读红蓝攻防：技术与计谋01安全态势

1.       安全态势

1.1.         远程办公、线上会议成为人们处理惩罚工作的主要方式

• 1.1.1.           时代的发展推动了组织加快数字化转型的速度，组织必须迅速采用更灵活的计谋来支持远程工作
  

1.2.         近年来，网络犯罪分子活动放肆，​“殖民地管线”​“太阳风”等事件引发人们对关键基础设施的高度关注，Log4j开源毛病更犹如一枚“核弹
1.3.         网络安满是多个支柱的组合，没有能解决全部问题的灵丹妙药

• 1.3.1.           实际中网络安全不仅仅是实施安全控制，更是对组织情况的持续监测和改善
  

1.4.         知攻方能善防，不知攻，焉能防？

• 1.4.1.           安全防御者在与威胁行为者对抗的过程中，谁更能认清自己，熟悉对方，相识情况，谁就更可能是最后的胜利者，正所谓“知己知彼，百战不殆”​
  
• 1.4.2.           任何一场胜仗，均离不开对敌情、我情、战场情况的正确把握
  

1.5.         多年来，组织在安全方面的投资从明智性选择演变成必要性决定

• 1.5.1.           如果不能妥善掩护其资产，则可能会导致无法弥补的损失，在某些情况下甚至可能会导致破产
  
• 1.5.2.           鉴于目前的威胁形势，仅重视掩护还远不够，组织必须增强整体安全态势
  
  
  
  • 1.5.2.1.            这意味着在掩护、检测和响应方面的投资必须协调同等
    
  
  

2.       应将安全卫生列为首要任务

2.1.         威胁行为者积极监视当前的世界事件，这是他们开始策划下一次攻击的机会
2.2.         Emotet背后的威胁行为者开始使用人们的好奇心和对新型冠状病毒相干信息的缺乏，发起了一场大规模的垃圾邮件运动

• 2.2.1.           威胁行为者使用人们对COVID-19的恐惧作为一种社会工程机制，来诱使用户做出一些开始危害体系的事情
  
• 2.2.2.           通过网络钓鱼邮件举行的社会工程对威胁行为者来说总有很好的投资回报
  

2.3.         始终必要确保有适当的安全控制步伐来减少用户落入此陷阱并点击链接的情况

• 2.3.1.           安全控制步伐是你必要采取的自动步伐，以确保安全卫生状况正常，而且你已经尽了最大积极来提升所监控的全部资源的安全状态
  

2.4.         之所以大多数威胁行为者能够成功使用资源，是因为糟糕的安全卫生实践，包括资源的全面维护以及安全配置的缺乏
2.5.         没有适当的安全卫生步伐，你就将一直追赶

• 2.5.1.           即使你有很强的威胁检测能力也并不重要，因为顾名思义，这是为了检测而不是预防或响应
  
• 2.5.2.           安全卫生意味着你必要做足功课，确保针对你管理的不同工作负载使用正确、安全的最佳实践，修补体系，强化资源，并不断重复这些过程
  
• 2.5.3.           底线是这件事没有终点，这是一个持续改进的过程
  
• 2.5.4.           如果你致力于不断更新和改进你的安全卫生，你将可以确保威胁行为者很难访问你的体系
  

3.       当前的威胁形势

3.1.         随着持续在线连接的普及和当今可用技术的进步，使用这些技术的不同方面的威胁正在迅速演变
3.2.         任何设备都容易受到攻击，随着物联网(Internet of Things，IoT)的发展，这成为实际

• 3.2.1.           使用物联网设备的攻击正呈指数级增长
  

3.3.         VPNFilter恶意软件

• 3.3.1.           此恶意软件在物联网攻击期间被用来感染路由器并捕获和泄漏数据
  

3.4.         世界各地有大量不安全的物联网设备

• 3.4.1.           固然使用物联网发动大规模网络攻击还是新鲜事，但这些设备中的毛病并不新颖
  

3.5.         远程访问

• 3.5.1.           固然远程访问不是什么新鲜事，但必要远程办公的员工的数量正呈指数级增长
  
• 3.5.2.           正在使用自己的基础设施来访问公司的资源
  

3.6.         自带设备(Bring Your Own Device，BYOD)

• 3.6.1.           允许在工作场所使用BYOD的公司数量不断增加
  
• 3.6.2.           安全使用BYOD有多种方法，但BYOD方案中的大多数故障通常是由于规划和网络架构不佳，从而导致安全问题
  

3.7.         必要由用户操纵，而用户仍然是最大的攻击目标

• 3.7.1.           人是安全链中最薄弱的一环，因此，钓鱼邮件等老式威胁仍在上升
  
• 3.7.2.           它们每每通过心理的缺点来引诱用户点击某些东西
  

3.8.         即使在全部安全控制步伐到位的情况下，网络钓鱼活动依旧有效

• 3.8.1.           网络钓鱼活动通常被用作攻击者的入口点，并从那里通过其他威胁来使用体系中的毛病
  
• 3.8.2.           使用网络钓鱼电子邮件作为攻击入口点的威胁的最典型例子是打单软件，而且在日益增多
  

3.9.         全部场景中的公共元素通常都是网络犯罪分子的首选目标

• 3.9.1.           一个不断出现的重要元素，那就是云盘算资源
  
• 3.9.2.           绝大多数公司从混合方案开始，其中基础架构即服务(Infrastructure as a Service，IaaS)是公司的主要云服务
  

3.10.     内部安全也至关重要，因为它是公司的核心，也是大多数用户访问资源的地方
3.11.     实施技术安全控制有助于减轻针对终极用户的某些威胁

• 3.11.1.      主要的保障是通过持续教育开展安全意识培训
  
• 3.11.2.      在意识培训中，必要牢记于心的两种常见攻击是供应链攻击和打单软件
  

4.       供应链攻击

4.1.         “供应链攻击威胁形势”(Threat Landscape for Supply Chain Attacks)
4.2.         这种技术被威胁行为者用来通过第三方关系锁定受害者
4.3.         常见的供应链攻击技术

• 4.3.1.           恶意软件
  
  
  
  • 4.3.1.1.            从用户处窃取凭据
    
  
  
• 4.3.2.           社会工程
  
  
  
  • 4.3.2.1.            诱使用户点击链接或下载受损文件
    
  
  
• 4.3.3.           暴力攻击
  
  
  
  • 4.3.3.1.            通常用于运行 Windows(通过RDP)或 Linux(通过 SSH)的捏造机
    
  
  
• 4.3.4.           软件毛病
  
  
  
  • 4.3.4.1.            SOL注入和缓冲区溢出是常见的例子
    
  
  
• 4.3.5.           使用配置毛病
  
  
  
  • 4.3.5.1.            这通常是工作负载的安全卫生状况不佳造成的。
    
  • 4.3.5.2.            在没有身份认证的情况下将云存储账户广泛共享到互联网
    
  
  
• 4.3.6.           开源情报(Open-Source Intelligence，OSINT）
  
  
  
  • 4.3.6.1.            使用在线资源辨认目标的相干信息，包括使用的体系、用户名、暴露的 API等
    
  
  

4.4.         另一种情况

• 4.4.1.           能够危害由多家公司使用的一家供应商
  
• 4.4.2.           SolarWinds事件
  
  
  
  • 4.4.2.1.            恶意代码被作为软件更新的一部分部署在SolarWinds自己的服务器上，并使用受损的证书署名
    
  • 4.4.2.2.            使用该软件并收到该版本更新的每一个客户都将受到威胁
    
  
  

4.5.         最佳实践

• 4.5.1.           确定与组织打交道的全部供应商
  
• 4.5.2.           按照优先顺序列举这些供应商
  
• 4.5.3.           界说不同供应商的风险标准
  
• 4.5.4.           调查供应商如作甚自己的业务实验供应链缓解步伐
  
• 4.5.5.           监控供应链风险和威胁
  
• 4.5.6.           只管减少对敏感数据的访问
  
• 4.5.7.           实施安全技术控制
  
• 4.5.8.           零信托构架
  
• 4.5.9.           增强工作负载的安全卫生
  

5.       打单软件

5.1.         以打单软件即服务(Ransomware-as-a-Service，RaaS)的方式运营的三个主要组织

• 5.1.1.           Conti
  
• 5.1.2.           Avaddon
  
• 5.1.3.           Revil
  

5.2.         遭受打单软件攻击的五大行业

• 5.2.1.           制造业
  
• 5.2.2.           金融服务
  
• 5.2.3.           交通
  
• 5.2.4.           技术
  
• 5.2.5.           法律和人力资源范畴
  

5.3.         无论怎样，管理端口不应该总是用于互联网访问

• 5.3.1.           RDP暴力攻击
  

5.4.         应该举行威胁检测，以辨认没有推测到的情况，因为现在有威胁行为者试图使用开放的管理端口
5.5.         打单软件攻击的缓解控制步伐

• 5.5.1.           对公司资源的远程访问
  
  
  
  • 5.5.1.1.            强制实施零信托以验证用户和设备
    
  • 5.5.1.2.            实施条件访问
    
  • 5.5.1.3.            强制使用 VPN 访问内部资源
    
  • 5.5.1.4.            使用基于云的堡垒主机实现特权访问
    
  
  
• 5.5.2.           端点
  
  
  
  • 5.5.2.1.            实施端点检测和响应(EndpointDetection&Response，EDR)解决方案
    
  • 5.5.2.2.            根据行业安全基准和业务需求强化终端
    
  • 5.5.2.3.            确保使用基于主机的防火墙
    
  • 5.5.2.4.            确保主机运行最新的补丁程序
    
  • 5.5.2.5.            隔离和淘汰不安全的体系和协议
    
  
  
• 5.5.3.           用户账户
  
  
  
  • 5.5.3.1.            确保使用的是多因子身份认证
    
  • 5.5.3.2.            提高暗码安全性
    
  
  
• 5.5.4.           电子邮件和协作
  
  
  
  • 5.5.4.1.            确保电子邮件提供商具有内置的安全功能来阻止常见的电子邮件攻击
    
  
  

5.6.         防止威胁因素升级的场景和缓解步伐

• 5.6.1.           特权访问
  
  
  
  • 5.6.1.1.            掩护身份体系并对其举行持续监控，以防止潜在的权限升级尝试
    
  • 5.6.1.2.            根据在授予特权访问之前必须满足的一组条件，对管理访问实施安全控制
    
  • 5.6.1.3.            限定对敏感数据和关键配置设置的访问
    
  
  
• 5.6.2.           检测和响应
  
  
  
  • 5.6.2.1.            确保拥有适当的威胁检测控制步伐，可快速辨认可疑活动
    
  • 5.6.2.2.            确保正在监控可疑活动
    

    5.6.2.2.1.             事件日志清除
    

    5.6.2.2.2.             禁用安全工具(如反恶意软件)
    

    
    
  • 5.6.2.3.            积极监视针对凭据的暴力攻击
    
  
  

5.7.         使用假定入侵的思维模式，我们知道在你的组织受到威胁的情况下做好应对步伐非常重要

• 5.7.1.           一个处于安全位置的良好备份，最好与生产情况隔离，而且你信托该备份，因为你会通过恢复一些数据来验证备份，从而对其举行常规测试
  
• 5.7.2.           访问此备份的掩护已到位
  
  
  
  • 5.7.2.1.            并非每个人都应该有权访问该备份，任何有权访问该备份的人都必要使用强大的身份验证机制，包括多因子认证(Multi-Factor Authentication，M FA)
    
  
  
• 5.7.3.           制定灾难恢复计划，正确相识在紧急情况下必要做什么
  
• 5.7.4.           对静态数据举行加密，以确保即使威胁行为者能够访问数据，也无法读取数据
  
• 5.7.5.           将大大低落威胁行为者举行违规行为时所带来的损失
  

6.       身份验证和授权

6.1.         用户将使用他们的凭据与应用程序举行交互，以便使用数据或将数据写入位于云中或本地的服务器
6.2.         针对凭据的攻击仍然是最常见的攻击之一
6.3.         业界已经达成共识，用户的身份就是新的界限

• 6.3.1.           必要专门设计的安全控制步伐，以便根据个人的工作和对网络中特定数据的需求对其举行身份验证和授权
  
• 6.3.2.           凭据盗窃可能只是让网络罪犯能够访问你的体系的第一步
  
• 6.3.3.           在网络中拥有一个有效的用户账户将使他们能够横向移动（支点）​，并在某种程度上找到适当的机会将权限提升到域管理员账户
  

6.4.         基于旧的深度防御概念仍然是掩护用户身份的好计谋
6.5.         掩护用户身份的另一个日益增长的趋势是强制实验M FA
6.6.         另一个重要的层是持续监控，因为到了最后，如果你不自动监控自己的身份以相识正常的行为并辨认可疑的活动，那么拥有全部的安全控制层是没有任何意义的
7.       应用程序

7.1.         应用程序(APP)是用户消费数据，并将信息传输、处理惩罚或存储到体系中的入口点
7.2.         微软的SDL（Security Development Lifecycle，安全开辟生命周期）​
7.3.         应用程序面临的另一个安全挑战是怎样在不同的应用程序之间处理惩罚公司的数据，即公司使用和批准的应用程序以及终极用户使用的应用程序（个人应用程序）​
7.4.         支持应用程序的传统网络安全方法并非为掩护SaaS应用程序中的数据而设计，更糟糕的是，它们不能让IT部门相识到员工的使用情况
8.       数据

8.1.         无论数据的当前状态怎样（传输中或静止）​，掩护数据都很重要
8.2.         不同数据状态的威胁和计谋

• 8.2.1.           用户设备上的静态数据
  
  
  
  • 8.2.1.1.            数据当前位于用户的设备上
    
  • 8.2.1.2.            威胁：未经授权的或恶意的历程可能会读取或修改数据
    
  • 8.2.1.3.            对策：静态数据加密可以是文件级加密或磁盘加密
    
  • 8.2.1.4.            受影响的安全三要素：秘密性和完整性
    
  
  
• 8.2.2.           传输中的数据
  
  
  
  • 8.2.2.1.            数据当前正在从一台主机传输到另一台主机
    
  • 8.2.2.2.            威胁：中间人攻击可以读取修改或挟制数据
    
  • 8.2.2.3.            对策：SSL/TLS可用于加密传输中的数据
    
  • 8.2.2.4.            受影响的安全三要素：秘密性和完整性
    
  
  
• 8.2.3.           本地(服务器)或云中的静态数据
  
  
  
  • 8.2.3.1.            数据位于本地服务器的硬盘驱动器或云(存储池)中
    
  • 8.2.3.2.            威胁：未经授权或恶意的历程可能读取或修改数据
    
  • 8.2.3.3.            对策：静态数据加密、可以是文件级加密或磁盘加密
    
  • 8.2.3.4.            受影响的安全三要素：秘密性和完整性
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。