<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          萬字長文:盤點2022全球10大數(shù)據(jù)泄漏事件(紅藍攻防角度)
          共
                8278字,需瀏覽
                    17分鐘
                
           ·
          2022-07-12 22:47
          
            
          導讀:全球每年都會有大量的爆炸性的數(shù)據(jù)泄漏事件發(fā)生,但是今年的數(shù)據(jù)泄漏事件特別多,此起彼伏,而且數(shù)據(jù)泄漏的規(guī)模和造成的破壞性影響,一次比一次大。

          根據(jù)Identify Theft Research Center中心的數(shù)據(jù)顯示,與2021年同期相比,今年的數(shù)據(jù)泄漏事件增長了14%,公用事業(yè)企業(yè)、醫(yī)療機構(gòu)、金融服務公司、制造企業(yè)是黑客的首要攻擊目標。

          作者:紅藍攻防
          來源:大數(shù)據(jù)DT(ID:hzdashuju)



          本文主要講解3個方面的內(nèi)容:

          1. 簡單梳理2022年上半年全球最大的10起數(shù)據(jù)泄漏事件;
          2. 從紅藍攻防的角度去分析這些數(shù)據(jù)泄漏事件背后的原因;
          3. 從紅藍攻防的角度為企業(yè)如何保護好自己的數(shù)據(jù)給出幾點建議。


          01 2022年全球10大數(shù)據(jù)泄漏事件

          根據(jù)國內(nèi)知名媒體ZDNet的報道,今年全球發(fā)生了如下10起數(shù)據(jù)泄漏事件,根據(jù)數(shù)據(jù)泄漏規(guī)模和影響力倒序排列:

          NO.10 美國德克薩斯州圣安東尼奧醫(yī)療中心

          • 受影響的人數(shù):124萬

          6月下旬,位于美國得克薩斯州圣安東尼奧的Baptist Medical Center醫(yī)療中心和德克薩斯州新布朗費爾斯的Resolute Health Hospital附屬醫(yī)院發(fā)生了重大的數(shù)據(jù)泄漏事件,該事件是美國衛(wèi)生與公眾服務部最近追蹤到的、規(guī)模最大的數(shù)據(jù)泄漏事件之一,其中涉及到未經(jīng)授權(quán)訪問高度敏感的患者數(shù)據(jù)。

          NO.9 美國旗星銀行

          • 受影響的人數(shù):154萬

          今年6月,位于密歇根州特洛伊的美國星旗銀行稱在去年底發(fā)生了一次重大數(shù)據(jù)泄漏事件,客戶數(shù)據(jù)被泄漏,這是該銀行發(fā)生的第二次數(shù)據(jù)泄漏事件。

          NO.8 美國得克薩斯州保險部

          • 受影響的人數(shù):180萬

          今年3月,美國德克薩斯州保險部的數(shù)據(jù)被泄漏,泄漏的敏感數(shù)據(jù)包括社保號碼、出生日期等個人信息。

          NO.7 希爾茲醫(yī)療集團

          • 受影響的人數(shù):200萬

          今年6月,總部位于美國馬薩諸塞州昆西的希爾茲醫(yī)療集團(Shields Health Care Group)數(shù)據(jù)泄漏,可能影響數(shù)十個地區(qū)醫(yī)療機構(gòu)約200萬人,包括姓名、社保號碼和保險信息。

          NO.6 Horizon Actuarial Services

          • 受影響的人數(shù):229萬

          Horizon Actuarial是一家為美國很多工會福利計劃提供技術(shù)和精算咨詢服務的公司,黑客攻陷了這家公司內(nèi)部的2臺服務器,用戶的姓名、出生日期、社保號碼和健康計劃信息遭泄漏,受影響的福利計劃包括美國職業(yè)棒球大聯(lián)盟球員福利計劃、全國冰球聯(lián)盟球員協(xié)會健康和福利基金、以及紐約時報福利協(xié)會。

          NO.5 Lakeview Loan Servicing

          • 受影響的人數(shù):257萬

          位于美國佛羅里達州Coral Gables的Lakeview Loan Servicing的數(shù)百萬客戶的高度敏感信息遭泄漏,在暗網(wǎng)掛牌銷售,該公司正面臨多起訴訟。

          NO.4 Elephant Insurance Services

          • 受影響的人數(shù):276萬

          今年5月,總部位于美國弗吉尼亞州Henrico的Elephant Insurance ServicesDE 數(shù)百萬客戶的保單信息被泄漏,包括姓名、駕照號碼和出生日期等信息。

          NO.3 FlexBooker

          • 受影響的人數(shù):375萬

          今年1月,總部位于美國俄亥俄州哥倫布市的公司FlexBooker(企業(yè)網(wǎng)站嵌入在線預約工具提供商)的AWS服務器遭到入侵,用戶的信用卡數(shù)據(jù)等信息遭泄漏。

          NO.2 Beetle Eye

          • 受影響的人數(shù):700萬

          美國的一家提供在線電子郵件營銷工具的公司Beetle Eye發(fā)生重大數(shù)據(jù)泄漏,此次事件是由于AWS S3存儲桶未進行任何加密且配置錯誤造成的,該漏洞導致Amazon S3存儲桶處于打開狀態(tài),泄漏了大約700萬人的敏感數(shù)據(jù)。

          NO.1 Cash App Investing

          • 受影響的人數(shù):820萬

          今年4月,美國知名投資公司Cash App Investing的820萬客戶數(shù)據(jù)被泄漏,由一名前員工下載了公司內(nèi)部的一份報告引起,泄漏的信息包含客戶的全名和經(jīng)紀帳號等信息。

          其實,最近還有一起數(shù)據(jù)泄漏事件比上面這10起事件還要勁爆,即歐洲某國領(lǐng)導人與俄羅斯總統(tǒng)普京的通話內(nèi)容被泄漏,原因是該領(lǐng)導人使用的iPhone被植入了偵聽軟件。

          如果仔細分析和追查這些數(shù)據(jù)泄漏的背后原因,無外乎奇安信出版的暢銷書《紅藍攻防:構(gòu)建實戰(zhàn)化的網(wǎng)絡安全防御體系》中總結(jié)的10個原因。



          02 導致數(shù)據(jù)泄漏的10種常見原因

          NO.1 互聯(lián)網(wǎng)未知資產(chǎn)/服務大量存在

          在攻防演練中,資產(chǎn)的控制權(quán)和所有權(quán)始終是攻防雙方的爭奪焦點?;ヂ?lián)網(wǎng)暴露面作為流量的入口,是攻擊方重要的攻擊對象。

          資產(chǎn)不清是很多政企單位面臨的現(xiàn)狀。數(shù)字化轉(zhuǎn)型帶來的互聯(lián)網(wǎng)暴露面不斷擴大,政企機構(gòu)資產(chǎn)范圍不斷外延。除了看得到的“冰面資產(chǎn)”之外,還有大量的冰面之下的資產(chǎn),包括無主資產(chǎn)、灰色資產(chǎn)、僵尸資產(chǎn)等。

          在實戰(zhàn)攻防演練中,一些單位存在“年久失修、無開發(fā)維護保障”的老/舊/僵尸系統(tǒng),因為清理不及時,容易成為攻擊者的跳板,構(gòu)成嚴重的安全隱患。 

          NO.2 網(wǎng)絡及子網(wǎng)內(nèi)部安全域之間隔離措施不到位

          網(wǎng)絡內(nèi)部的隔離措施是考驗企業(yè)網(wǎng)絡安全防護能力的重要環(huán)節(jié)。由于很多機構(gòu)沒有嚴格的訪問控制(ACL)策略,在DMZ和辦公網(wǎng)之間不做或很少有網(wǎng)絡隔離,辦公網(wǎng)和互聯(lián)網(wǎng)相通,網(wǎng)絡區(qū)域劃分不嚴格,可以直接使遠程控制程序上線,令攻擊方可以很輕易地實現(xiàn)跨區(qū)攻擊。 

          大中型政企機構(gòu)還存在“一張網(wǎng)”的情況,習慣于使用單獨架設專用網(wǎng)絡,來打通各地區(qū)之間的內(nèi)部網(wǎng)絡連接,不同區(qū)域內(nèi)網(wǎng)間也缺乏必要的隔離管控措施,缺乏足夠有效的網(wǎng)絡訪問控制。這就導致藍隊一旦突破了子公司或分公司的防線,便可以通過內(nèi)網(wǎng)進行橫向滲透,直接攻擊到集團總部,或是漫游整個企業(yè)內(nèi)網(wǎng),進而攻擊任意系統(tǒng)。 

          NO.3 互聯(lián)網(wǎng)應用系統(tǒng)常規(guī)漏洞過多

          在歷年的實戰(zhàn)攻防演練期間,已知應用系統(tǒng)漏洞、中間件漏洞以及因配置問題產(chǎn)生的常規(guī)漏洞,是攻擊方發(fā)現(xiàn)的明顯問題和主要攻擊渠道。

          通過中間件來看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。

          Weblogic應用比較廣泛,因存在反序列化漏洞,所以常常會被作為打點和內(nèi)網(wǎng)滲透的突破點。所有行業(yè)基本上都有對外開放的郵件系統(tǒng),可以針對郵件系統(tǒng)漏洞,譬如跨站漏洞、CoreMail漏洞、XXE漏洞來針對性開展攻擊,也可以通過釣魚郵件和魚叉郵件攻擊來開展社工工作,均是比較好的突破點。

          NO.4 互聯(lián)網(wǎng)敏感信息泄漏明顯

          網(wǎng)絡拓撲、用戶信息、登錄憑證等敏感信息在互聯(lián)網(wǎng)大量泄漏 , 成為攻擊方突破點。針對暗網(wǎng)的調(diào)查發(fā)現(xiàn),與政企機構(gòu)網(wǎng)絡登錄憑證等相關(guān)信息的交易正在蓬勃發(fā)展。

          2019 年第四季度,暗網(wǎng)市場網(wǎng)絡憑證數(shù)據(jù)的交易數(shù)量開始有所上升,出售的數(shù)量就相當于 2018 年全年的總和。2020 年第一季度,暗網(wǎng)市場銷售的網(wǎng)絡登錄的帖子數(shù)量比上一季度猛增了 69%。暗網(wǎng)出售的網(wǎng)絡登錄憑據(jù)涉及政府機構(gòu)、醫(yī)療機構(gòu)以及其他社會組織。

          實際上,2020 年是有記錄以來數(shù)據(jù)泄漏最糟糕的一年。根據(jù)Canalys的最新報告“網(wǎng)絡安全的下一步”, 2020年短短12個月內(nèi)泄漏的記錄比過去15年的總和還多。大量互聯(lián)網(wǎng)敏感數(shù)據(jù)泄漏,為攻擊者進入內(nèi)部網(wǎng)絡和開展攻擊提供了便利。

          NO.5 邊界設備成為進入內(nèi)網(wǎng)的缺口

          互聯(lián)網(wǎng)出口和應用都是攻入內(nèi)部網(wǎng)絡的入口和途徑。目前政企機構(gòu)的接入防護措施良莠不齊,給藍隊創(chuàng)造了大量的機會。針對 VPN 系統(tǒng)等開放于互聯(lián)網(wǎng)邊界的設備或系統(tǒng),為了避免影響到員工使用,很多政企機構(gòu)都沒有在其傳輸通道上增加更多的防護手段;再加上此類系統(tǒng)多會集成統(tǒng)一登錄,一旦獲得了某個員工的賬號密碼,藍隊可以通過這些系統(tǒng)突破邊界直接進入內(nèi)部網(wǎng)絡中來。 

          此外,防火墻作為重要的網(wǎng)絡層訪問控制設備,隨著網(wǎng)絡架構(gòu)與業(yè)務的增長與變化,安全策略非常容易混亂,甚至一些政企機構(gòu)為了解決可用性問題,出現(xiàn)了“any to any”的策略。防守單位很難在短時間內(nèi)梳理和配置幾十個應用、上千個端口的精細化訪問控制策略。缺乏訪問控制策略的防火墻,就如同敞開的大門,安全域邊界防護形同虛設。

          NO.6 內(nèi)網(wǎng)管理設備成為擴大戰(zhàn)果突破點

          主機承載著政企機構(gòu)關(guān)鍵業(yè)務應用,需重點關(guān)注、重點防護。但很多機構(gòu)的內(nèi)部網(wǎng)絡的防御機制脆弱,在實戰(zhàn)攻防演練期間,經(jīng)常發(fā)現(xiàn)早已披露的陳年漏洞未修復,特別是內(nèi)部網(wǎng)絡主機、服務器以及相關(guān)應用服務補丁修復不及時,成為藍隊利用的重要途徑,從而順利 拿下內(nèi)部網(wǎng)絡服務器及數(shù)據(jù)庫權(quán)限。

          集權(quán)類系統(tǒng)成為攻擊的主要目標。在攻防演練過程中,云管理平臺、核心網(wǎng)絡設備、堡壘機、SOC 平臺、VPN 等集權(quán)系統(tǒng),由于缺乏定期的維護升級,已經(jīng)成為擴大權(quán)限的突破點。集權(quán)類系統(tǒng)一旦被突破,整個內(nèi)部的應用和系統(tǒng)基本全部突破,可以實現(xiàn)以點打面,掌握對其所屬管轄范圍內(nèi)的所有主機控制權(quán)。

          NO.7 安全設備自身安全成為新的風險點

          安全設備作為政企機構(gòu)對抗攻擊者的重要工具,其安全性應該相對較高。但實際上安全產(chǎn)品自身也無法避免 0Day 攻擊,安全設備自身安全成為新的風險點。每年攻防演練都會爆出某某安全設備自身存在某某漏洞被利用、被控制,反映出安全設備廠商自身安全開發(fā)和檢測能力沒有做到位,給藍隊留下了“后門”,形成新的風險點。

          2020 年實戰(zhàn)攻防演練中的一大特點是,安全產(chǎn)品的漏洞挖掘和利用現(xiàn)象非常普遍,多家企業(yè)的多款安全產(chǎn)品被挖掘出新漏洞(0day 漏洞)或存在高危漏洞。 

          歷年攻防實戰(zhàn)演練中,被發(fā)現(xiàn)和利用的各類安全產(chǎn)品 0Day 漏洞,主要涉及安全網(wǎng)關(guān)、身份與訪問管理、安全管理、終端安全等類型安全產(chǎn)品。這些安全產(chǎn)品的漏洞一旦被利用,可以使藍隊突破網(wǎng)絡邊界,獲取控制權(quán)限進入網(wǎng)絡;獲取用戶賬戶信息,并快速拿下相關(guān)設備和網(wǎng)絡的控制權(quán)限。

          近兩三年,出現(xiàn)了多起VPN、堡壘機、終端管理等重要安全設備被藍隊利用重大漏洞突破的案例,這些安全設備被攻陷,直接造成網(wǎng)絡邊界防護失效、大量管理權(quán)限被控制。

          NO.8 供應鏈攻擊成為攻擊方的重要突破口

          在攻防演練過程中,隨著防守方對攻擊行為的監(jiān)測、發(fā)現(xiàn)和溯源能力大幅增強,攻擊隊開始更多地轉(zhuǎn)向供應鏈攻擊等新型作戰(zhàn)策略。藍隊會從IT(設備及軟件)服務商、安全服務商、辦公及生產(chǎn)服務商等供應鏈機構(gòu)入手,尋找軟件、設備及系統(tǒng)漏洞,發(fā)現(xiàn)人員及管理薄弱點并實施攻擊。

          常見的系統(tǒng)突破口包括:郵件系統(tǒng)、OA系統(tǒng)、安全設備、社交軟件等;常見的突破方式包括軟件漏洞,管理員弱口令等。

          由于攻擊對象范圍廣、攻擊方式隱蔽,供應鏈攻成為攻擊方的重要突破口,給政企安全防護帶來了極大的挑戰(zhàn)。從奇安信在 2021 年承接的實戰(zhàn)攻防演練情況來看,由于供應鏈管控弱,軟件外包、外部服務提供商等成為迂回攻擊的重要通道。

          NO.9 員工安全意識淡薄是攻擊的突破口

          利用人員安全意識不足或安全能力不足,實施社會工程學攻擊,通過釣魚郵件或社交平臺進行誘騙,是攻擊方經(jīng)常使用的手法。 

          釣魚郵件是最經(jīng)常被使用的攻擊手法之一。即便是安全意識較強的 IT 人員或管理員,也很容易被誘騙點開郵件中釣魚鏈接或木馬附件,進而導致關(guān)鍵終端被控,甚至整個網(wǎng)絡淪陷。在歷年攻防演練過程中,攻擊隊通過郵件釣魚等方式攻擊 IT 運維人員辦公用機并獲取數(shù)據(jù)及內(nèi)網(wǎng)權(quán)限的案例數(shù)不勝數(shù)。

          NO.10 內(nèi)網(wǎng)安全檢測能力不足

          攻防演練中, 攻擊方攻擊測試,對防守方的檢測能力要求更高。網(wǎng)絡安全監(jiān)控設備的部署、網(wǎng)絡安全態(tài)勢感知平臺的建設,是實現(xiàn)安全可視化、安全可控的基礎。部分企業(yè)采購部署了相關(guān)工具,但是每秒上千條報警,很難從中甄別出實際攻擊事件。

          此外,部分老舊的防護設備,策略配置混亂,安全防護依靠這些系統(tǒng)發(fā)揮中堅力量,勢必力不從心。流量監(jiān)測及主機監(jiān)控工具缺失,僅依靠傳統(tǒng)防護設備的告警去判斷攻擊、甚至依靠人工去翻閱海量的日志,導致“巧婦難為無米之炊”。

          更重要的是,精于內(nèi)部網(wǎng)絡隱蔽滲透的攻擊方,在內(nèi)部網(wǎng)絡進行非常謹慎而隱蔽的橫向移動,很難被流量監(jiān)測設備或態(tài)勢感知系統(tǒng)檢測。



          03 保障數(shù)據(jù)不被泄漏的8個常用策略

          企業(yè)內(nèi)部的數(shù)據(jù)泄漏,究其原因,總結(jié)起來大致就以上這10種。對于企業(yè)或機構(gòu)(紅隊:防守方)而言,如何做好防守以保證自己的數(shù)據(jù)不被泄漏呢,奇安信的這本《紅藍攻防》里也給出了8個常用策略。

          NO.1 信息清理:互聯(lián)網(wǎng)敏感信息

          攻擊隊會采用社工、工具等多種技術(shù)手段,對目標單位可能暴露在互聯(lián)網(wǎng)上的敏感信息進行搜集,為后期攻擊做充分準備。

          防守隊除了定期對全員進行安全意識培訓,不準將帶有敏感信息的文件上傳至公共信息平臺外,針對漏網(wǎng)之魚還可以通過定期開展敏感信息泄漏搜集服務,能夠及時發(fā)現(xiàn)在互聯(lián)網(wǎng)上已暴露的本單位敏感信息,提前采取應對措施,降低本單位敏感信息暴露的風險,增加攻擊隊搜集敏感信息的時間成本,為后續(xù)攻擊抬高難度。

          NO.2 收縮戰(zhàn)線:縮小攻擊暴露面

          攻擊隊首先會通過各種渠道收集目標單位的各種信息,收集的情報越詳細,攻擊則會越隱蔽,越快速。此外,攻擊隊往往不會正面攻擊防護較好的系統(tǒng),而是找一些可能連防守者自己都不知道的薄弱環(huán)節(jié)下手。

          這就要求防守者一定要充分了解自己暴露在互聯(lián)網(wǎng)的系統(tǒng)、端口、后臺管理系統(tǒng)、與外單位互聯(lián)的網(wǎng)絡路徑等信息。哪方面考慮不到位、哪方面往往就是被攻陷的點?;ヂ?lián)網(wǎng)暴露面越多,越容易被攻擊隊“聲東擊西”,最終導致防守者顧此失彼,眼看著被攻擊卻無能為力。結(jié)合多年的防守經(jīng)驗,可從如下幾方面收斂互聯(lián)網(wǎng)暴露面。

          • 攻擊路徑梳理
          • 互聯(lián)網(wǎng)攻擊面收斂
          • 外部接入網(wǎng)絡梳理
          • 隱蔽入口梳理

          NO.3 縱深防御:立體防滲透

          收縮戰(zhàn)線工作完成后,針對實戰(zhàn)攻擊,防守隊應對自身安全狀態(tài)開展全面體檢,此時可結(jié)合戰(zhàn)爭中的縱深防御理論來審視當前網(wǎng)絡安全防護能力。

          從互聯(lián)網(wǎng)端防護、內(nèi)外部訪問控制(安全域間甚至每臺機器之間)、主機層防護、供應鏈安全甚至物理層近源攻擊的防護,都需要考慮進去。通過層層防護,盡量拖慢攻擊隊擴大戰(zhàn)果的時間,將損失降至最小。

          • 資產(chǎn)動態(tài)梳理
          • 互聯(lián)網(wǎng)端防護
          • 訪問策略梳理
          • 主機加固防護
          • 供應鏈安全

          NO.4 守護核心:找到關(guān)鍵點

          正式防守工作中,根據(jù)系統(tǒng)的重要性劃分出防守工作重點,找到關(guān)鍵點,集中力量進行防守。

          根據(jù)實戰(zhàn)攻防經(jīng)驗,核心關(guān)鍵點一般包括:靶標系統(tǒng)、集權(quán)類系統(tǒng)、具有重要數(shù)據(jù)的業(yè)務系統(tǒng)等,在防守前應針對這些重點系統(tǒng)再次進行梳理和整改,梳理得越細越好。必要情況下對這些系統(tǒng)進行單獨的評估,充分檢驗重點核心系統(tǒng)的安全性。同時在正式防守工作,對重點系統(tǒng)的流量、日志進行實時監(jiān)控和分析。

          • 靶標系統(tǒng)
          • 集權(quán)系統(tǒng)
          • 重要業(yè)務系統(tǒng)

          NO.5 協(xié)同作戰(zhàn):體系化支撐

          面對大規(guī)模有組織的攻擊時,攻擊手段會不斷快速變化升級,防守隊在現(xiàn)場人員能力無法應對攻擊的情況下,還應該借助后端技術(shù)資源,相互配合協(xié)同作戰(zhàn),建立體系化支撐,才能有效應對防守工作中面臨的各種挑戰(zhàn)。

          • 產(chǎn)品應急支撐
          • 安全事件應急支撐
          • 情報支撐
          • 樣本數(shù)據(jù)分析支撐
          • 追蹤溯源支撐

          NO.6 主動防御:全方位監(jiān)控

          近兩年的紅藍對抗,攻擊隊的手段越來越隱蔽,越來越單刀直入,通過0day、Nday直指系統(tǒng)漏洞,直接獲得系統(tǒng)控制權(quán)限。

          紅隊需擁有完整的系統(tǒng)隔離手段,藍隊成功攻擊到內(nèi)網(wǎng)之后,會對內(nèi)網(wǎng)進行橫向滲透。所以系統(tǒng)與系統(tǒng)之間的隔離,就顯得尤為重要。紅隊必須清楚哪些系統(tǒng)之間有關(guān)聯(lián)、訪問控制措施是什么。在發(fā)生攻擊事件后,應當立即評估受害系統(tǒng)范圍和關(guān)聯(lián)的其他系統(tǒng),并及時做出應對的訪問控制策略,防止內(nèi)部持續(xù)的橫向滲透。

          任何攻擊都會留下痕跡。攻擊隊會盡量隱藏痕跡、防止被發(fā)現(xiàn)。而防守者恰好相反,需要盡早發(fā)現(xiàn)攻擊痕跡,并通過分析攻擊痕跡,調(diào)整防守策略、溯源攻擊路徑、甚至對可疑攻擊源進行反制。建立全方位的安全監(jiān)控體系是防守者最有力的武器,總結(jié)多年實戰(zhàn)經(jīng)驗,有效的安全監(jiān)控體系需在如下幾方面開展:

          • 自動化的IP封禁
          • 全流量網(wǎng)絡監(jiān)控
          • 主機監(jiān)控
          • 日志監(jiān)控
          • 蜜罐誘捕
          • 情報工作支撐

          NO.7 應急處突:完備的方案

          通過近幾年的紅藍對抗發(fā)展來看,紅藍對抗初期,藍隊成員通過普通攻擊的方式,不使用0day或其他攻擊方式,就能輕松突破紅隊的防守陣地。

          但是,隨著時間的推移,紅隊防護體系早已從只有防火墻做訪問控制,發(fā)展到現(xiàn)在逐步完善了WAF、IPS、IDS、EDR等多種防護設備,使藍隊難以突破,從而逼迫藍隊成員通過使用0day、Nday、現(xiàn)場社工、釣魚等多種方式入侵紅隊目標,呈無法預估的特點。

          所以應急處突是近兩年紅藍對抗中發(fā)展的趨勢,同時也是整個紅隊防守水平的體現(xiàn)之處,不僅考驗應急處置人員的技術(shù)能力,更檢驗多部門(單位)協(xié)同能力,所以制定應急預案應當從以下幾個方面進行:

          • 完善各級組織結(jié)構(gòu),如監(jiān)測組、研判組、應急處置組(網(wǎng)絡小組、系統(tǒng)運維小組、應用開發(fā)小組、數(shù)據(jù)庫小組)、協(xié)調(diào)組等。
          • 明確各方人員,在各個組內(nèi)擔任的職責,如監(jiān)測組的監(jiān)測人員,負責某臺設備的監(jiān)測,并且7×12小時不得離崗等。
          • 明確各方設備的能力與作用,如防護類設備、流量類設備、主機檢測類設備等。
          • 制定可能出現(xiàn)的攻擊成功場景,如Web攻擊成功場景、反序列化攻擊成功場景、Webshell上傳成功場景等。
          • 明確突發(fā)事件的處置流程,將攻擊場景規(guī)劃至不同的處置流程:上機查證類處置流程、非上機查證類處置流程等。

          NO.8 溯源反制:人才是關(guān)鍵

          溯源工作一直是安全的重要組成部分,無論在平常的運維工作,還是紅藍對抗的特殊時期,在發(fā)生安全事件后,能有效防止被再次入侵的有效手段,就是溯源工作。

          在紅藍對抗的特殊時期,防守隊中一定要有經(jīng)驗豐富、思路清晰的溯源人員,能夠第一時間進行應急響應,按照應急預案分工,快速理清入侵過程,并及時調(diào)整防護策略,防止再次入侵,同時也為反制人員提供溯源到的真實IP,進行反制工作。

          反制工作是紅隊反滲透能力的體現(xiàn),普通的防守隊員一般也只具備監(jiān)測、分析、研判的能力,缺少反滲透的實力。這將使防守隊一直屬于被動的一方,因為紅隊沒有可反制的固定目標,也很難從成千上萬的攻擊IP里,確定哪些可能是攻擊隊的地址,這就要求紅隊中要有經(jīng)驗豐富的反滲透的人員。

          經(jīng)驗豐富的反滲透人員會通過告警日志,分析攻擊IP、攻擊手法等內(nèi)容,對攻擊IP進行端口掃描、IP反查域名、威脅情報等信息收集類工作,通過收集到的信息進行反滲透。紅隊還可通過效仿藍隊社工手段,誘導藍隊進入誘捕陷阱,從而達到反制的目的,定位藍隊自然人身份信息。

          限于篇幅,以上8種防守策略的細節(jié)并沒有展開,只給出了大致的思路,如果你想了解策略的具體內(nèi)容,可以閱讀《紅藍攻防》這本書。

          道高一尺,魔高一丈,網(wǎng)絡攻防是沒有硝煙和終局的戰(zhàn)爭,要保障信息的安全,我們應該時刻保持警惕,從策略、技術(shù)、人才等各方面做好準備。

          本文部分內(nèi)容摘編自紅藍攻防:構(gòu)建實戰(zhàn)化網(wǎng)絡安全防御體系》(ISBN:978-7-111-70640-3),經(jīng)出版方授權(quán)發(fā)布。

          紅藍攻防:構(gòu)建實戰(zhàn)化網(wǎng)絡安全防御體系
          點擊上圖了解及購買
          轉(zhuǎn)載請聯(lián)系微信:DoctorData

          推薦語:這是一部從紅隊、藍隊、紫隊視角全面講解如何進行紅藍攻防實戰(zhàn)演練的著作,是奇安信安服團隊多年服務各類大型政企機構(gòu)的經(jīng)驗總結(jié)。本書全面講解了藍隊視角的防御體系突破、紅隊視角的防御體系構(gòu)建、紫隊視角的實戰(zhàn)攻防演練組織。系統(tǒng)介紹了紅藍攻防實戰(zhàn)演練各方應掌握的流程、方法、手段、能力、策略,包含全面的技術(shù)細節(jié)和大量攻防實踐案例。


          刷刷視頻??


          干貨直達??


          更多精彩??

          在公眾號對話框輸入以下關(guān)鍵詞
          查看更多優(yōu)質(zhì)內(nèi)容!

          讀書 | 書單 | 干貨 | 講明白 | 神操作 | 手把手
          大數(shù)據(jù) | 云計算 | 數(shù)據(jù)庫 | Python | 爬蟲 | 可視化
          AI | 人工智能 | 機器學習 | 深度學習 | NLP
          5G | 中臺 | 用戶畫像 數(shù)學 | 算法 數(shù)字孿生

          據(jù)統(tǒng)計,99%的大咖都關(guān)注了這個公眾號
          ??
          
          
          瀏覽
                    5
          點贊
    
          評論
    
          收藏
    
          分享
        
          手機掃一掃分享
          分享
    
          
        舉報
    
          評論
          圖片
          表情
          推薦
        
          點贊
    
          評論
    
          收藏
    
          分享
        
          手機掃一掃分享
          分享
    
          
        舉報
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

性爱日记林雅儿
|
一级欧美一级日韩片
|
视频黄在线观看免费
|
欧美色五月
|
色天天色|