1,0-дневная защита от уязвимостей

6-ступенчатый метод маскировки, неоднородности, блокировки, перехвата, отлова и расследования.

1. Маскировка ключевых отпечатков приложений

Замаскируйте общее промежуточное программное обеспечение и измените поле сервера в заголовке протокола http. Linux можно изменить на IIS6.0.

Измените файл конфигурации промежуточного программного обеспечения и настройте страницу веб-службы приложения мобильной связи так, чтобы она возвращала информацию в виде страницы «ошибки».

Измените отпечаток конфигурации системы шлюза и измените отпечаток системы электронной почты на «Moresec HoneyPot», чтобы отвлечь внимание злоумышленника.

2. Разнородное оборудование для охраны границ (увеличивает сложность и стоимость вторжения)

VPN и межсетевые экраны развертываются гетерогенно, а между внутренними и внешними областями сети системы VPN развертывается большое количество ловушек.

3. Строго контролировать исходящий доступ (возврата нет)

Злоумышленнику необходимо разрешение хоста-жертвы на доступ к Интернету, и он настраивает двусторонний белый список на брандмауэре для блокировки протоколов, включая tcp, udp, icmp, dns и т. д., чтобы атака не могла быть завершена.

4、укреплятьБезопасность хостазащита （）

Успешная эксплуатация некоторых нулевых дней требует, чтобы хост имел права на чтение и запись файлов и развернул систему защиты терминала. Во-первых, отслеживайте операции эксплуатации и обслуживания, а также конфиденциальные рабочие команды адресов, не включенных в белый список, и быстро обнаруживайте аномальное поведение при выполнении команд, включая whoami. идентификатор и т. д., обычно используемые злоумышленниками. Второй — отслеживать чтение конфиденциальных файлов конфигурации сервера, таких как файлы passwd, Shadow и *.conf. Третий — записать файл сценария в веб-каталог, чтобы предотвратить выполнение бэкдора веб-шелла.

5. Устройте внутрисетевые ловушки.

Первый — развернуть ловушки офисных систем в приграничных районах. Второй — разместить базовые системы и централизованные системные приманки в зоне основных вычислений. Третий способ — перенаправить некоммерческий трафик доступа к порту реальной системы в приманку для немедленного обнаружения поведения сканирования в интрасети.

6. Следите за следами эксплойтов нулевого дня.

Во-первых, усилить мониторинг конфиденциальных файлов и каталогов. Уровень хоста, уровень трафика, усиление устранения неполадок при чтении конфиденциальных каталогов и мониторинг обратных пакетов. Второе — усилить контроль за выполнением секретных команд. На уровне хоста программа bash операторской системы заменяется системой обнаружения вторжений, образуя перехватчик выполнения команд для мониторинга конфиденциальных операций выполнения команд. На уровне трафика используется оборудование мониторинга трафика для сопоставления конфиденциальных результатов выполнения команд.

3. Мониторинг команд хоста является основой методов и тактик защиты от уязвимостей нулевого дня.

Обобщая практический опыт, мы обнаружили, что независимо от того, какая именно уязвимость нулевого дня, команду в конечном итоге необходимо будет выполнить на узле интрасети. Хост — это последний и наиболее критический уровень защиты от атак уязвимостей нулевого дня.

Мы сформулировали стратегию защиты от уязвимостей нулевого дня, которая фокусируется на выполнении аномальных команд на управляющем хосте и сопровождается выявлением аномального поведения на уровне сети и приложений, объединением поверхности атаки и формулированием быстрого определения места атаки и процедур устранения.

Разверните скрытую систему обнаружения вторжений на рабочих хостах по всей сети, чтобы обнаружить ключевые варианты поведения атак, такие как рикошетные оболочки. Поскольку персонал по эксплуатации и техническому обслуживанию также выполняет такие команды, как bash и nc, во избежание ложных срабатываний родительский процесс каждой команды в журнале оболочки рекурсивно анализируется. Если обнаруживается, что веб-процесс вызывает оболочку, будет выдан сигнал тревоги. быть выдан (например, родительский процесс является дочерним процессом Java или httpd. Это sh, python). Конфигурация сигнализации SMS-напоминание в режиме реального времени.

Развертывайте приманки с высоким уровнем взаимодействия и моделирования, резервируйте системы VPN и OA в качестве приманок, а также заменяйте реальные бизнес-доменные имена во время атак и защиты, чтобы сбить с толку злоумышленников и выявить уязвимости нулевого дня. В то же время замените клиенты vpn и oa на странице загрузки троянами cs anti-kill и разверните сценарий cna на облачном сервере для предоставления онлайн-напоминаний WeChat. Подключившись к сети, вы можете как можно скорее отследить источник. .

Управление и контроль исходящей сети. Минимизировать авторизацию,

Прочесывайте активы и намечайте пути атаки.

Процесс экстренного реагирования на атаку 0day, стр. 10

0 Доверяйте сети. По умолчанию весь сетевой трафик в офисной сети и производственной сети не является доверенным. Детальное измерение и контроль доступа к сети реализуются на основе атрибутов идентификации, атрибутов устройства, состояния устройства, отношений разрешений и в сочетании с криптографией. технология.

Решите проблемы безопасности, вызванные тенденцией к использованию ИТ без границ.,По сравнению с традиционной моделью границ «доверие, но проверка» отличается,Нулевое довериевсегда оставайся никогда не доверяй,Всегда проверяйте. Нулевое довериесосредоточиться Основная часть — это данные и приложения. Нулевое CloudNetwork решает такие проблемы безопасности, как кража данных и компрометация серверов, вызванные чрезмерным доступом к данным и приложениям после нарушения границ сети.

Объекты защиты: замените сетевую защиту в традиционной архитектуре безопасности на защиту, ориентированную на данные, с упором на приложения и ресурсы.

Основы защиты заключаются в замене традиционной «пограничной» защиты на «безграничную» защиту, недоверие по умолчанию и достижение защиты с минимальными разрешениями.

Концепция защиты заменяет традиционную одноразовую статическую стратегию непрерывной оценкой и динамическим контролем доступа.

Для входа в систему приложения необходимо ввести 6-значный динамический пароль.

0Доверительный шлюз безопасности

4. Тактика захвата, подходящая для серийной ловушки

На основе концепции активной защиты для борьбы с продвинутыми злоумышленниками 0day используются динамический камуфляж и обратные лужи.

Этот метод использует защиту как нападение для внезапной победы. Он не только фиксирует поведение атаки, но также использует уязвимости браузера для успешной реализации контрмер и получения истинной идентификационной информации злоумышленника.

1. Предоставлять информацию о загрязнении

Запишите информацию о загрязнении в конфигурацию базы данных, конфигурацию кэша, конфигурацию интерактивного сервера и факторы шифрования токенов, указывая на ловушки или ложные зонды. В системах Linux в основном подделываются основные файлы конфигурации, такие как история, тень, конфигурация и ssh. Уделение особого внимания истории, объединение навыков эксплуатации и обслуживания, а также периодическая запись в нее информации о загрязнении с высокой вероятностью может сбить с толку злоумышленников.

2. Настройте виртуальный доступ

После завершения локальной ловушки вокруг виртуальной машины необходимо сформировать связанную систему ловушек, чтобы не дать злоумышленникам обойти локальную ловушку и напрямую проникнуть на другие хосты, доступные в сети. Виртуальные процессы можно настроить для имитации реальных услуг с высоким уровнем риска и запускать вместе с реальным бизнесом.

Выберите службу базы данных с уязвимостью несанкционированного доступа в качестве шаблона ловушки. Чтобы обеспечить реалистичность, необходимо детально проанализировать реальную бизнес-модель каждой прикладной системы и целенаправленно развернуть виртуальные процессы, такие как redis, Zookeeper, es и mongodb.

Инструмент переадресации портов Rinetd выполняет переадресацию портов.

Для веб-приложений с высоким уровнем параллелизма виртуальный процесс redis развертывается в базе данных mysql.

Для приложений обмена сообщениями разверните виртуальный процесс Zookeeper на виртуальной машине, где расположена очередь сообщений Kafka.

3. Постройте обратную лужу

После захвата веб-шелла, загруженного злоумышленником, защитник может вставить в него js-код (зонд). После повторного посещения злоумышленником будет возвращена информация о его операционной системе и активах браузера. Если появляются две разные версии информации об активе, это означает, что злоумышленник использует виртуальную машину для проведения атаки и продолжает вставлять код Canvas (зонд) на основе предыдущего кода js для получения информации об аппаратном обеспечении компьютера злоумышленника. Например, процессор, видеокарта, аккумулятор, размер экрана и т. д. Возвращая данные для идентификации операционной системы и браузера, используемых злоумышленником, данные проверки уязвимостей соответствующих активов заполняются, чтобы определить наличие уязвимостей, которые можно использовать. Убедившись в существовании уязвимости, доставьте троян CS, предотвращающий уничтожение, через уязвимость и выпустите его. Установите личность нападавшего.

Существует множество технологий отслеживания WebShell. На этот раз основная информация о хакере (злоумышленнике) получается удаленно с помощью js-скрипта. После нахождения WebShell откройте исходный код WebShell и добавьте написанный js-скрипт, чтобы убедиться, что скрипт эффективен. , сначала вам необходимо проверить это самостоятельно. Посмотрите, сможете ли вы получить информацию о средстве просмотра и подтвердить ее правильность в соответствии с ранее записанными атрибутами файла WebShell, восстановите время изменения файла до времени записи!

Примечание. Конкретные сценарии js можно написать в соответствии с вашими потребностями или расширить самостоятельно на основе сценариев с открытым исходным кодом в Интернете, инструментов с открытым исходным кодом, таких как BeeF, или других инструментов с открытым исходным кодом и т. д.!

5. Архитектура нулевого доверия гарантирует, что VPN всегда онлайн.

Можно достичь нескольких ключевых целей

1. VPN всегда онлайн

2. Защита достаточна, чтобы эффективно прервать цепочку атак злоумышленника.

3. Рабочий процесс является гибким и автоматическим, что позволяет избежать больших инвестиций в рабочую силу для эксплуатации и технического обслуживания.

1. Внедрить систему архитектуры нулевого доверия и установить контрольные показатели безопасности личных данных сотрудников.

Все сотрудники устанавливают приложение безопасности, привязывают отпечатки пальцев устройств и номера мобильных телефонов, а также включают функции строгой факторной аутентификации, такие как сканирование кода и динамические пароли. Все сотрудники должны использовать приложение для завершения аутентификации при входе в систему.

2. Сделайте злоумышленника невидимым. Первый уровень защиты.

Пограничный межсетевой экран устанавливает политику таким образом, чтобы адрес VPN был закрыт для Интернета. Злоумышленники не могут обнаружить его напрямую и не могут атаковать обычным способом. Сотрудникам необходимо указать IP-адрес легального ПК в приложении. Измененный адрес будет автоматически обработан системой управления политиками ACL и добавлен в белый список пограничного брандмауэра, после чего доступ можно будет инициировать в обычном режиме. В то же время в сети создается набор приманок VPN с большим количеством имитаций, чтобы сбить с толку злоумышленников.

3. Не допускайте проникновения злоумышленников. Второй уровень защиты.

Укрепите VPN и включите функцию выделенной линии VPN-клиента, чтобы компьютер пользователя автоматически отключался от других интернет-адресов при создании VPN-туннеля.

4. Не позволяйте злоумышленникам достичь третьего уровня защиты.

Ограничить доступ к сети с VPN-устройства в интрасети.,Доступно только по умолчаниюНулевое доверие Безопасность网关。существовать Нулевое довериешлюз безопасности上设置策略,Включить непрерывную аутентификацию и проверку полномочий для всего трафика.,

Maltego Forensics, инструмент для сбора информации

6. Гетерогенная приманка высокой плотности

Honeynet: сеть-приманка, управляемая центром управления сетью-приманкой и состоящая в общей сложности из пяти линий защиты приманок в Интернете, демилитаризованной зоне, центре обработки данных интрасети, точке конвергенции зарубежной сети и информационной системе.

Центр управления единообразно собирает сигналы тревоги ловушки через системный журнал, выдает инструкции по управлению на основе SSH и комплексно реализует планирование ресурсов ловушки, контроль доступа, анализ журналов, отображение ситуации и другие функции.

Решение для проверки местоположения по IP

Удалите известные безопасные IP-адреса, используйте библиотеку IP-адресов с открытым исходным кодом, чтобы отметить право собственности на оставшиеся IP-адреса, и отфильтруйте IP-адреса различных поставщиков общедоступных облаков. IP-адреса публичного облака обычно используются злоумышленниками, поскольку их легко получить и они удобны. гипотетические инструменты атаки.

1. Фильтрация IP-локации

Извлеките посещаемые IP-адреса за первую неделю, удалите дубликаты, исключите их из белого списка и определите оставшиеся IP-адреса. Извлеките IP-адреса облачных хостов с общедоступными IP-адресами, которые можно использовать в качестве атакующих машин, трамплинов и серверов удаленного управления, и извлеките эти IP-адреса облачных хостов отдельно.

2. Анализ на основе временного измерения

Извлеките данные доступа за период от 3 месяцев до полугода до учений и сравните их с данными после начала учений. Путем сравнения мы можем эффективно обнаружить новые IP-адреса. Новые части часто включают IP-адреса злоумышленников.

3. Анализ на основе региональных измерений

Из-за метода развертывания в нескольких местах разные центры обработки данных расположены в разных местах сети. Если несколько центров обработки данных одновременно добавляют новые IP-адреса доступа, этот IP-адрес будет IP-адресом атаки для указанного устройства.

4. Анализ на основе поведенческих аспектов

Используйте аналитику угроз для проверки сценариев майнинга и DDOS, включенных в трафик, чтобы исключить агентов, сканеров и IP-адреса, созданные черными атаками.

7. Создайте динамическую систему защиты на основе анализа угроз.

Ежедневный сбор, обработка и моделирование информации об угрозах в основном основаны на следующих стратегиях:

1. Разделите сигналы тревоги, собираемые устройствами безопасности, на четыре категории в зависимости от поведения атак: сканирование портов, обнаружение служб, попытки атак и вредоносный код. Большинство атак выполняются в соответствии с этими четырьмя этапами, а затем отслеживаемое поведение атак классифицируется в соответствии с этапами атаки.

2. На основе углубленного анализа последовательности событий поведения атаки, чтобы обеспечить основу для прогнозирования атак и отслеживания источника, используйте классификацию OWASP и номер CVE поведения атаки и порядок выполнения трояна для кодирования обнаруженной атаки. поведение и, наконец, используйте последовательность строк. В форме идентифицируется каждая последовательность поведения атаки, эта последовательность применяется к модели расчета сходства угроз в базе данных разведки угроз, и вычисляются последовательности атак с высоким сходством в базе данных разведки.

3. Во время конкретного анализа поведения атак, чтобы избежать обнаружения, злоумышленники обычно применяют низкоскоростные методы случайного сканирования в сочетании с математической статистикой и другими методами, чтобы определить распределение интервалов атак злоумышленника, тем самым обнаруживая потенциальные характеристики атаки.

4、Агрегированный、фильтр、Очистка, время реакции на поведение атаки、Время начала и окончания интервала атаки、Список последовательного сканирования портов、Порядок обнаружения услуг、Сканирование уязвимостейзаказ、Список действий по вредоносному коду и другие аспекты,Создайте базу данных сигнатур атак.,Сформируйте библиотеку аналитики угроз.

Комплексные цели мониторинга безопасности и утилизации.

Собственное разведывательное производство

1. Используйте систему мониторинга для обнаружения большого количества атак, лазеек, вредоносных файлов, ненормального охвата и других тревожных данных в сети водного хозяйства и отправьте их в разведывательный центр после анализа и принятия решения.

2. Аналитический центр стандартизирует и нормализует такую ​​информацию, как время сигнала тревоги, причина сигнала тревоги, IP-адрес сигнала тревоги, IP-адрес актива и другую информацию в режиме реального времени. После автоматического дополнения времени, источника и другой информации он настраивает весовой балл и проходной балл. производственная информация в соответствии с типом уровня тревоги.

3. После завершения производства разведданных запишите их в разведцентр через restful api.

4. Каждое подразделение представляет отчет защиты в едином формате. Разведывательный центр использует технологию распознавания текста, основанную на глубоком обучении, для автоматического извлечения таких данных, как время тревоги, причина тревоги, IP-адрес тревоги, IP-адрес актива и т. д., а затем выполняет то же самое. обработка для завершения производства.

Сбор отпечатков пальцев хакера

Опираясь на систему-приманку для создания базы данных отпечатков пальцев хакера, база данных отпечатков пальцев объединяет систему, устройство, html5 webGL, HTML5 Canvas, отпечатки идентификаторов сторонних веб-сайтов и т. д.

Когда злоумышленник посещает ложную веб-страницу в системе-приманке, страница помещает на компьютер хакера зомби-куки. Файлы cookie-зомби разбросаны во многих местах, и их трудно удалить. Они собирают и формируют уникальную информацию об отпечатках пальцев, тем самым предоставляя хакерам возможность захвата разведывательной информации и возможности отслеживания.

Когда хакер начинает атаку, если он вошел на сторонние веб-сайты, такие как Baidu, Sina и Youku, система-приманка может перехватить его идентификатор входа. Второй — определить, является ли это иностранным злоумышленником, путем анализа языка операционной системы хакера, часового пояса, IP-адреса и другой информации.

Постепенно выпустите систему моделирования в сочетании с последней версией 0day. Запущена полностью англоязычная система бизнес-симуляции и на этом сайте загружена контрприманка.

Имя пользователя и пароль, используемые в процессе грубого взлома, добавляются в словарь паролей для ежедневной внутренней проверки слабых паролей. Если имя пользователя является названием компании, пользователю необходимо отправить напоминание о риске.

Выявите инструменты атаки злоумышленника с помощью сертификатов, идентификации кода и т. д., а также проведите анализ гомологии злоумышленника.

Внешний адрес после успешной атаки используется для отслеживания того, был ли скомпрометирован внутренний хост.

Для загруженного хэша трояна агент хоста регулярно сканирует хэши файлов, соответствующие серверному процессу и элементам запуска, чтобы определить, были ли под контролем другие хосты.

Спасибо, Мастер, за чудесный рассказ:

Часть источника статьи:

kennys233:https://www.t00ls.com/thread-66570-1-1.html

bokaLA: Методы и тактики социальной инженерии защиты на основе системы XX-OA

Некоторые из них взяты из Интернета, спасибо мастерам, что поделились! ! ! ! ! ! ! !