练后的一点随记》里面有段内容如下 今年笔者团队的工作与去年基本一致主要处理各个兄弟团队和各渠道提交过来的样本以及一些应急响应分析溯源的工作笔者团队需要对样本进行快速的分析输出分析报告因为样本太过集中量也会比较大不可能每个样本都人工分析那样效率太低太浪费资源和时间成本了笔者已经预测今年的样本肯定比去年更多而且技术手段会更高我们需要留出时间和精力去应对那些高极复杂对抗型的样本普通样本我们需要自动化处理帮我们节省时间。 为了提升团队的整体分析效率也基于上面的需求点笔者团队从去年就开始进行自研沙箱的开发与研究工作主要工作就是基于开源沙箱进行二次的开发再增加一些样本反调试反沙箱以及样本威胁情报提取关联等功能同时在原有沙箱的基础之上增加了样本定制化分析报告的快速产出能力通过攻防演练实战很好的验证沙箱自动化分析和产出能力团队的分析效率获得了客户以及兄弟团队的大力认可对于一些对抗型沙箱解决不了的样本再去人工详细分析整体而言今年团队的整体分析效率以及应急响应的能力又进步了不少人力成本大幅度降低沙箱能力也在平时不断分析样本的过程中相比去年年初搭建起来的时候也提升了不少一些无法使用沙箱分析的样本在经过专业的分析人员人工分析之后能迅速将分析能力赋能到咱们自研沙箱上面可以极大的提升了沙箱的自动化分析能力。 沙箱是安全分析团队最重要的工具之一同时安全分析能力也是一家专业安全公司最核心能力之一分析能力是解决问题的关键沙箱能快速生产样本威胁情报能自动化关联提升团队的安全分析效率使大部分简单的样本能迅速通过沙箱输出威胁情报以及分析报告提供给需要的客户可以满足一部分客户的基本需求对于一些沙箱跑不出来的高端样本需要安全分析人员对样本进行分析找到具体原因再将相应的分析能力赋能给沙箱不断提升沙箱的能力但是也并不是所有的样本沙箱都能解决对于一些高端复杂攻击活动的样本基本只能通过安全分析人员人工进行详细分析再产出报告这类分析报告也是成本最高的同时也是价值最高的可能并不是每个客户都需要只针对有高端需求的客户进行输出经过笔者团队人员对沙箱的持续改进和运营大部分普通样本都可以通过沙箱快速输出相关的威胁情报以及分析报告从拿到样本到输出报告只要几分钟的时候不到还可以制定化报告的相关内容通过沙箱的自动化输出及时有效的反馈给客户获取客户的认可同时也减少专业安全分析人员的工作量在真实的黑客攻击活动当中专业的安全分析人员需要给客户提供样本的更详细分析报告里面包含样本的攻击技术、免杀技术、感染传播技术、漏洞详情、样本家族及黑客组织关联信息等同时还需要提供样本的清除、检测、防御解决方案等这就需要专业的安全分析人员进行详细分析了。 沙箱不是什么高深莫测的东西更不是什么新鲜的玩意都十几年前的东西了记得笔者十几年前在某杀毒安全公司工作的时候就已经有专门的团队在研发沙箱然而几年之后就没有专业的人去维护了逐渐也就消失了国外很多专业的安全公司都有自己的沙箱这些沙箱有些可能已经持续运营了十几年了其中比较有名的沙箱JOE、Intezer、Hybrid-Analysis等还有最近几年发展速度非常快的Any.Run沙箱国内也有一些安全公司在研发自己的沙箱虽然任何安全公司和安全分析团队都可以搭建自己的分析沙箱然而目前国内能做好沙箱的公司和团队并不多主要的原因就是因为没有专业的安全分析人员去分析改进也没有真正懂安全的人去持续运营搭建一个沙箱很容易然而能持续运营好又是一回事了就跟现在安全行业出现的各种各样的概念、平台和框架一样这些新概念说起来很容易平台和框架要搭起来也很容易了难的是怎么样持续赋能给这些平台和框架并让这些平台和框架能帮助客户解决实际问题很多团队做不成其中一个主要的原因就是对安全的认知和理解不够深又不愿去花时间去深入学习和研究没有透过表层现象去研究事物的本质仅仅停留在很表层的东西上面没有去深入理解安全的核心到底是什么。 很多人可能不明白为啥一些专业的安全公司都要做自己的沙箱就想知道要做沙箱也不明白该如何去做好沙箱不理解做好沙箱的关键因素又是什么其实这些说白了就是对安全的认知水平还不够就像现在很多人都会说安全的未来可能是做服务但又有多少人真正懂应该如何做或者做好服务呢企业最需要的安全服务又究竟是什么呢不太懂安全的人可能会去天天追着问客户你需要什么我做什么才能满足你其实真正理解安全的人不会天天去追问客户它会主动去帮助客户发现安全问题帮助他们解决可能遇到的或者已经发生的安全问题这就像以前扁鹊见蔡桓公只要一见面就知道问题所在了安全厂商一定比客户对安全的理解更深走在客户的前面做安全真正要研究的是每天全球发现的各种安全问题要从这些安全问题中去找解决方案去找答案这些答案正是客户需要的而不是你整天去追问客户想要什么安全厂商要做的是能解决各种各样的安全问题然后客户有需求了自然就会过来找你买产品买服务了。 笔者团队的自动化分析沙箱也才开始运营一年多的时间深知未来的路还很长真正想做好安全分析要学的东西还有很多也并不仅仅只是做沙箱就像笔者之前说的沙箱并不能解决所有问题专业的安全分析能力是必不可少的这和沙箱一样都需要长时间的积累通过不断的分析和研究才能对安全理解更深认知水平也会提升这是一个长期的过程做安全绝对不是短期搞几个什么大新闻做做宣传忽悠一下就可以的是需要长期坚持才能做好的未来你的客户会越来越懂安全对安全的需求也会越来越高遇到的安全事件会更复杂你需要比客户更懂安全更踏实更靠谱客户才会相信你做生意其实跟做人一样信任永远是基础安全之路路漫漫其修远兮 吾将上下而求索。 很多事情并不一定都是非常高深莫测不是造原子弹导弹等高精尖科技更多的是看你能不能坚持去把它做的更好做到与时俱进不断学习自我成长这才是最重要的。笔者的团队并不是在做什么高深莫测的东西也没啥高上大可言不会去吹嘘各种什么新名词新概念沙箱就是十几年前的东西我们其实做的都是一些很基础性的安全分析研究工作安全分析能力是团队的核心能力在我看来其实不管做什么事只要是正确的事就一定要坚持到底可能坚持才是最重要的其它东西并不重要很多事情之所以没有做成很大的一部分原因可能就是没有坚持去做正确的事总是被表象或者眼前的一点点利益蒙蔽了双眼这里搞搞那里搞搞最后才发现到头来一场空因为只有坚持才能做到厚积薄发只有坚持才能比别人走到更远只有坚持才能比别人对某个方向的理解更深认知也会更高这种坚持可能需要十几年几十年坚持才会有一点点积累人生起起浮浮能专心做好一件事就已经很不错了做安全更是如此安全就是一条“不归路”没有终点永远都在攻防对抗的路上就看你能走多远了。 演练 此处删除两千字......送大家一张图本图片相关内容娱乐为主纯属虚构如有雷同纯属巧合自行体会因为每个人对安全的认知和理解程度不同体会也会不同我们更多的是要学会透过一些表层的现象去看事物的本质攻防演练常态化。 对抗
目前全球每天发生的各种真实安全攻击事件主要还是通过钓鱼社工以及一些0day/1day/Nday等漏洞作为攻击的入口点再通过各种恶意软件或黑客工具进行更深入的攻击活动威胁情报的准确性及时性以及终端安全对抗能力的强弱在真实的安全攻击事件当中就显得尤为重要了安全厂商能不能通过自己的产品捕获到各种最新的安全攻击事件并及时通知客户进行安全防御各种终端安全产品能不能防住已经被黑客突破的边界防御体系在终端上帮助客户守住安全的最后防线成为了安全的核心。 有时候我常常会想客户为啥会中招也有很多朋友不理解安全的核心为啥是对抗当安全厂商的产品遇到一个未知的C2地址的时候到底是拦还是不拦一般情况下只有当这个C2地址匹配到厂商的威胁情报库才会被标黑如果这个C2地址不在厂商的威胁情报库没有及时拦截的话很有可能会从这个C2上下载安装了恶意软件或者通过这个C2执行了某个漏洞这个时候就只能靠终端安全产品来拦截可疑的操作和行为了网络解决不了的问题也只能交给终端解决了然而大部分的恶意软件都使用了免杀技术终端安全产品可能并不能第一时间识别出这个样本是不是恶意的所以就需要基于样本的行为做进一步的分析和预判这就需要有一些常用的恶意样本规则来判断哪些行为可能是恶意的才能第一时间拦截和识别可疑样本再基于可疑的样本行为来标记这个样本可能是恶意样本如果产品最终还不能完全确定的情况下还得由人工进行二次确认和分析。 上面所说的C2威胁情报库以及恶意样本行为规则又从哪里来呢其实就是从样本中提取出来的没有样本就没有这些精确的C2威胁情报信息和行为检测规则而这些样本又是从哪里来的呢在真实的安全攻击事件中这些恶意样本不就是黑客组织开发的吗黑客组织不断开发和研究各种免杀的恶意软件家族样本及最新变种以逃避安全厂商终端安全的检测再通过这些样本对受害者进行攻击行为安全厂商通过不断捕获这些可疑样本再由专业的安全分析人员进行详细分析提取样本里面的威胁情报和规则行为赋能给安全产品不断提升自身的安全产品能力以及威胁情报库数据再去发现更多可疑的恶意软件家族最新攻击样本是一个持续积累的过程。 针对恶意样本的攻防对抗已经讲了下面我也来说说漏洞层面很多人会问那我又怎么防0day/1day/Nday呢很多人一提到漏洞就觉得好像很厉害的感觉首先我们要弄清漏洞产出的原理是什么利用过程又是什么黑客能利用这些漏洞做什么是RCE远程加载执行还是提权还是其他什么目的只有弄清了漏洞的原理我们才能做相应的检测和防御其实跟我上面提到的检测最新的恶意样本一样没啥区别我们想一下漏洞是怎么发现的也就明白漏洞需要怎么防御了孙子兵法知已知彼百战不殆有人问我为啥你每天都要不断的去研究各种恶意软件技术以及最新的恶意软件家族样本我来告诉你只有你不断的去研究各种新型的恶意软件通过这些最新的恶意软件去了解黑客使用了什么最新的攻击和免杀技术理解这些样本的底层原理才能提升自己的安全分析能力并将这些样本使用的安全技术转化为产品的检测防御能力同样产品检测防御各种0day/1day/Nday漏洞的原理也是一样的只有去研究这些漏洞产生的原理漏洞触发执行过程漏洞利用的目的才能不断的提升防御0day/1day/Nday漏洞的能力这也是一个持续积累的过程。 上面从恶意软件和漏洞两个层面讲了安全对抗的本质其实恶意软件和漏洞一样你永远不知道黑客的会使用的下一个0day漏洞会在哪里你也永远不知道下一个新型免杀恶意软件家族会被用于怎样的攻击活动当中我们能做的就是不断的去研究最新的恶意软件攻击技术与漏洞技术通过研究这些恶意软件和漏洞技术不断的提升和弥补我们的安全检测和防御能力就有可能会拦截到一些异常点这些异常点可能就是某个新型的恶意软件或者有可能是某个0day漏洞这类的然后再由安全研究人员进行更深入的分析和调查这就是以攻促防了站在黑客攻击的角度去促进产品的安全能力走在黑客前面。 防守方就是只会封IP但是大家又有没有想这些IP从哪里来的呢是怎么判断这些IP存在攻击行为的呢又是如何发现各种0day/1day/Nday漏洞的呢这背后其实是做了很多安全能力积累的这些积累就是我上面所说的专业的安全分析人员不断的去分析和研究各种安全事件的样本和漏洞通过样本和漏洞提取出威胁情报和检测以及防御方法再赋能给产品不断提升产品的安全检测能力会就在真实的攻击过程中产出各种威胁情报信息给客户封IP仅仅是一种表层的现象本质是产品的防御能力产品的防御能力其实是平时不断建立起来的。 很多事情说起来都很容易做起来难能坚持不懈的持续做下去可能就更难安全是一个持续的过程没有哪个安全厂商会广告宣传自己的什么产品就能抵御未来所有的黑客攻击现在的客户已经不像以前那么好忽悠了安全认知在提升客户不看广告只看疗效安全问题仍然会一直存在要做到攻防演练的“常态化”。 全球所有安全攻击事件的背后其实都是人安全对抗也就是人与人的对抗各种新型的恶意软件是人开发的各种0day/1day/Nday漏洞是人挖掘的所有攻击活动背后的组织者也都是人黑客组织在不断的研究新的攻击手法开发新的免杀攻击家族样本各种攻击平台和武器挖掘各种各样的最新的0day利用漏洞安全研究人员也需要不断的去研究各种新型的恶意软件攻击技术新型的免杀利用技术研究各种系统、软件平台组件中可能产生漏洞利用点对系统中的可疑进程、网络、内存以及可能产生漏洞的攻击点进行安全检测和防御还需要不断的提升自身的安全能力提升安全应急响应的速度只有比黑客跑的更快也许才可能在最短最快的时间内检测和防御各种新型的恶意软件和0day/1day/Nday漏洞攻击吧。 总结
好了不知不觉已经写了快七千字了就暂时先聊到这里吧通过攻防演练提升对安全的认知水平理解安全对抗的核心本质是什么以攻助防提高安全意识加强政府以及企业安全防范措施也许才是攻防演练真正的价值本篇内容比较多不谈攻防演练只谈安全对抗的本质里面有些内容可能需要读者朋友们慢慢去阅读理解有些内容可能需要你参与到真实的安全攻击事件的应急响应和分析溯源的过程中才能体会还有一些内容如果你没有去深入的分析和研究样本、漏洞通过分析溯源弄清楚黑客组织的整个攻击过程以及攻击技术底层原理光看我讲这些东西也很难真正理解明白也很难提升自己的安全认知水平。 就像笔者最开始说的为什么很多专业的安全公司都做沙箱做沙箱的真正作用是什么其实很多人是不太明白的这就是安全认知水平的问题需要花很多时间和精力去深入研究才能提升的安全分析能力是一家专业安全公司安全团队最核心的能力之一同时也是各位安全研究人员最核心的能力不管你是做恶意样本或者是漏洞方面的研究还是做其他安全研究工作安全分析都是必不可少的技能企业遇到的一些比较复杂的安全问题如果你不去深入分析和研究其实是根本解决不了的甚至你可能都不知道发生了啥只有去深入的分析和研究安全攻击事件中涉及到的各种样本和漏洞才有可能找到解决方法才能摸清整个黑客攻击的流程使用了哪些攻击方式和攻击技术这才是安全对抗和安全攻防技术这才是更深层次的较量全球的安全攻击事件最核心的也就两样东西一个样本一个漏洞至于其他各种威胁情报信息也都是基于这两样东西关联产生的如果没有这两样大多数的威胁情报信息其实是没啥用的或者是不准确没啥依据的黑客组织主要利用的就是样本和漏洞再加上一些攻击手法安全厂商主要需要解决的也是样本和漏洞安全厂商应急响应和分析溯源能力以及自身产品的安全能力都需要基于这两样东西来提升能力。 笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本跟踪国内外报道的各种安全事件中涉及到的攻击样本等通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等同时还可以推判出他们大概准备做什么发起哪些攻击活动以及客户可能会受到什么危害等通过研究全球的黑客组织以及攻击活动做到知已知彼各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者感谢给笔者提供样本的朋友们 做安全不忘初心与时俱进方得始终
