本文从攻击和防守两个视角探讨红蓝对抗中的策略与挑战。攻击视角中,强调了资产收集、蜜罐识别、内网渗透的新思路以及钓鱼邮件的创新方法。防守视角则关注自我升级、安全体系建设以及大数据、AI在安全防护中的应用。总结指出,攻防双方需不断创新,人心是最复杂的战场。
目录
攻击视角
- 1、Q:防守方IP封禁效率越来越高,IP/代理成本直线上升,传统的漏洞扫描策略收效甚微
A:必须做好资产收集,正确确认资产指纹,做到精准打击;
A:蜜罐识别:蜜罐作为有效的反制利器已在防守方大量使用,尽早发现蜜罐,规避蜜罐对己方的信息
- 2、Q:防守方暴露的目标系统被安全厂商及设备重重保护,而高效的0day挖掘更加不易
A:尽可能思考新思路绕过,比如:可以从第三方渠道入手,感染甲方员工使用的软件,一旦软件升级/加载被感染的文件即可绕过安全设备
- 3、Q:一旦进入内网,防守方发现后会迅速对失陷机器进行下线处理(断网、关机、断电),内网渗透和隐蔽自身的时间极其短暂
A:除了熟练技巧把握时间之外,相关的内网工具需要加入清理痕迹、定时删除自身的功能,一旦回联失败,尽可能减少被防守方溯源的可能
- 4、Q:防守方针对钓鱼邮件的安全培训(甚至攻防期间禁止使用邮件、关闭邮箱)和安全设备(沙箱、文件鉴定器)逐渐完善
A:钓鱼邮件不能像营销号一样觉得吸引眼球即可,而是要根据目标单位的性质,精巧的编织话术;
A:开放思路:钓鱼也不仅限于邮件,任何能与目标系统接触的方式皆可钓鱼,比如微信等社交软件,前台、公开招商电话等等;
防守视角
- 1、防守总是滞后的:不能等匹配到攻击特征再做出反应,要学会自我升级
内部攻防演练;安全体系更新;安全培训精确到每个岗位的安全应急响应.....
- 2、短板理论:安全体系就像打造一座城堡,尽可能武装到牙齿
建立安全体系会提高成本、降低系统整体性能,应该尽可能在平时注重安全细节,避免关键时刻落实安全方案时因成本高影响大而困难重重;
- 3、大数据、AI在攻守两方广泛运用,数据保密迫在眉睫
例1:张三抢劫了附近的珠宝店并把个人信息都彻底换掉了。
思路:把最近不用的手机号和新出现的手机号做行为轨迹匹配。
例2:建立模型,将攻击者信息放到搜索引擎等各个平台自动搜索、匹配,自动完成攻击者画像。
- 4、安全意识(反侦察意识):人自身才是最大的安全隐患,像黑客一样思考
例如:蜜罐,在Github上伪造个含公司信息的代码仓库,故意放些密码,比如MySQL密码,然后攻击队肯定会去GitHub搜索敏感信息,然后就会尝试利用。。
总结
道高一尺魔高一丈,没有“银弹”,攻防都需要不断进步、互相学习;
虽然技术迭代日新月异,但大家的“装备”都在同一个等级时,新思路、新方法才是“出奇制胜”的关键!
毕竟,人心才是最有趣的攻防“游戏”!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
