有没有接单做加工的网站,网站的内容规划怎么写,中国做的电脑系统下载网站,做网站需要几万块吗大家觉得有意义记得关注和点赞#xff01;#xff01;#xff01;
引言 在网络安全攻防演练里面#xff0c;用于分析攻击者动机和行为的#xff0c;国外的有基于攻击链分析的模型#xff08;如Cyber Kill Chain和ATTCK#xff09;和基于威胁行为的模型#xff08…大家觉得有意义记得关注和点赞
引言 在网络安全攻防演练里面用于分析攻击者动机和行为的国外的有基于攻击链分析的模型如Cyber Kill Chain和ATTCK和基于威胁行为的模型如Diamond Model of Intrusion Analysis和Pyramid of Pain等。也有各类PDRProtect防护、Detect检测、Respond响应变种。 我将常见的攻防使用通俗易懂的老祖宗智慧之三十六计进行匹配让大家更容易理解并给出针对性的防守方法。 当然在实际攻防对抗中远不止我所描述的这些比如多种大模型的检测/蜜罐/沙箱、/IDS/IPS/WAF/DDOS防护/威胁情报/主动防御等工具的组合使用.
攻防两大阵营分类
主要的攻击策略处于优势时所用之计处于劣势时所用之计胜战计敌战计攻战计混战计并战计败战计 瞒天过海 围魏救赵 借刀杀人 以逸待劳 趁火打劫 声东击西 无中生有 暗度陈仓 隔岸观火 笑里藏刀 李代桃僵 顺手牵羊 打草惊蛇 借尸还魂 调虎离山 欲擒故纵 抛砖引玉 擒贼擒王 釜底抽薪 混水摸鱼 金蝉脱壳 关门捉贼 远交近攻 假道伐毓 偷梁换柱 指桑骂槐 假痴不癫 上屋抽梯 树上开花 反客为主 美人计 空城计 反间计 苦肉计 连环计 走为上 左边可以认为是攻击队会采用的一些方法右边是防守方会被迫采取的做法。
一、攻击队计谋
瞒天过海
在攻防演练的时候我们一定会发现各类扫描增多各类设备告警也变多这是正常的。
因为攻击队为了得分会对你进行“Reconnaissance”。这其中有可能有些就是有意的行为。
有些攻击队为了掩盖他们的攻击行为会购买或自行对你的系统进行扫描让你淹没在海量的告警里而忽略了他们真正的攻击行为。
对付这类行为我们在攻防演练之前就应当对告警进行清零。
清零看似很难其实一点都不简单。我们只能做到一定程度的降噪。
前期就要对对正在扫描你的所有IP有一个极为清晰的认识分清哪些IP大概是什么在攻防演练期间再结合历史记录识别到是新增的还是已有的扫描类IP。
在攻防演练期间就只能寄希望于各类检测设备争取发现一些蛛丝马迹。
借刀杀人
由于网络攻击的特殊性攻击队我们最开始能看到的就是一串IP。
在攻防演练的时候为了演练比较可控组织者会分配给攻击队一些IP资源并且要求只从这些IP发起攻击。
循规蹈矩的人不会成为攻击者或者是很难成为很强的攻击者。
所以攻击队他很大概率不会直接使用这些IP导致“出师未捷身先死”。在外网他会先“借用”自己的其他IP或者团队的资源先对目标进行“Reconnaissance”等探测得差不多觉得有把握拿下了才会真正使用那些IP攻击——成功——截图——提交报告。
在内网里他会控制一些中了木马的客户端或者服务器发起攻击导致你的溯源都是溯源到错误的IP上。
笑里藏刀
在攻防演练里钓鱼是最没有技术含量但是性价比最高的。很多攻击队正面打不进去就会投机取巧开始钓鱼了。
钓鱼一般会给你一些甜头说你中奖了或者装成寻求帮助的弱者含着笑其实最终是要获取你的信息甚至全控你。
我们会说为了防止被钓鱼会开展网络安全意识培训开展反钓鱼邮件演练。但是其实这个意义不大。
不管你做多少次反钓鱼邮件演练在攻防演练中一定会有人会中招一旦中招一般都是被全控攻击队立刻进入单位内网。
反钓鱼邮件演练就像考试题目出得简单一点很多人都可以过出难点就很多人会中招了。
而且很多在特定的场景下再见多识广、谨小慎微的人都会中招。
所以对于钓鱼的防守就是不要防钓鱼要假定失陷。《BeyondCorp和高校的落地》。任何其他的防守策略都一定要以“攻击队一定会进入内网”为底线思维。
顺手牵羊
有些攻击队在攻击时会不经意“顺手牵羊”到其他不是原始目标的权限、数据这种一般发生在防守方异常弱的情况下。
进入这种防守单位仿佛进入了漏洞的金库到处都是得分点。
为了防止这种情况发生常规的安全套餐需要安排做一遍特别是“两高一弱”需要——
1 让自己人扫。在攻防演练之前请一些攻击队做一些扫描并且进行整改。
2 不让攻击队扫。这可以通过蜜罐或流量来发现攻击队的扫描行为并第一时间对发起扫描的IP进行隔离。
借尸还魂
有时候你的一台设备被全控经过你和伙伴的应急响应找到并删除了木马清理了环境高高兴兴又上线了但是后面发现攻击队还是从这台设备“借尸还魂”。
当然一个可能是你技术能力不足或者你漏洞没有修复或者你没有举一反三《网络安全里的苍蝇蟑螂和白蚁》或者你只是删除了上传的木马被人家再次利用。
还有一个可能是攻击队可能上传了十几个木马故意留下那个最简单的让你识别并且止步于此。
一台设备被全控他上面的所有信息变得不再可信即使日志也可以被伪造。
就像你在电影里看到的被俘虏过的人一样。即使全身而退不管他自己说有没有talk你一定要以他所知道的所有信息泄露为前提进行应对。
为了防止这种情况对于被攻击或被全控过的设备我们一定要重新安装操作系统重新部署应用程序代码重新下载数据库导出导入上载文件全查病毒比对备份文件。
擒贼擒王
“王”就是集权系统。比如云平台、集中式数据库平台、统一身份认证平台、堡垒机、源代码版本库管理系统、运维平台等等。
虽然擒王难度很高不过带来的收益也是巨大的。有些攻击队不屑于帮你找前面“顺手牵羊”的问题而是会对着集权系统发起挑战。
对于这种的防护最重要的是要梳理好这些“圣杯”资产对这些系统加强防护分级管理。
很多时候可能是你所不知道的某个二级单位的这类系统被攻陷。
金蝉脱壳
攻击队攻击完成后会删除日志清理痕迹。
对于这类防护需要做好日志保留日志应当传输到远程。
但是这个传输动作可能被暂停或者传输的内容被恶意篡改所以不可篡改的流量留存也是非常重要的。
偷梁换柱
有些攻击队不寻求直接破坏系统而是通过偷梁换柱等手段替换一些组件在系统内隐藏起来。这个有时候比较难防恶意行为和病毒很类似发作的那天就是它死亡的那天潜伏期3天7天15天越长隐蔽性越高越难以防范。
走为上
如果攻击队发现当前目标防守过于严密则会采取“走为上”的策略转头去攻击其他单位其他较弱的目标。在有限的时间里肯定是挑软柿子捏吃饱了没事干才会啃硬骨头。所以有时候只要你不是最弱的那个单位在攻防演练时也会取得不错的成绩。所以应对这个策略在防守时就要积极地去防守去封IP搞动作让攻击队意识到这个目标是有防守的。
二、防守方计谋
反客为主 如同我在 《业务系统不止要有安全中心还要有反制中心》 里谈到的在攻防演练或者日常检测预警中不要一直把自己处于被动挨打的状态。反制应当在规则下合法地进行。反制可以利用蜜罐类设备去控制攻击者的设备。也可以获得攻击者IP后尝试对IP进行嗅探。现在的攻击者有组织有依托公司的各类知识库有自己的平台、工具、武器库形成战斗群。攻击队会在云平台搭建自己的各类平台购买IP池用于伪装。但只要是平台也可能会有漏洞。不过反制听起来热血意义不大有这个时间和精力做点别的更好。
釜底抽薪
防守队对攻击队最“釜底抽薪”的动作只能是封IP了。封IP有时候意义不会很大除非你封到组织者给的IP地址否则攻击队很快就会更换IP地址。
欲擒故纵
正如“釜底抽薪”提到的封IP有时候意义不大你封了IP攻击队换了另外一个IP《网络安全里的苍蝇蟑螂和白蚁》你还需要再次去识别到新IP害人害己。
所以有时候如果你识别到攻击队的IP你可以不封他只是观察他的攻击行为如果他只是在探测尝试可以不用有什么动作避免“打草惊蛇”就当是免费的渗透测试。
一旦识别到风险立刻“釜底抽薪”封堵漏洞反向注入、反向攻击、小偷偷小偷等。
但是这种情况千万不要玩脱了只有你检测设备足够的情况下才能执行这个策略。
关门捉贼
一键断网把问题设备从互联网隔离开来。当然很多时候可能抓不到贼但是可以抓到贼留下的各类恶意木马、攻击手法、来源IP等等。
无中生有
这个主要是涉及到蜜罐的使用“无中生有”出很多资产出来。
我们前面“顺手牵羊”里做加固做暴露面收缩都是在做减法这里是开始做加法。
蜜罐的部署在于密集可参考我以前写的《攻防演练中的蜜罐不在于他有多蜜而在于他有多密》。
蜜罐默认为所有的访问信息都不合法所有经过蜜罐访问的记录都有清晰的记录这样可以记录攻击者的入侵过程和思路后续追踪和反向溯源等攻击留下痕迹。
美人计
通过网站或者链接有美女、或者诱导你去访问指定的网站、点击指定的反向给你的主机注入病毒导致你的电脑成为肉鸡、木马、勒索病毒等病毒的传播站平时没啥作用一旦远程激活之后很快就美女杀手的复制机构。
