《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.7节 小结

8.7 小结
请君入瓮——APT攻防指南之兵不厌诈
有很多安全工具可用来保护您和您的组织。本章抛砖引玉,仅涵盖了其中的一小部分以指明方向。您可以借助这些信息,仔细研究和探索适合自身企业的安全架构。

了解网络状态是顺利执行欺骗(蜜网)的关键,同样,通过蜜网系统了解您的敌人如何操作,也可以为基于观察工具、战术、过程(TTP)的防御体系测试提供便利。我们已经讨论了预防措施,并得出以下结论:当敌人在执行恶意操作时主动诱捕他们,掌握先机,检查您的系统安全状况;当安全壁垒被攻陷时,采取措施深入了解敌人,以便确定应对战术。

抵御高级威胁的能力取决于所使用的工具,例如本章中介绍的工具。如果这些工具使用起来并不得心应手,那么请花费一些时间找到适合自己的工具。如果不选用上述工具,那么将很难确定攻击者的技术水平以及攻击原因。(猜测一下,下一章将会介绍哪些内容?)

本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

时间: 2024-10-31 19:07:00

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.7节 小结的相关文章

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.2节基于主机的工具

8.2 基于主机的工具 请君入瓮--APT攻防指南之兵不厌诈 最简单形式的基于主机安全的控制措施是监控独立主机(应用程序)的运行状态.通过对系统监控可以发现是否有恶意文件执行,是否有应用程序尝试修改某些文件,以及发现许多可能属于恶意类别的行为.高级一些的措施则是使用基于主机的安全控制手段,包括使用高级应用程序白名单,其本质是告诉计算机哪些程序可以运行. 如果能够合理设计和部署,这些工具可以用于防御持续性威胁.但一个不能忽略的重要因素是,基于主机的安全技术并不是消除网络顽疾的灵丹妙药.它们只是提升

《请君入瓮——APT攻防指南之兵不厌诈》目录—导读

版权声明 请君入瓮--APT攻防指南之兵不厌诈 Sean Bodmer, Dr. Max Kilger, Gregory Carpenter and Jade Jones Reverse Deception: Organized Cyber Threat Counter-Exploitation ISBN:978-0071772495 Copyright 2012by McGraw-Hill Education. All Rights reserved. No part of this publ

《请君入瓮——APT攻防指南之兵不厌诈》—第3章3.3节 稽查PT和APT

3.3 稽查PT和APT 请君入瓮--APT攻防指南之兵不厌诈 前文讲过,我们能够检测.监控.追踪网络攻击:无论是PT还是APT,我们都要积极地与它们进行互动.我已经知道某些人会想"您不是疯子就是神经质".哎,抱歉,我是兼而有之:即不是疯子又不是神经质的人,肯定就既不地道也不专业. 本书第1章简要介绍了9个关键的可观测量.第1章的后半部分更深入研究了这些概念,帮助您以网络反间谍专家的视角看待数据,越来越深刻地理解可观测量.可观测量的重要之处在于,它在衡量攻击和对手重要性的同时,也能辅助

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.4节欺骗技术

8.4 欺骗技术 请君入瓮--APT攻防指南之兵不厌诈 您是否曾有过这样的困惑:威胁到底是如何感染网络的?入侵者又是如何潜入系统的?他们之间如何通信?他们是用什么方法攻陷系统的?他们发送和接收的流量是什么样?他们打算窃取您公司的"王冠"1,还是只想借用您的计算机发送垃圾邮件?好吧,继续往下读. 您可能打算"山寨"一个与您的网络相似的系统,引诱潜在的攻击者来入侵,这样您就可以掌握先机2,向他们学习而不是坐以待毙.经过多年苦心经营,您的骗局日臻完美,这样的付出不是为了换

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.5节安全贵在未雨绸缪

8.5 安全贵在未雨绸缪请君入瓮--APT攻防指南之兵不厌诈您可以通过主动监测网络与系统的运行,提高网络与系统安全状态.虽然使用各种工具阻断.过滤和监控网络流量十分关键,但还必须如攻击者一般思考并行动,找到攻击者在您网络中探测到的漏洞,并利用其测试自身防御机制是否有效.简而言之:自我检查,发现问题,解决问题. 目前,已有大量书籍对这一主题进行了详尽阐述.在本书中,我们将谈及那些需要检查的更高级别的领域.本节中提到的工具,只是可用来采取积极防护措施保护网络安全的众多工具中的一小部分而已. 8.5.

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.节工具及战术

第8章 工具及战术请君入瓮--APT攻防指南之兵不厌诈 抵制高级威胁或持续威胁有多种方法.绝大多数企业会简单地将被入侵主机离线,重建系统并再次投入使用.如果对付的是那些对企业数据没有直接兴趣的随机犯罪分子,上述战术足矣.不过,如果对付的是那种具有特定动机和攻击目标的持续性威胁,这样做几乎毫无意义,这是因为,这类威胁为在系统中顽强存活,采用的是高级的攻击技术.需要记住的最重要一点是,(理论上)您从物理意义上完全控制您的企业本身,而攻击者很可能只能在远处,无法从物理上接触您的网络系统.这是一个被大多

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.3节基于网络的工具

8.3 基于网络的工具请君入瓮--APT攻防指南之兵不厌诈基于网络的工具是两个安全重点关注领域中较为有趣的一类,也是最具可操作性的工具.过去的10年间,犯罪软件不断发展,每天都如海啸一般涌向全球网民. 有两种有效的基于网络的工具: 防火墙:入侵检测系统(IDS)和入侵防御系统(IPS).8.3.1 防火墙防火墙是最早被开发的网络安全技术之一,用以保护接入网络的组织和网络节点.防火墙可能是最后一道安全防线,这取决于网络设置.隔离区(DMZ)和路由器会先于防火墙发现恶意流量. 近年来,这类技术不断发

《请君入瓮——APT攻防指南之兵不厌诈》—第1章1.3节PT和APT的区别

1.3 PT和APT的区别请君入瓮--APT攻防指南之兵不厌诈在一些反间谍行业的行家里手才会知道的圈子里,多数网络情报分析员的工作就是检测主动威胁并且为其生成数字签名.他们称自己的这份苦差事就是"捉间谍.贴签"1.而(鉴定国内外间谍的)反间谍团队主要处理对手直接推销上门的威胁和事故:他们自称工作是"捉间谍.贴签.追踪",即一直重复进行的事故检测和模式识别的工作.所谓"贴签"就是按照不同的权重和标准,对威胁进行全方面的评估.所有企业都应该这样处理网

《请君入瓮——APT攻防指南之兵不厌诈》—第1章1.2节APT定义

1.2 APT定义请君入瓮--APT攻防指南之兵不厌诈虽然大家一般都会习惯照搬维基百科(Wikipedia)的说法来解释APT,但是我们希望读者能够从更广义的角度了解APT.维基百科里的定义介绍了APT的一些必备要素(http://en.wikipedia.org/w/index.php?title=Advanced_Persistent_Threat&oldid=421937487). Advanced(高级的):发动APT攻击的入侵者能够进行全方面的情报收集.他们不仅会掌握计算机入侵技术和技