震惊,红蓝双方近距离“肉搏”,实战攻防究竟鹿死谁手?


红蓝双方近距离“肉搏”,实战攻防究竟鹿死谁手?

在通过钓鱼邮件等一系列战术占领一台电脑后,攻击团队的入侵会进一步加速,包括收集域内信息,探查可能存储机密文件和敏感信息的主机位置,确定横向移动的目标,如存储所有电脑用户账号密码信息的域控制主机。


红蓝双方近距离“肉搏”,实战攻防究竟鹿死谁手?

此时,攻击者会通过C2(Command Control,命令控制)服务器与植入目标系统的恶意软件频繁通信,不断发送攻击命令。

由于攻防主战场主要集中在内网,红蓝双方往往要进行近距离的“肉搏战”,展开争夺“控制权”的战斗,远比其他阶段激烈。

1 误报、误报还是误报

曾几何时,内网的安全保护没有得到足够的重视。一封钓鱼邮件穿透内网后,攻击者就可以随心所欲地入侵任何一台服务器,如入无人之境。

2010年爆发的“震网事件”表明,即使物理断网也不是绝对安全的。

因此,在RSAC2016上,时任大会主席的AmitYoran在《沉睡者觉醒》主题演讲中指出,安全防御是一个失败的策略,未来业界应该加大对安全检测技术的投入。

这句话虽然有失偏颇,但很大程度上强调了持续测试的重要性。

在接下来的几年里,以全流分析为代表的检测技术取得了长足的进步,并迅速成为了防御的实用武器。

即便如此,也不要以为防守队伍就稳定了。他们的麻烦不亚于进攻队。引入新的安全设备后,报警数量可以说是几何级数增长。

问题的关键在于,这些警报从来不是100%有用的。

众所周知,检测设备需要依靠预设的规则来发现攻击,但任何规则都很难做到尽善尽美,准确描述相应的攻击。

首先,基于相关性的规则通常无法描述足够数量的特征,而这些特征是决定检测精度的核心要素。

其次,基于行为的规则主要针对异常,但对于任何企业来说,出现异常行为都是正常的,所以追查每一个异常都会浪费大量的时间和精力。

假阳性就是这么来的。

比如说。员工在登录办公系统时,连续几次输入错误的账号密码是正常的,但这种行为在检测设备中可能会被判定为异常,因为暴力破解攻击也会连续输入错误的密码。

显然,如果不能很好地解决假警报,联防队员就会淹没在无休止的警报中,从而忽视真正的威胁。这也正是在警情数量剧增的攻防演练中,攻击队所希望看到的。

甚至机器学习/人工智能技术的应用也改善了这种情况。

正是在这样的环境下,田燕完成了从能用到好用的自我进化。

Back to Top
风格切换
颜色选择