曾經,安全技術所必須避免的重點就是產生一連串的事件通知。將系統調整到只會通報已經確定的惡意攻擊事件是首要任務。你的防火牆必須非常肯定這些流入封包不屬於已建立的網路連線,或是入侵防禦系統需要能明確指出這些封包是在嘗試做漏洞攻擊才能提出警報。
在 20 世紀,甚至是 21 世紀初,我們習慣防禦就是將一切弄得清清楚楚;防火牆告訴我一切正常,ips 告訴我一切正常,防病毒軟體告訴我一切乾淨;所以一切就都正常,對吧?錯了,這種短視的安全作法就是讓針對性攻擊在世界各地如此成功的原因之一。
在現實裡,那句見樹不見林的古諺說得再生動不過了。我們太過於注重「已知的惡意」,因為想要更精簡和集中分析而對「正常」的處理,讓我們忽略脈絡而陷於危險中。
想象一下,在你伺服器機房外的走廊上乙個安全監視器照到乙個人,讓我們叫他戴夫。利用步態辨識和臉部識別都可以確認戴夫的身分,系統甚至可以指出他穿著清潔工的**,這很不錯,因為戴夫是名清潔工。戴夫接近伺服器機房大門,使用他的 nfc 卡開門,因為安全監視器和門禁系統已經聯機,所以可以開啟。在伺服器機房內的第二個監視器也確認的確是戴夫走進門來,一切都很好。
根據短視模型,這些事件都將被棄用,放進即將被清除的日誌資料夾內,因為「這裡沒什麼值得看的」,但是這些事件所呈現出的脈絡對我們想監視的事情非常珍貴……
如果戴夫在伺服器機房內不是在做清潔地板這類已知良好的行為,而是坐在一台伺服器前開始敲鍵盤呢。這顯然不是件好事,應該在某處敲響警鐘。但如果我們去掉我們聰明的大腦所記得和關連出的所有脈絡,那還剩下什麼?乙個人在伺服器機房使用計算機?警備隊退下,這事件當然也屬於「這裡沒什麼值得看的」資料夾。
在 apt 高階持續性滲透攻擊的年代,安全事件監控準則也產生了變化。除非我們開始利用海量資料管理和事件關聯所帶來的機會,除非我們開始擴大可供我們安全資訊和事件管理系統使用的資料,不然高度針對性目標攻擊還是會繼續逃脫我們的監視。攻擊者利用合法使用者的身分認證和信任關係,持續待在你最敏感網路內很長一段時間,可以自由自在地穿越鬆散的安全技術。
除非你學會退兩步來看事件,不然你還是只會見樹而不見林。脈絡才是王道。
@原文出處:perspective matters: contextual security
基於iptables的防火牆依賴環境
安裝 libmnl 1.0.4 libnfnetlink 1.0.1 libnetfilter queue 1.0.3 解壓之後 configure make make install 安裝 setuptools 41.0.1 pip 19.1.1.tar scapy 2.4.2.tar 解壓之後 ...
不用防火牆自動對付CC攻擊防範vbs
cc攻擊原理 cc主要是用來攻擊頁面的.大家都有這樣的經歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,開啟頁面的速度會比較慢,對不?一般來說,訪問的人越多,論壇的頁面越多,資料庫就越大,被訪問的頻率也越高,占用的系統資源也就相當可觀,現在知道為什麼很多空間服務商都說大家不要上傳論壇,聊天...
資料庫防火牆如何防範SQL注入行為
sql注入是當前針對資料庫安全進行外部攻擊的一種常見手段。現有主流應用大多基於b s架構開發,sql注入的攻擊方式正是利用web層和通訊層的缺陷對資料庫進行外部惡意攻擊。將sql命令巧妙的插入通訊的互動過程中,如 web表單的遞交 網域名稱輸入 頁面請求等。通過硬性植入的查詢語句攻擊資料庫,以期利用...