安全是有分量的

ddos高防ip_美国高防100g4h4g_优惠券

2022-01-15 02:50栏目:行业

ddos高防ip_美国高防100g4h4g_优惠券

维特兹·比克马英国普华永道端点威胁检测和响应分析员19年8月21日

要抓住小偷,你必须像小偷一样思考。

上个月,我在2019年伦敦安全BSides上介绍了对手模拟。这篇博客文章将从高层次概述讨论内容,防御cc免费工具,包括贵组织的最佳实践。

为什么和如何

对手模拟,顾名思义,在受控/隔离的生产环境中模仿攻击者行为的一种方法。此类模拟通常在妥协后设置中运行,即假设攻击者在测试环境中获得了一些初始立足点。大约两年前,Gartner将其称为"新兴技术",越来越多的组织依靠一种攻击者模拟形式来量化其检测和预防工具的有效性。

虽然与更传统的pentesting有一些重叠,攻击者仿真的不同之处在于,它通常是自动化的,并且通常是连续威胁检测和响应开发周期的一部分。攻击者仿真允许您使用真实的攻击者模型测试自己的安全控制,确保您的威胁检测功能按预期工作。甚至可以定义特定的攻击者组模型,允许您在您的环境中测试特定的攻击者战术、技术和行为。由于其自动化性质,攻击可以用最少的努力反复测试。如果您将其集成到安全开发周期中,它可以帮助跟踪防御的有效性。如果您的组织在成熟度方面还不太成熟,那么值得首先研究折衷发现评估或行为规则订阅。

另一个优势是使用对手仿真工具可以帮助您更好地了解攻击者。为了定义合适的攻击者模型,您必须研究您的潜在对手,以了解他们的目标、使用的技术以及他们的行为方式。这应该反映在你的防御中,无论是在端点、网络还是社交层面。订阅威胁情报通常有助于及时了解组织可能面临的威胁行为人,阿波罗ddos防御体系,以及他们使用的战术和技术。

最后,免费高防国外cdn,无论你是试图说服组织内的人,还是试图打动客户,还是仅仅为了自己的利益,攻击者模拟是一种很好的方式,可以显示您为保护您的组织所做的工作是有效的。仿真应该触发不同层次的检测和预防,并且应该证明您会发现这种行为。虽然它不能保证为您提供完全的保证,但它是您防御状态的一个很好的指示。

使用MITRE的火山口模拟工具

有各种工具可用于帮助对手模拟。MITRE,流行的ATT&CK背后的组织™ 框架,他们已经发布了自己的开源对手仿真工具CALDERA。该工具附带了几种现成的攻击者技术,包括一些攻击者配置文件。但是,这仍然是有限的范围,可以通过编写小型Python模块来扩展,这些模块由工具的后端解释,可以通过其web界面轻松添加到攻击者配置文件中。

要开始使用CALDERA,只需在单独的机器上下载并安装最新版本,这将是火山口服务器。此服务器将充当指挥和控制(C2)通道,向参与仿真的一个或多个主机发送指令。安装CALDERA后,您将需要在至少一台其他计算机上安装CALDERA代理,该计算机可作为仿真的启动主机(请记住,对手仿真假定为妥协后场景)。

当前版本的CALDERA支持两种模式:链模式和对手模式。前者以用户定义的顺序将单个、孤立的攻击者命令链接在一起。虽然这是一个很好的对抗性测试,但它是一个很好的对抗性测试。敌方模式需要更多的时间进行设置,但更灵活,因为它允许您随机化命令,使用(更)不确定的执行顺序,并使用一种攻击者技术的输出作为另一种技术的输入。例如,一个操作可能是转储凭证,而第二个操作使用这些凭证进行横向移动。

超越标准CALDERA:模拟检测绕过技术

在CALDERA的敌对插件提供的现成功能之上,我们可以更进一步。我们将重点介绍三个扩展,它们可以帮助以更现实的方式模拟敌对行为:

LOLbins,安徽抗ddos天网防御,或以陆地二进制文件为生,是常见于机器上的合法可执行文件,可以被诱骗执行意外命令。这种方法的好处包括,攻击者不必携带自己的工具,而且由于使用合法的二进制文件,他们的行为更容易受到监视。LOLbins的常见示例包括PowerShell和cscript/wscript等解释器,但还有很多其他选项:MITRE攻击中的执行策略™ 框架记录了许多可用于此目的的技术。

为了在CALDERA中实现这一点,我们创建了一个新的软件类,可用于CALDERA的前置/后置条件结构。这允许我们指定某些操作需要软件(例如,设置webshell的操作需要Web服务器),或者该操作可以帮助下载或安装软件(例如,定义使用certutil.exe下载软件的LOLbin操作)。

使用此,CALDERA中的攻击路径可能是:

如果您正确定义了这些操作的前置和后置条件,CALDERA将自行确定上述路径。

certutil.exe LOLbin操作代码示例,使用软件对象作为前置和后置条件。