虹科分享 | 如何构建深度防御层 | 自动移动目标防御

news2024/11/15 21:43:47

在当今的威胁环境中,多层纵深防御是安全团队获得安心的唯一方法之一。

为什么?有两个原因:

1、攻击面越来越大

随着DevOps等远程工作和数字化转型项目的兴起,攻击面已经超出了大多数安全团队的定义能力。创建一个完全安全的网络边界是不可能的。正如Twilio漏洞所表明的,威胁参与者甚至可以绕过高级的双因素认证(2FA)协议。

2、威胁变得越来越隐晦

进入网络环境的威胁越来越难以发现,并且离初始访问点越来越远。Eurecom大学(FR)的一项研究回顾了超过17万个真实的恶意软件样本,显示使用规避和内存中技术能够绕过NGAV/EPP/EDRs提供的保护占40%以上。在至少25%的网络攻击中,横向移动是一个特征。

针对性和规避性威胁的增加意味着任何级别的单一安全层(从端点到关键服务器)都无法依靠自身来阻止攻击。相反,就像层层身份检查和保镖保护VIP一样,安全团队需要在关键资产和潜在威胁之间设置多层安全障碍。

纵深防御不仅仅是部署多种安全产品。在这个过程中,组织可以强化他们的人员、流程和技术,以产生高度弹性的安全结果。

虹科推荐的构建纵深防御层的最佳实践:

1. 从人开始——根据Verizon最近的数据泄露报告,去年82%的安全漏洞涉及人为错误。连接网络的个体通过社会工程、犯错误或故意允许恶意访问,使攻击成为可能。

这一统计数据显示了在任何纵深防御策略中强化“人员层”的重要性。但是,尽管许多组织每年都对个人进行培训,以证明他们符合保险要求,但研究证明,只有少数人这样做的频率足以改变他们的安全态势。最好的情况是,人力资源是最后一道防线。

需要更多的培训。然而,安全不应该依赖于遵守政策。确保适当的控制(如多因素身份验证(MFA))作为备份是至关重要的。

2. 要认识到扁平化的网络架构≠安全——破坏性的网络攻击不仅仅是熟练的威胁行为者或先进技术的结果。通常,受害者自己的网络设计是网络罪犯最大的资产。

平面网络环境的默认策略是允许所有设备和应用程序共享信息。尽管这使得网络易于管理,但其安全方面的缺点是,一旦平面网络中单个网络连接的资产被破坏,威胁参与者就相对容易建立横向移动到网络的其他部分。

为了阻止这种情况发生,安全团队应该使用某种形式的网络分段和子网划分来保护脆弱的网络资产,并减缓横向移动。

网络分段还使安全团队能够在不破坏整个组织的情况下响应和隔离威胁。

3.在每一层使用最佳技术——超过70%的安全专业人员更喜欢最佳解决方案,而不是基于平台的控制,这是有充分理由的。符合供应商营销策略的安全程序并不总能满足客户的实际需求。

针对高级攻击,统一适用于所有工具或工具集可能会留下空白,并造成与业务需求不兼容的管理负担。

更好的选择是根据需要为每个环境和业务情况定制深度防御工具栈。安全团队必须查看用户和系统如何在这些层中运行,并选择最佳的解决方案。

为了阻止已知的威胁,终端和服务器必须至少有一个有效的防病毒(AV)。理想情况下,还将提供端点保护(EPP)和端点检测与响应(EDR)。还需要有面向内部的解决方案,如安全信息和事件管理(SIEM)或安全编排、自动化和响应(SOAR)平台,该平台可以集中安全日志,并使安全团队能够识别、调查和减轻风险。

在网络边界周围,防火墙是必不可少的,面向internet的资产需要由Web应用程序防火墙(Web Application firewall, WAFs)来保护。

4. 确保安全解决方案和应用程序得到适当更新和配置——根据2023年Verizon数据泄露调查报告,未修补的漏洞和错误配置占了超过40%的事件。仅使用最佳安全控制是不够的。这些解决方案、组织的业务应用程序和操作系统必须不断地打补丁和正确地配置。

例如,在2021年,Microsoft Exchange上的ProxyLogon漏洞影响了全球数千个组织。虽然微软发布了纠正措施的说明,但ProxyShellMiner等变体目前仍然活跃。

部署移动目标防御(AMTD)防御躲避和内存网络攻击

除了这些最佳实践之外,现实情况是,即使完全部署安全人工智能和自动化,识别和遏制数据泄露的平均时间是249天。

因此,保护终端、服务器和工作负载免受能够躲避基于检测技术提供的保护机制的攻击是很重要的。

自动移动目标防御(Automated Moving Target Defense, AMTD)是一种重要的深度防御层,因为它在运行时将威胁阻止在脆弱且通常不受保护的空间设备内存中。

像进程注入和PowerShell妥协这样的代码和内存利用技术是MITRE十大最常见的ATT&CK技术之一。AMTD通过改变内存,使其基本上不受威胁,从而降低了这种风险。这意味着内存资产和漏洞(如哈希密码和bug)对威胁参与者来说是不可访问的。

作为深度防御安全态势中的一层,AMTD阻止了绕过其他级别控制的零日、无文件和内存攻击。

联系我们

 扫码加入虹科网络安全交流群或微信公众号,及时获取更多技术干货/应用案例。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/922296.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

计算机视觉-图形处理基础

一、环境安装 1、anaconda安装 官网下载:Free Download | Anaconda 2、打开anaconda prompt测试是否安装成功 输入conda env list命令显示虚拟环境清单即可 二、创建开发虚拟环境 1、创建python3.8虚拟环境 conda create --name demo_py3.8 python3.8 2、激…

ubuntu18 编译ROS代码 报“cxx_attribute_deprecated”is not know to CXX compiler

编译代码报错如下: 通常用两种解决方式: 1:先检查一下 编写的CMakeList.txt的文件中,所包含、链接的文件和库是否都存在且引用正确(仔细的查看了一下,都是正确的) 2:查看一下cmake…

iOS 17 及 Xcode 15.0 Beta7 问题记录

1、iOS 17 真机调试问题 iOS 17之后,真机调试Beta版本必须使用Beta版本的Xcode来调试,用以前复制DeviceSupport 方式无法调试,新的Beta版本Xcode中,已经不包含 iOS 17目录。如下图: 解决方案: 1&#x…

数据驱动的胜利:体育赛事的可视化之道

当前,体育赛事遍地开花,智能体育也不断成熟。体育赛事不断与物联网、数字孪生等新一代信息技术深入融合,创新运动方式,推动全民健身,促进产业升级。数字孪生可视化平台易知微也一直致力于体育领域的数字化发展&#xf…

Elexcon2023深圳国际电子展开幕,飞凌嵌入式重装亮相!

8月23日,Elexcon2023深圳国际电子展正式开幕,近600家全球优质品牌厂商齐聚深圳会展中心(福田),并有上万名观众来到现场参观、交流。飞凌嵌入式携多款多类型的智能主控产品及热门行业解决方案亮相盛会,展位号…

基于 SpringBoot+Vue+Java 的财务管理系统,附源码,教程

博主介绍:✌程序员徐师兄、7年大厂程序员经历。全网粉丝30W,Csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 文章目录 一 简介第二.主要技术第三、部分效果图第四章 系统设计4.1功能结构4.2 数据库设计4.2.1 数据库E/R…

如何使用图形数据库构建实时推荐引擎

推荐:使用 NSDT场景编辑器助你快速搭建可二次编辑的3D应用场景 “这是给你的”,“为你推荐的”或“你可能也喜欢”,是大多数数字业务中必不可少的短语,特别是在电子商务或流媒体平台中。 尽管它们看起来像一个简单的概念&#xf…

Linux 设置mysql开机自启动和安装JDK

0目录 1.mysql设置开机自启动 2.linux安装jdk 1.mysql设置开机自启动 去到cd /etc/rc.d/init.d目录 创建一个sh脚本 编辑脚本 设置开机自启动 重启 检查是否自启动 2.linux安装jdk 下载安装包 放在opt目录下 新建soft文件夹(opt目录下)…

window版本的kibana的安装,使用,启动

前言:本篇是根据小破站UP主遇见狂神说学习篇, 这里是我做的笔记,(ElasticSearch7.6入门学习笔记-KuangStudy-文章),up主的文档肯定比我更清晰,但我还是记录一下嘿嘿嘿,下面直接开始 …

用户管理与用户权限

数据库用户管理 新建用户 CREATE USER 用户名来源地址 [IDENTIFIED BY [PASSWORD] 密码]; 用户名:指定将创建的用户名. 来源地址:指定新创建的用户可在哪些主机上登录,可使用IP地址、网段、主机名的形式,本地用户可用localhost&…

【全站最全】被苹果、谷歌和Microsoft停产的产品(三)

2016 Narrative Clip 2012 – 2016 HARDWARE Narrative Clip was small wearable capable of automatically take a picture every 30 seconds whilst being worn throughout the day, a practice known as "life-logging". Pebble 2013 – 2016 HARDWARE Pe…

C#+WPF上位机开发(模块化+反应式)作者:重庆教主

在上位机开发领域中,C#与C两种语言是应用最多的两种开发语言,在C语言中,与之搭配的前端框架通常以QT最为常用,而C#语言中,与之搭配的前端框架是Winform和WPF两种框架。今天我们主要讨论一下C#和WPF这一对组合在上位机开…

SUI 将通过 SUI Foundation 资助 Footprint Analytics 解析其公链数据,为生态系统提供支持

2023 年 8 月 23 日消息,SUI 基金会宣布将赞助链上数据提供商 Footprint Analytics,旨在协助解析公链数据,为 SUI 的生态系统及其开发者提供全方位支持。 Footprint Analytics 将提供完整的数据报表和 API 接口, SUI 链的用户可以…

uniapp离线打包apk - Android Studio

uniapp 离线打包 基于uni-app的andiord 离线打包 开发工具及所需要的jar包​1.将下载的App离线SDK解压打开,找到HBuilder-Integrate-AS ,在Android Studio打开2.打开HBuilder X,发行->原生app本地打包->生成本地打包app资源3.在“HBuil…

GitLab-CI 指南

GitLab CI 指南 前置工作 部署GitLab 部署GitLab-Runner 注册Runner到GitLab docker exec -it gitlab-runner bash # 进入容器 gitlab-runner register #调用register命令开始注册 # 在Gitlab Setting中找到Runners,如下图所示Enter the GitLab instance URL (for example, …

做不做软测都能学的技能,一招化解磁盘空间不足!

如,我有一台服务器,磁盘空间为 50g 现在,使用了一段时间之后,磁盘空间不够了 磁盘空间不够,这个时候,如果你再执行某些写入磁盘的操作就会报错,无法执行。 测试服务器磁盘空间不够,…

最适合运动的耳机类型是什么、适合运动的耳机推荐

作为一位热衷于运动的爱好者,对于运动装备的要求十分严格。家里有很多手环和跑鞋,但在跑步时最喜欢的是听歌。一首好曲子能够改善跑步体验,延缓疲劳感。当然,并非所有的耳机都适合运动使用,选择运动耳机时需要考虑到运…

操作系统-笔记-汇总

目录 📚 前言 🌸章节汇总 🚀 学习心得 ⌛2023年8月24日 星期四 📚 前言 在学习过了《计算机组成原理》之后,对计算机硬件有了一定清晰的认识 从一个架构,到一个个硬件的诞生,一个个线路的规…

Java编程的未来:2023年值得关注的五个趋势

准备好进入Java编程这个不断发展的创新世界了吗?二十多年来,Java一直是编程世界不可或缺的一部分,其重要性始终没有改变。随着企业软件解决方案中对Java的需求持续增长,这一编程语言保持了其作为跨各种设备和集成系统创建复杂软件…

https 的ssl证书过期处理解决方案(lighthttpd)

更换证书:lighthttpd 配置文件位置:/opt/vmware/etc/lighttpd/lighttpd.conf (配置文件的最底部 G快速来到底部) 方案一:阿里云申请免费的证书 这里公司内网环境没有配置域名,可以创建一个临时域名&…