《请君入瓮——APT攻防指南之兵不厌诈》—第3章3.4节小结

3.4 小结
请君入瓮——APT攻防指南之兵不厌诈
本书讲的就是主动反击网络入侵。世界各地的执法机构和情报机构都不会推荐我们这种主动接近对手的方法。这些内容绝不是教您作恶,但是您将能够建立一些分析网络攻击的档案,了解别人作恶的方法。如果您行为不当或动机不纯,相关的执法机构会找上门拜访您。其实,多数的单位、机构、个人都这样搜集网络威胁的相关情报,以便在他们亲身应对这些问题的时候能够更好地理解问题,处理问题。

本章回顾了传统反间谍工作和它的优点,之后介绍了一些历史悠久却行之有效的网络反间谍手段。这些内容有助于您更好地了解测量威胁的基本指标——可观测量。接着,我们也介绍了不少以牙还牙地收集威胁的情报的具体方法。每位参与撰写本书的专家都有兴趣积极主动地实现安全(即进攻性防御,我们不是坐以待毙地等待入侵,而是要主动追踪各种威胁),有兴趣解读、反击各种威胁。若非如此,我们也不会费力撰写这本最佳实践方法手册。

下一章将会介绍网络事件背后的刑事分析,以及与法律机构(律师团队或政府的执法机构)合作的方法。但是这一切都以您技术工作到位为前提:收集足够的信息、记录何种数据包、logging……很多工作都要做到位。只有理解发生了什么,正在发生什么,才能明白日后会发生什么。请不要忘记这点。深入理解威胁,将有助于增强个人安全意识,有助于提升企业保护水平。要做到理解网络威胁这点,就需要同时研究网络犯罪和现实世界犯罪的案例,分析他们的惯犯、系列罪犯并研究他们的个性。更多案例可直接在网上找到:www.cyberlawclinic.org/casestudy.asp。

本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

时间: 2024-09-30 21:22:24

《请君入瓮——APT攻防指南之兵不厌诈》—第3章3.4节小结的相关文章

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.2节基于主机的工具

8.2 基于主机的工具 请君入瓮--APT攻防指南之兵不厌诈 最简单形式的基于主机安全的控制措施是监控独立主机(应用程序)的运行状态.通过对系统监控可以发现是否有恶意文件执行,是否有应用程序尝试修改某些文件,以及发现许多可能属于恶意类别的行为.高级一些的措施则是使用基于主机的安全控制手段,包括使用高级应用程序白名单,其本质是告诉计算机哪些程序可以运行. 如果能够合理设计和部署,这些工具可以用于防御持续性威胁.但一个不能忽略的重要因素是,基于主机的安全技术并不是消除网络顽疾的灵丹妙药.它们只是提升

《请君入瓮——APT攻防指南之兵不厌诈》目录—导读

版权声明 请君入瓮--APT攻防指南之兵不厌诈 Sean Bodmer, Dr. Max Kilger, Gregory Carpenter and Jade Jones Reverse Deception: Organized Cyber Threat Counter-Exploitation ISBN:978-0071772495 Copyright 2012by McGraw-Hill Education. All Rights reserved. No part of this publ

《请君入瓮——APT攻防指南之兵不厌诈》—第3章3.3节 稽查PT和APT

3.3 稽查PT和APT 请君入瓮--APT攻防指南之兵不厌诈 前文讲过,我们能够检测.监控.追踪网络攻击:无论是PT还是APT,我们都要积极地与它们进行互动.我已经知道某些人会想"您不是疯子就是神经质".哎,抱歉,我是兼而有之:即不是疯子又不是神经质的人,肯定就既不地道也不专业. 本书第1章简要介绍了9个关键的可观测量.第1章的后半部分更深入研究了这些概念,帮助您以网络反间谍专家的视角看待数据,越来越深刻地理解可观测量.可观测量的重要之处在于,它在衡量攻击和对手重要性的同时,也能辅助

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.4节欺骗技术

8.4 欺骗技术 请君入瓮--APT攻防指南之兵不厌诈 您是否曾有过这样的困惑:威胁到底是如何感染网络的?入侵者又是如何潜入系统的?他们之间如何通信?他们是用什么方法攻陷系统的?他们发送和接收的流量是什么样?他们打算窃取您公司的"王冠"1,还是只想借用您的计算机发送垃圾邮件?好吧,继续往下读. 您可能打算"山寨"一个与您的网络相似的系统,引诱潜在的攻击者来入侵,这样您就可以掌握先机2,向他们学习而不是坐以待毙.经过多年苦心经营,您的骗局日臻完美,这样的付出不是为了换

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.5节安全贵在未雨绸缪

8.5 安全贵在未雨绸缪请君入瓮--APT攻防指南之兵不厌诈您可以通过主动监测网络与系统的运行,提高网络与系统安全状态.虽然使用各种工具阻断.过滤和监控网络流量十分关键,但还必须如攻击者一般思考并行动,找到攻击者在您网络中探测到的漏洞,并利用其测试自身防御机制是否有效.简而言之:自我检查,发现问题,解决问题. 目前,已有大量书籍对这一主题进行了详尽阐述.在本书中,我们将谈及那些需要检查的更高级别的领域.本节中提到的工具,只是可用来采取积极防护措施保护网络安全的众多工具中的一小部分而已. 8.5.

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.节工具及战术

第8章 工具及战术请君入瓮--APT攻防指南之兵不厌诈 抵制高级威胁或持续威胁有多种方法.绝大多数企业会简单地将被入侵主机离线,重建系统并再次投入使用.如果对付的是那些对企业数据没有直接兴趣的随机犯罪分子,上述战术足矣.不过,如果对付的是那种具有特定动机和攻击目标的持续性威胁,这样做几乎毫无意义,这是因为,这类威胁为在系统中顽强存活,采用的是高级的攻击技术.需要记住的最重要一点是,(理论上)您从物理意义上完全控制您的企业本身,而攻击者很可能只能在远处,无法从物理上接触您的网络系统.这是一个被大多

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.3节基于网络的工具

8.3 基于网络的工具请君入瓮--APT攻防指南之兵不厌诈基于网络的工具是两个安全重点关注领域中较为有趣的一类,也是最具可操作性的工具.过去的10年间,犯罪软件不断发展,每天都如海啸一般涌向全球网民. 有两种有效的基于网络的工具: 防火墙:入侵检测系统(IDS)和入侵防御系统(IPS).8.3.1 防火墙防火墙是最早被开发的网络安全技术之一,用以保护接入网络的组织和网络节点.防火墙可能是最后一道安全防线,这取决于网络设置.隔离区(DMZ)和路由器会先于防火墙发现恶意流量. 近年来,这类技术不断发

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.7节 小结

8.7 小结请君入瓮--APT攻防指南之兵不厌诈有很多安全工具可用来保护您和您的组织.本章抛砖引玉,仅涵盖了其中的一小部分以指明方向.您可以借助这些信息,仔细研究和探索适合自身企业的安全架构. 了解网络状态是顺利执行欺骗(蜜网)的关键,同样,通过蜜网系统了解您的敌人如何操作,也可以为基于观察工具.战术.过程(TTP)的防御体系测试提供便利.我们已经讨论了预防措施,并得出以下结论:当敌人在执行恶意操作时主动诱捕他们,掌握先机,检查您的系统安全状况:当安全壁垒被攻陷时,采取措施深入了解敌人,以便确定

《请君入瓮——APT攻防指南之兵不厌诈》—第1章1.3节PT和APT的区别

1.3 PT和APT的区别请君入瓮--APT攻防指南之兵不厌诈在一些反间谍行业的行家里手才会知道的圈子里,多数网络情报分析员的工作就是检测主动威胁并且为其生成数字签名.他们称自己的这份苦差事就是"捉间谍.贴签"1.而(鉴定国内外间谍的)反间谍团队主要处理对手直接推销上门的威胁和事故:他们自称工作是"捉间谍.贴签.追踪",即一直重复进行的事故检测和模式识别的工作.所谓"贴签"就是按照不同的权重和标准,对威胁进行全方面的评估.所有企业都应该这样处理网

《请君入瓮——APT攻防指南之兵不厌诈》—第1章1.2节APT定义

1.2 APT定义请君入瓮--APT攻防指南之兵不厌诈虽然大家一般都会习惯照搬维基百科(Wikipedia)的说法来解释APT,但是我们希望读者能够从更广义的角度了解APT.维基百科里的定义介绍了APT的一些必备要素(http://en.wikipedia.org/w/index.php?title=Advanced_Persistent_Threat&oldid=421937487). Advanced(高级的):发动APT攻击的入侵者能够进行全方面的情报收集.他们不仅会掌握计算机入侵技术和技