我们已经准备好了,你呢?

2024我们与您携手共赢,为您的企业形象保驾护航!

修改中间件配置文件,配置移动通信APP的Web服务页面返回信息为“错误”页面。

修改网关系统配置指纹,将邮件系统指纹改为“ ”,以转移攻击者的注意力。

2. 边境防护设备异构(增加入侵难度和成本)

VPN与防火墙异构部署,内外层VPN体系网络区域之间部署大量蜜罐。

3. 严格控制出境访问(禁止返回)

攻击者需要受害主机的上网权限,攻击者在防火墙上配置双向白名单,阻断包括tcp、udp、icmp、dns等协议,阻止攻击完成。

4.加强主机安全防护

一些0day漏洞被成功利用后,需要主机具备读写文件的权限。部署终端防护系统,监控非白名单地址的运维操作和敏感操作命令,及时发现异常命令执行行为,包括攻击者常用的id等。第二,监控服务器上敏感配置文件的读取,如*.conf文件。第三,向二进制web目录写入脚本文件,防止后门被执行。

5.设置内网陷阱

第一,在边界区域部署办公系统蜜罐;第二,在核心计算区域部署核心系统和集中系统蜜罐;第三,将真实系统非业务端口访问流量转发到蜜罐,尽早发现内网扫描行为。

6. 密切关注零​​日漏洞利用的踪迹

第一,加强对敏感文件和目录的监控。在主机层面和流量层面,加强对敏感目录读取的检查和返回包的监控。第二,加强对敏感命令执行的监控。在主机层面,通过入侵检测系统替换操作员系统bash程序,形成命令执行钩子,监控敏感命令的执行情况。在流量层面,利用流量监控设备匹配敏感命令的执行结果。

总结实践经验发现,不管是什么0day漏洞,最终都需要对内网主机执行命令,主机是防护零day漏洞攻击的最后一个也是最关键的环节。

我们制定了以主机命令执行异常为重点,网络层、应用层异常行为识别、攻击面聚合、快速攻击定位及处置流程为辅的0day漏洞防护策略。

在网络内所有生产主机部署入侵检测系统hids,检测反弹shell等关键攻击行为。由于运维人员还会执行bash、nc等命令,为了避免误报,对shell日志中每条命令的父进程进行递归分析,若发现web进程调用shell则触发告警(例如父进程为java,httpd子进程为sh等)。告警配置短信实时提醒。

部署高交互、高仿真的蜜罐,将VPN、OA系统备份为蜜罐,攻防期间替换真实业务域名,迷惑攻击者,捕获零日漏洞。同时将下载页面中的VPN、OA客户端替换为CS防杀木马,在云服务器上部署CNA脚本发送微信提醒,一旦上线即可立即反制源头。

出站控制:最小化授权、组织资产并映射攻击路径。

0day攻击应急响应流程

0 信任网络:

办公、生产网络所有网络流量默认不信任,基于身份属性、设备属性、设备状态、权限关系等,结合密码技术,实现细粒度的可信网络访问测控,解决IT无边界化趋势带来的安全问题。相较于传统边界模型信任不同、验证不同,零信任始终秉持永不信任、始终验证的原则,零信任主要关注点是数据和应用,零信任网络解决了网络边界被突破后,数据和应用访问量过大导致数据被盗、服务器崩溃等安全问题。

防护对象:将传统安全架构中以网络为中心的防护,转变为以数据为中心的安全防护,重点关注应用和资源。防护基础:将传统基于“边界”的防护,转变为“无边界”防护,默认不信任,实现最小权限防护。防护理念:将传统一次性严肃的静态策略,转变为持续评估、动态访问控制。

链式陷阱的APT攻击抓捕策略

基于主动防御理念,采用动态伪装、反向水坑等手段对抗0day高级攻击者,以防万一,出其不意,不仅捕获攻击行为,还利用浏览器漏洞成功实施反制,获取攻击者真实身份信息。

1. 传递污染信息

对数据库配置、缓存配置、交互服务器配置、token加密因素等写入污染信息,指向蜜罐或者诱捕探针。Linux系统中,主要伪造SSH、SSH等核心配置文件。特别要注意根据运维习惯定期写入污染信息,可以极大的迷惑攻击者。

2.配置虚拟进程

完成本机的诱捕后,需要围绕虚拟机形成联动的诱捕体系,防止攻击者绕过本机的诱捕,直接渗透到网络上可访问的其他主机。通过配置虚拟进程,可以模拟真实的高危服务,与真实业务一起发布。选择存在未授权访问漏洞的数据库服务作为诱捕模板。为保证真实性,需要详细分析各应用系统的真实业务模型,有针对性地部署redis、es等虚拟进程。

对于高并发的网站应用,在MySQL数据库中部署redis虚拟进程;对于消息应用,在Kafka消息队列所在的虚拟机中部署虚拟进程。

3. 构造反向水孔

防御方在捕获到攻击者的上传后,即可在其中插入js代码(探针),再次访问后会返回攻击者的操作系统及浏览器资产信息。如果出现两个不同版本的资产信息,说明攻击者是使用虚拟机进行攻击,在之前的js代码基础上继续插入代码(探针),从而获取攻击者的电脑硬件信息。如CPU、显卡、电池、屏幕尺寸等。通过返回的数据明确攻击者使用的操作系统及浏览器后,填写相关资产的漏洞验证数据,检测是否存在可利用的漏洞,确认漏洞存在后,通过漏洞投递反杀cs木马,释放。追踪攻击者身份。

追踪技术有很多,这次是通过js脚本远程获取黑客(攻击者)的基本信息,定位到之后打开源码,添加编写的js脚本,要确保脚本是否有效,需要先自己测试一下,看能不能获取到浏览器信息,确认无误之后根据之前记录的文件属性,将文件修改时间还原为写入时间!

注:具体的js脚本可以根据自己的需求来编写,或者根据网上的开源脚本,BeeF等开源工具,或者其他开源工具等进行扩展!

零信任架构

可以实现几个关键目标:

1. VPN 始终在线

2. 足够的安全防御,有效切断攻击者的攻击链

3、操作过程灵活自动化,避免大量操作维护人力的投入。

1. 推行零信任架构体系,建立员工身份安全标杆

所有员工必须安装安全APP,绑定设备指纹和手机号,开启二维码扫描、动态密码等强身份验证功能,登录系统时使用APP完成身份验证。

2. 让第一层防御对攻击者不可见

边界防火墙通过设置策略,使得VPN地址不对外开放,攻击者无法直接探测发现,无法正常攻击。员工需要在APP上提交合法PC的IP地址,该地址会被ACL策略管理系统自动处理,并加入到边界防火墙的白名单中,才可以正常发起访问。同时,线上搭建一套高仿VPN蜜罐,迷惑攻击者。

3. 防止攻击者进入第二层防御

为了加强VPN,可以启用VPN客户端的专线功能,这样用户的计算机在建立VPN隧道时会自动断开与其他地址的通信。

4. 让第三层防御对攻击者不可见

限制 VPN 设备对内网的网络访问权限。默认情况下,仅可访问零信任安全网关。在零信任安全网关上设置策略,确保所有流量都经过持续身份验证和权限检查。

5.使用高密度异构蜜罐

蜜网:蜜网管理中心负责统一调度,由互联网、DMZ、内网数据中心、海外网络连接点、信息系统五道蜜罐防线组成,统一收集蜜罐告警,基于SSH下发控制指令,综合实现蜜罐资源调度、访问控制、日志分析、情况展示等功能。

IP位置筛查解决方案

移除已知安全IP,利用开源IP地址库对剩余IP进行标记,筛查公有云厂商IP,公有云IP容易获取,方便布署攻击工具,是攻击者经常利用的攻击手段。

1. 按 IP 位置过滤

提取第一周的来访IP,去重,排除白名单,识别剩余IP。提取有公网IP可以作为攻击机、跳转服务器、远控服务器的云主机IP地址,将这些云主机IP分别提取出来。

2.基于时间维度的分析

提取演习前三个月至六个月的访问数据,与演习开始后的数据进行比对,通过比对,有效发现新的IP地址,而这些新的地址中往往就包含演习攻击者的IP地址。

3.基于区域维度的分析

由于采用多点部署方式,不同数据中心位于不同的网络位置,如果多个数据中心同时增加新的接入IP,则该IP将成为针对指定单位的攻击IP。

4.基于行为维度的分析

利用威胁情报检查流量中包含的挖矿、DDOS脚本,排除代理、爬虫、黑市攻击IP。

构建基于威胁情报的动态防御体系

日常威胁情报收集、处理和建模主要采用以下策略:

1、安全设备采集到的告警按照攻击行为分为四类:端口扫描、服务检测、企图攻击、恶意代码。大部分攻击都是按照这四个步骤进行的,再将监控到的攻击行为按照攻击阶段进行分类。

2、通过对攻击行为事件序列的深入分析,为预测攻击、溯源提供依据。利用攻击行为的OWASP分类、CVE编号以及木马的执行顺序对检测到的攻击行为进行编码,最终以字符串序列的形式识别出每一个攻击行为序列。对威胁情报库中的序列应用威胁相似度计算模型,计算出情报库中相似度较高的攻击序列。

3、在具体分析攻击行为的过程中,攻击者为了逃避检测,一般采用低速、随机的扫描方式。结合数理统计等方法可以推断出攻击者的攻击间隔分布,从而发现潜在的攻击特征。

4、经过汇总、筛选、清洗,按照攻击行为响应时间、攻击间隔起止时间、排序后的端口扫描列表、服务检测顺序、漏洞扫描顺序、恶意代码动作列表等维度构建攻击特征库,形成威胁情报库及综合安全监控处置目标。

专有情报生产

1、利用监控系统发现水利网络中大量的攻击行为、漏洞、恶意文件、异常外连接等报警数据,并经过分析后传送至情报中心。

2、情报中心实时对报警时间、报警原因、报警IP、资产IP等信息进行标准化、规范化,自动补充时间、来源等信息,并根据报警级别类型配置生产情报的权重分数、通过分数。

3.完成情报制作后,通过API写入情报中心

4、对于各单位上报的统一格式的防控报告,情报中心利用基于深度学习的文字识别技术,自动提取报警时间、报警原因、报警IP、资产IP等数据,再进行同样的处理,完成制作。

黑客指纹收集

依托蜜罐系统生成黑客指纹库,指纹库整合了系统、设备、html5 webGL、HTML5、第三方网站ID指纹等。

当攻击者访问蜜罐系统中的诱饵网页时,该网页便会在黑客的机器上植入僵尸,僵尸遍布多处且难以删除,收集并形成独特的指纹信息,从而为黑客的抓捕提供情报信息和追踪能力。

当黑客发起攻击时,如果登录过百度、新浪、优酷等第三方网站,蜜罐系统可以捕获其登录ID;其次,通过分析黑客的操作系统语言、时区、IP所在地等信息,可以判断攻击者是否来自境外。

逐步发布模拟系统,结合最新0day,推出全英文商业模拟系统,并在本站加载对策诱饵。

将暴力破解过程中用到的用户名和密码加入密码字典中,用于日常内部弱口令检查。若用户名为公司名,需要向用户发出风险提示。通过证书、代码标识等方式识别攻击者的攻击工具,并进行攻击者同源性分析。利用攻击成功后的外部连接地址,监测内部主机是否沦陷。定期通过主机代理对下载的木马哈希进行扫描,获取服务器进程、启动项对应的文件哈希,判断其他主机是否被控制。

二维码
扫一扫在手机端查看

本文链接:https://by928.com/3014.html     转载请注明出处和本文链接!请遵守 《网站协议》
我们凭借多年的网站建设经验,坚持以“帮助中小企业实现网络营销化”为宗旨,累计为4000多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、域名注册、主机空间、手机网站建设、网站备案等方面的需求,请立即点击咨询我们或拨打咨询热线: 13761152229,我们会详细为你一一解答你心中的疑难。

项目经理在线

我们已经准备好了,你呢?

2020我们与您携手共赢,为您的企业形象保驾护航!

在线客服
联系方式

热线电话

13761152229

上班时间

周一到周五

公司电话

二维码
微信
线