护网前夜 | 防守的五个谎言和一个真相
2024-6-18 11:3:40 Author: mp.weixin.qq.com(查看原文) 阅读量:22 收藏

导语:

最近关于护网的“小道”消息越来越多,不管消息真假如何,当攻击队在A点完成集结后,也就意味着一年一度的大型网络攻防演练将拉开帷幕。

防御就是被动挨打

良好的防御措施本身就是一种进攻能力。通过快速检测和应对攻击者的行为,我们可以极大增加对方的攻击成本,将防御转化为一种进攻性武器。这一点不难理解,攻击方攻击成功的前提是我方的防御存在漏洞。而当我们构筑起严密的防线,及时发现并阻断攻击企图时,攻击方就不得不放弃原有的攻击手法和工具,转而寻找和开发新的突破口。这个过程必然消耗攻击方的时间和资源。我们越是能够执行到位,就越能迫使对手承担更多的攻击成本。

如果我们能够快速快速检测和响应攻击队的行为,防御将转化为一种进攻性武器,让攻击队夹着尾巴滚蛋。

必须24小时值守才能守住防线

诚然,攻击可能在任何时间发生,但这并不意味着我们必须时刻处于戒备状态。事实上,随着各类自动化网安工具的成熟,全天候的人工值守已非必需。我们完全可以将可编排、可自动化的防御任务交由机器处理,将宝贵的人力资源投入到更具创造性和专业性的工作中去。当出现异常或危急事件时,自动化系统可以参照预设的规则快速做出响应,为人工分析争取宝贵的时间。

网络防御只能被动挨打,毫无还手之力

我们大可不必局限于单纯防守。事实上,蜜罐、欺骗防御等技术在识别攻击企图、迷惑对手、争取主动方面可以发挥巨大作用。攻击者一旦触碰蜜罐,便等于暴露了自己的行踪。而当他们在虚假的环境中兜圈子、浪费时间时,防御方正积极搜集信息,准备反击。可见,只要技术运用得当,防御方完全有能力化被动为主动。

0day漏洞是防不胜防的

诚然,0day漏洞来袭时,我们手中或许并没有现成的防御手段。但漏洞利用往往只是攻击链条的起点,入侵后续阶段的种种恶意行为,如横向移动、窃取数据、植入后门等,都可能被捕捉和阻断。我们只需要在攻击链条的任意一个节点实现有效防御,就能瓦解攻击者的整个计划。

防御者必须每次都做对,而攻击者只需要成功一次

我们认为这是最大的谎言,而真相恰恰相反。在现实中,攻击绝非一蹴而就,攻击者要达成目的,就必须在攻击链的每一个环节成功躲避检测和阻断。而防御方只需要在任意一个节点发现端倪,及时响应,就可能扭转局面,这就是"攻击者困境"。可见防御方拥有的优势远比想象的多。

希望大家不要再说“防御者每次都要正确,攻击者只需一次正确”这种话了。

这种说法让我觉得说这话的人既不是一个“严肃”的防御者,也不是一个“严肃”的攻击者。

在一次成功的入侵中:

  • 防御者做了很多“错误”的事

  • 攻击者做了很多“正确”的事

反过来说,你也不需要每次都正确才能阻止一次入侵。很多用于阻止入侵的检测和预防控制只需要在关键时刻发挥作用即可。

具体来说:

1.防御者和攻击者的真实情况:

在一次成功的入侵中,防御者并不是只犯了一次错误,而是可能在多个方面做错了。

同样地,攻击者并不是只成功了一次,而是在多个环节上都做对了。

2.防御者的优势:

防御者不必每次都做对才能阻止入侵。许多防御措施(包括检测和预防控制)只需要在关键时刻发挥作用即可。

最后,去他的挂图作战、去他的漏洞情报、去他的攻击面管理,都是骗钱的。。。

推荐阅读

闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局


威胁情报

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链

APT

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”


入侵分析与红队攻防

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避


天御智库

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485800&idx=1&sn=334f41c043f40fb88c28b7e3dfa0e208&chksm=fb04ca00cc734316ad1a21e4344833290d5d07a37e1e7add7182b8f73ae2669a736c1397467f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh