如何有效构建进攻性的网络安全防护策略

news2024/12/23 18:39:23

文章目录

  • 前言
  • 一、进攻性安全策略的价值
    • (一)进攻性安全和防御性安全的区别
    • (二)进攻性安全带来一种新的测试和防御的方法
    • (三)进攻性安全策略也比防御性安全策略更具前瞻性
  • 二、进攻性安全策略的类型
    • (一)漏洞扫描
    • (二)渗透测试
    • (三)红队演练
    • (四)社会工程测试
  • 三、进攻性安全技能和工具


前言

进攻性安全(Offensive security)是指一系列主动安全策略,这些策略与恶意行为者在现实世界的攻击中使用的策略相同,区别在于其目的是加强而非损害网络安全,常见的进攻性安全验证方法包括红队、渗透测试和漏洞评估。

进攻性安全验证行动通常由专业的安全从业者实施,这些网络安全专业人士会利用他们的黑客技能来发现和修复IT系统的漏洞。与真正的网络犯罪分子侵入系统窃取敏感数据或注入恶意软件不同,他们是在获得许可的情况下进行模拟入侵,不会造成真正的破坏,而是利用模拟攻击的发现风险点,帮助组织提高安全防御能力。
在这里插入图片描述


一、进攻性安全策略的价值

(一)进攻性安全和防御性安全的区别

将进攻性安全和防御性安全(defensive security)进行比较。防御性安全措施包括组织为保护自身免受攻击所做的一切努力。部署安全解决方案、制定安全策略、培训员工识别网络钓鱼攻击以及类似的工作都属于防御范畴。
传统上,大公司主要依赖防御性网络安全策略:
• 防御有助于降低风险,降低网络攻击的可能性,并最大限度地减少对数据和系统的潜在损害;
• 法规遵从性通常要求更注重防御措施,以保护敏感信息,并与行业特定的网络安全法规保持一致;
• 保护组织的声誉,因为网络攻击会损害信任,因此防御是重中之重。此外,与违规后补救相比,预防的成本效益证明了防御方法的合理性。

(二)进攻性安全带来一种新的测试和防御的方法

不过,虽然防御性安全策略可以帮助阻止正在进行的网络攻击,但这些方法也会给安全团队带来沉重的工作量,必须对海量的警报和数据进行分类,将真正的威胁与虚假警报区分开来。此外,防御性安全措施只能防止已知的攻击媒介,使组织暴露在新的和未知的网络威胁之下。

进攻性安全是防御性安全的补充,可以为组织提供一种测试其防御和识别需要解决的安全漏洞的方法。通过模拟真实世界的攻击,进攻性网络安全测试可以识别对组织构成最大风险的漏洞,使公司能够将安全投资和精力集中在能够提供最大投资回报的地方。

(三)进攻性安全策略也比防御性安全策略更具前瞻性

安全团队可以使用OffSec策略来发现和响应其他安全措施可能遗漏的未知攻击向量。进攻性安全措施不是在网络攻击发生时才被动做出反应,而是在攻击者利用漏洞之前主动发现并解决漏洞。

简而言之,进攻性安全策略可以使防御性安全策略更加有效。一个成熟的网络安全计划应该包含进攻性和防御性的网络安全活动。这种组合既可以保护组织免受网络威胁,又可以使用进攻性网络安全技术来完善和改进这些防御手段。

二、进攻性安全策略的类型

进攻性安全策略所使用的战术、技术和程序(TTPs)与攻击者使用的TTPs非常相似。通过使用这些TTPs,进攻性安全专业人员可以发现并修复攻击者可能使用的潜在漏洞。

当前,企业可以采用的主要进攻性安全策略包括:

(一)漏洞扫描

漏洞扫描是用于检测组织IT资产中的漏洞的自动化过程。漏洞扫描程序可以搜索与特定软件版本相关的已知漏洞。它们还可以执行更主动的测试,比如查看应用程序如何响应常见的SQL注入字符串或其他恶意输入。

黑客经常使用漏洞扫描来识别他们可以在攻击期间利用的漏洞。反过来,OffSec专家也可以使用相同的漏洞扫描程序来发现潜在漏洞,并在黑客利用它们之前关闭这些漏洞。这种积极主动的方法使组织能够领先于威胁并加强防御。

(二)渗透测试

渗透测试是使用模拟网络攻击来发现计算机系统中的漏洞。从本质上讲,渗透测试人员通过模仿真正的黑客来搜索网络漏洞。因为渗透测试人员采用攻击者的视角,所以他们通常可以精确地指出恶意行为者最有可能瞄准的漏洞。

网络安全专家的参与有助于检测到安全工具可能错过的漏洞,同时减少误报的可能性。而且由于渗透测试通常是由第三方安全服务提供的,他们经常可以发现内部安全团队可能遗漏的漏洞。

(三)红队演练

红队演练,也被称为“对抗模拟”,是一组专家使用现实世界网络罪犯的TTPs对计算机系统发动模拟攻击的一种演习。

与渗透测试不同,网络安全红队是一种对抗性的安全评估。红队会积极利用各种攻击向量(不造成实际伤害),看看他们能够实现多大的破坏力。红队还要面对一支由安全工程师组成的蓝队,蓝队的目标是阻止他们。这使组织有机会测试其实际操作的事件响应过程。

为了测试技术防御和员工意识,红队的行动可能会使用一系列的战术。红队常用的方法包括模拟勒索软件攻击、网络钓鱼和其他社会工程模拟等。

(四)社会工程测试

许多网络威胁行为者在攻击中将针对人为因素,而不是试图识别和利用软件漏洞。社会工程测试的重点是评估组织的员工、承包商等对其数据和系统的保护程度。社会工程师将使用欺骗、操纵和类似的技术来欺骗或强迫目标执行一些对攻击者有利的操作,例如交出敏感数据或授予对公司应用程序或空间的访问权。

三、进攻性安全技能和工具

为了实现进攻性安全策略,安全人员需要能够熟练使用常见的进攻性安全工具,包括:

• Metasploit:用于开发和自动化针对IT系统的攻击的框架。它主要用于渗透测试和漏洞评估;

• Kali Linux:一款为渗透测试和数字取证设计的Linux操作系统;

• Burp Suite:一个web应用程序安全测试工具,可以扫描漏洞,拦截和修改web流量,并自动攻击;

• Wireshark:网络协议分析器,用于捕获和检测网络流量,帮助识别网络通信中的安全问题;

• lNmap:网络扫描工具,用于网络发现、端口扫描和服务识别;

• Aircrack-ng:一套用于测试Wi-Fi网络安全性的工具,具有嗅探数据包,捕获握手和破解密码加密的能力;

• John the Ripper:一款流行的密码破解工具,可对密码哈希进行暴力攻击;

• Sqlmap:一个自动利用web应用程序中的SQL注入漏洞的工具;

• Cobalt Strike:可以为红队和对手提供后渗透(post-exploitation)能力和网络操作;

• GoPhish:一款为企业和渗透测试人员设计的开源网络钓鱼工具包;

• Phishing Frenzy:一个开源的Ruby on Rails应用程序,渗透测试人员可以利用它来管理电子邮件活动;

• Nessus:一个应用非常广泛的漏洞扫描工具;

• OpenVAS:一款高效的开源漏洞扫描和管理软件。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1389175.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Transformer 位置编码

✅作者简介:人工智能专业本科在读,喜欢计算机与编程,写博客记录自己的学习历程。 🍎个人主页:小嗷犬的个人主页 🍊个人网站:小嗷犬的技术小站 🥭个人信条:为天地立心&…

LeetCode刷题---随机链表的复制

解题思路: 使用哈希表来解决该问题 因为题中要求是深拷贝 首先对原链表遍历,将原链表每个节点和新链表每个节点形成对应关系,存入到哈希表中,key为原链表的节点,value为新链表的节点。 之后重置辅助链表指向原链表头节…

Jmemter

一、背景 有时候需要自己观察某些接口在一定并发下处理能力如果,那么Jmeter是一个很好的工具。 我所需要测试的接口是http接口,通过postman就可以发起请求,但postman单笔请求太慢,需要持续给接口一定压力,那么需要用J…

Docker登录MySQL,密码正确却提示密码错误

当我输入了正确的MySQL密码的时候确提示我密码错误: ERROR 1045 (28000): Access denied for user rootlocalhost (using password: YES) docker run --name mysql_master \ -e MYSQL_ROOT_PASSWORD123123 \ -v /root/mysql_master/data:/var/lib/mysql \ -v /root…

【电商API】DIY网络爬虫收集电商数据

DIY网络爬虫收集电商数据 网络爬虫是最常见和使用最广泛的数据收集方法。DIY网络爬虫确实需要一些编程知识,但整个过程比一开始看起来要简单得多。 当然,爬虫的有效性取决于许多因素,例如目标的难度、网站方的反爬虫措施等。如果将网络抓取用…

Spring IOC 源码分析

​ 什么是 IoC IoC (Inversion of control )控制反转。它是一种思想不是一个技术实现。描述的是:Java开发领域对象的创建以及管理的问题。 例如:现有类A依赖于类B。传统的开发方式 :往往是在类A中手动通过new关键字…

华为埋头造车,躺赚的却是黄牛?

文 | AUTO芯球 作者 | 雷歌 华为和赛力斯正在重庆哼哧a哼哧建厂造车,黄牛却在网上倒卖订单躺着赚钱。 前两天雷歌刚去试驾了问界M9,现场一车难求。 今天回来一看,好家伙,咸鱼上,黄牛们大量倒卖M9的大定订单&#x…

2024年机器人和人工智能将通过4种方式改变行业

文 | BFT机器人 前言: 2023年是人工智能界充满创造性和突破性的一年,包括生成式人工智能在内的人工智能 (AI) 技术的出现引起了全球的关注并占据了头条新闻。然而,生成式人工智能在企业中的应用仍处于早期阶段,如何最好地利用这项…

Markdown 时序图绘制详解

✍️作者简介:小北编程(专注于HarmonyOS、Android、Java、Web、TCP/IP等技术方向) 🐳博客主页: 开源中国、稀土掘金、51cto博客、博客园、知乎、简书、慕课网、CSDN 🔔如果文章对您有一定的帮助请&#x1f…

消费增值模式:从五折购物到利润共享的商业逻辑

在当今的商业环境中,消费者和商家之间的关系已经不再是简单的买卖。如何让消费者在购物的同时,也能享受到更多的价值,成为了各大平台争相探索的焦点。近日,一种名为“消费增值模式”的创新逻辑正在引起广泛的关注。这一模式以产品…

iOS UI掉帧和卡顿优化解决方案记录

UI卡顿原理 在 VSync 信号到来后,系统图形服务会通过 CADisplayLink 等机制通知 App,App 主线程开始在 CPU 中计算显示内容,比如视图的创建、布局计算、图片解码、文本绘制等。随后 CPU 会将计算好的内容提交到 GPU 去,由 GPU 进行…

postman 简单测试(一)

1.postman官网 Postman API Platform 2.研究了一下postman 一些简单的功能,自己做个记录,同时希望能节约点测试时间。 2.1新建一个 collections 长期测的话,最好注册一个账号,开放更多功能。 2.2新建一个请求 后端要先搭建起来…

怎么将文件上传到linux系统

1.在虚拟机VMware上设置–选项-共享文件夹-启用 2.添加,依次选择【下一步】,浏览时,选择本机要上传的文件夹 3.勾上【启用此共享】,完成即可 4.在linux输入命令找到共享文件,共享的目录默认是/mnt/hgfs&#xff0…

QT上位机开发(MFC vs QT)

【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing 163.com】 在qt之前,上位机开发的主要方法就是mfc。后来出现了c#语言之后,上位机的开发就有一部分人转成了c#。这些开发都是在windows…

Java Chassis 3技术解密:多种序列化方式支持

原文链接:Java Chassis 3技术解密:多种序列化方式支持-云社区-华为云 打开一个简单的 REST 接口: RestSchema(schemaId "ProviderController") RequestMapping(path "/") public class ProviderController {PostMapp…

想提高阅读代码的效率?试试这些工具吧!| 京东云技术团队

1.前言 程序员间有句名言——“Talk is cheap, show me the code!”源码的确相较于言语更接近程序真实的状态,包含了更多的一手信息。因此,无论是刚开始学习代码的小白还是久经沙场的代码大神,不管是学习优秀的开源项目还是做老项…

云服务器基于Centos创建个人云盘实践经验分享

文章目录 安装运行Cloudreve安装ossfscentos更换yum源 配置ossfs挂载oss存储配置开机启动 配置cloudreve推荐阅读 安装运行Cloudreve 执行如下命令,下载cloudreve安装包。 wget https://labfileapp.oss-cn-hangzhou.aliyuncs.com/cloudreve_3.3.1_linux_amd64.tar…

kkfileview Word文件预览乱码异常问题

kkfileview Word文件预览乱码异常问题 本篇文章以CentOS为例 这里处理的是服务器没有相关中文字体的解决方案 下载中文字体包 线上 http://kkfileview.keking.cn/fonts.zip上传服务器至目录/usr/share/fonts cd /usr/share/fonts将文件上传至该文件夹下,解压…

海康visionmaster-VM 嵌入:嵌入用户软件界面的方法

描述 环境:VM4.0.0 VS2015 及以上 现象:将 VM 整体嵌入到客户软件界面中? 解答 将 VM 软件整体嵌入到客户软件中,需要利用 Panel 控件,并且需要先启动 VM 软件,具 体代码如下: C# [DllImport(“…

Express框架使用全流程

1.目的和使用场景 对于像我这样不常使用 Node.js 进行开发的人来说,每次开始一个新项目都意味着从头开始设置环境,这个过程相当繁琐。因此,我决定自己构建一个开箱即用的项目脚手架。我的目标是创建一个简单易用的基础框架,能让我…