400-0358-163
新闻中心
当前位置:网站首页 > 新闻中心
0 浏览

大型互联网公司如何预防黑客?

您怎么知道您的公司是否受到入侵?是没有人是“黑人”,还是因为缺乏意识而无法发现?实际上,入侵检测对于每个大型互联网公司都是一个严峻的挑战。公司的价值越高,入侵的威胁就越大,即使互联网发起人雅虎在其收购结束时仍然遭受了全部数据盗窃。安全绝非易事,一旦互联网公司成功“入侵”,后果将不可想象。基于“攻击与防御对抗”的考虑,本文将不提及特定的入侵检测模型,算法和策略,那些希望直接复制“入侵策略”的人可能会感到失望。但是,我们将分享一些运营想法,请同行,如果它可以对后来者有所帮助,那就更好了,欢迎大家与我们讨论。入侵定义典型的入侵场景:黑客通过网络远程控制目标便携式计算机/移动设备/服务器/网络设备,然后随机读取目标的私有数据,或使用目标系统上的功能。包括但不限于使用手机的麦克风监视目标,使用摄像头窥视监视目标,使用目标设备的计算能力进行挖掘,使用目标设备的网络功能发起DDoS攻击, 等等。或破解服务密码,进入查看敏感信息,控制访问控制/交通信号灯。所有这些都是经典的入侵场景。我们可以定义入侵:也就是说,黑客可以未经授权就出于各种目的控制和使用我们的资源(包括但不限于读取和写入数据,执行命令,控制资源等)。广义上讲,黑客使用SQL注入漏洞来窃取数据,或者在ISP中获取目标域名的帐户密码,篡改指向黑页的DNS或在微博/ QQ /邮箱上查找目标社交帐户。未经授权控制虚拟资产是一种入侵。企业入侵检测的入侵检测在大多数情况下,企业入侵检测的范围较窄:通常是指黑客控制PC,系统,服务器,网络(包括办公网络,生产网络)的行为。黑客控制主机资产(例如PC和服务器)的最常见方法是通过外壳执行命令。获取外壳的动作称为GetShell。例如,通过Web服务上载漏洞,获取WebShell或使用RCE漏洞直接执行命令/代码(RCE环境提供了变相的外壳)。另外,有些方法是首先植入“特洛伊木马后门”,然后直接使用特洛伊木马集成外壳功能来远程控制目标,这也是典型的做法。因此,入侵检测可以专注于GetShell的行为以及GetShell成功后的恶意行为(为了扩大结果,黑客通常会使用Shell进行检测,重读窃取并横向移动以攻击其他内部目标。这些特征也可以与好人区分开。作为重要特征)。一些同行(包括商业产品)喜欢在GetShell之前报告一些“外部扫描,攻击检测和尝试行为”,他们被称为“情境意识”,告诉公司有人在“试图攻击”。实际值不大。许多公司,包括美国特派团,基本上一直都在遭受“身份不明”的攻击。知道某人正在“尝试”攻击,如果采取的行动无效,就不可能有效地警告该行动。除了付出努力之外,没有太多实用价值。当我们习惯于“攻击”是正常状态时,我们将在此正常状态下解决问题,可以使用哪种加固策略,可以实现正常的运行,以及是否存在无法归一化的策略。例如,如果很多人需要加班工作以进行临时攻击,那么大多数策略将在不久的将来逐渐消失。与我们一起执行此策略之间没有本质区别。与SQL注入类似,目前暂时不考虑与GetShell不直接相关的XSS和其他Web攻击。d狭义上是“入侵检测”。建议将其分为“漏洞”和“威胁感知”,并将分别讨论。当然,使用SQL注入,XSS等门户网站的GetShell操作,我们仍然掌握GetShell的关键点,不在乎漏洞在哪里输入。 “入侵”和“内部幽灵”接近入侵的一种情况是“内部幽灵”。入侵本身就是手段,GetShell只是起点,黑客GetShell的目标是控制资源并窃取以后的数据。 “内部幽灵”自然具有合法权限以合法方式接触敏感资产,但出于工作以外的目的,他们非法处置这些资源,包括复制副本,转移泄漏和篡改数据。重影的行为不在“入侵检测”的范围内。通常从内部风险控制的角度来管理和审计,例如职责分离和双重审计。还有一个数据防泄漏产品(DLP)可以为您提供帮助,因此在这里我将不做详细介绍。有时,当黑客知道员工A有权访问目标资产时,他会定向A攻击A,然后使用A的许可来窃取数据,这也被称为“入侵”。毕竟,A不是如果这时无法捕获黑客A,或者如果黑客控制的A窃取数据和正常员工A的访问数据无法区分,则入侵检测也会失败。入侵检测的实质已经讲过。入侵是指黑客可以在未经我们同意的情况下操作我们的资产,并且对手段没有任何限制。因此,如何找出入侵行为与法律正常行为之间的区别,并将其与法律行为区分开,就是“入侵发现”。在算法模型中,这是一个标记问题(入侵,非入侵)。遗憾的是,侵入这种行为的“黑色”样本特别少见。通过使用大量标记数据和监督训练的入侵检测模型很难找出入侵的规律。因此,入侵检测策略开发人员通常需要花费大量时间来完善更准确的表达模型,或者花费更多的精力来构建“侵入式”模拟数据。一个典型的例子是,为了检测WebShell,安全从业人员可以前往GitHub搜索一些少于1,000个的公共WebShell示例。对于数百万机器学习的培训需求,这些数据还不够。而且,从技术的角度来看,这些样本集在GitHub上,通过一种技术方法生成了大量类似的样本,并且缺少一些对抗性方法。因此,这样的训练试图通过“大量样本”来让AI掌握WebShell的特征并加以区分,从原理上讲,这不太可能是完美的。这时,对已知样本执行技术分类,并完善更准确的表达模型,这称为传统特征工程。传统特征工程通常被认为是效率低下且重复的工作,但效果通常是稳定的。毕竟,添加技术功能可以稳定地找到一种WebShell。虽然构造了大量恶意样本,但是有机学习,AI和其他先兆虽然备受称赞,但在实际环境中通常很难获得成功:自动生成的样本很难描述WebShell的原始含义,并且大多数它们描述了自动生成的算法功能。另一方面,入侵之间的区别在于行为本身是否被“授权”,并且授权本身没有任何显着的区别特征。因此,在进行入侵对抗时,如果可以通过一定的加强将合法访问权限收敛到有限的通道,并对通道进行强力区分,则可以大大降低入侵检测的成本。例如,对访问源(无论是自然人还是程序API)的严格身份验证都需要法律费用。分发帐单时,将针对不同情况执行多维度身份验证和授权,并且IAM用于记录和监视这些帐单的范围。产生这些账单,并且还会生成一个较低级别的Log,以了解异常的访问模型。这个整个生命周期的生命周期模型也是实施Google BeyondCorp无边界网络的前提和基础。因此,入侵检测有两个主要思路:基于黑色特征的模式匹配(例如WebShell关键字匹配)。根据业务历史记录行为(生成基准模型),异常比较入侵行为(不是白色或黑色)。如果企业的历史行为不趋同,则将通过强化来趋同,然后选择不合规的利基市场。异常行为。入侵检测和攻击向量根据目标而有所不同,并且可能暴露给黑客的攻击面将有所不同。黑客可能采用的黑客方法完全不同。例如,入侵我们的PC /笔记本电脑以及入侵机房/云中部署的服务器,攻击和防御方法就大不相同。对于明确的“目标”,可以访问的信道可能是有限的集合,并且攻击的必要路径也受到限制。 “攻击方法” +“目标的攻击面”的组合称为“攻击向量”。因此,在讨论入侵检测模型的效果时,有必要首先识别出攻击向量,并针对不同的攻击路径收集相应的日志(数据),以建立相应的检测模型。例如,基于SSH登录的Shell命令数据集不能用于检测WebShell行为。根据网络流量收集的数据,无法检测到在SSH之后黑客是否在shell环境中执行了任何命令。基于此,如果一家公司没有提及特定情况,则可以说APT感知模型已经完成,并且显然是“吹牛”。因此,入侵检测首先会列出各种攻击媒介,然后结合公司的实际数据特征,收集每个细分的数据(HIDS + NIDS + WAF + RASP +应用层日志+ systemlog + PC ...)。 ,以建立适合公司实际情况的相应检测模型。不同公司的技术堆栈,数据大小和暴露的攻击面可能会对模型产生重大影响。例如,许多安全工作者特别擅长在PHP下进行WebShell检测,但是对于基于Java的公司来说却...常见的入侵技术和响应。如果对黑客的常见入侵技术了解不足,就很难瞄准,有时甚至会陷入“政治”之中。例如,渗透测试团队说我们做了A动作,而您甚至没有找到它,所以您就找不到。实际情况是场景可能不是完整的入侵链,即使没有发现动作,也可能对入侵检测效果没有影响。每种攻击媒介对公司造成的危害,如何对发生概率进行排名,如何解决成本和带来的收益,都需要专业经验来支持和做出决策。现在,让我们在黑客教程中简要介绍一下经典过程(完整过程可以参考杀伤链模型):在入侵目标之前,黑客可能对目标还不了解,所以事情往往是“踩在目标上”。点”,即收集信息。加深了解。例如,黑客需要知道针对哪些资产(域名,IP,服务),它们各自的状态,是否存在已知漏洞,谁拥有这些漏洞(以及如何对其进行法律管理)以及已知信息。泄漏信息(例如社交库中的密码)...一旦完成此步骤,熟练的黑客将推测各种资产的特征,并逐一验证“攻击媒介”的可行性。下面列出了常见的攻击方法。防御建议。高风险服务将所有公共服务都称为“高风险服务”,因为该协议或实施该协议的开源组件可能具有已知的攻击方法(高级攻击者甚至具有对应的0day)。只要您的价值足够高,并且黑客有足够的动力和资源来挖掘,那么当您向Internet开放高风险服务并向所有人开放时,就等于为黑客打开了大门。这样如SSH,RDP等运维
这里已调用系统的信息评论模块,无需修改!
这里已调用系统的评论列表模块,无需修改!