DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

cdn防御cc_服务器安全防御_快速接入

11-08 DDOS防御

cdn防御cc_服务器安全防御_快速接入

除了正常的贸易技术适应外,每当地缘政治格局发生变化时,网络攻击活动和对手行为通常也会发生变化。最近,淘宝是怎么防御cc的,美国利用情报和组织的威胁,对伊朗进行了一次有关的调查。本文的目的是展示一种方法,说明组织如何利用威胁情报来源来帮助调整他们的威胁搜寻计划,并分析他们是否受到这些转变的影响。最终目标不是说我们的组织可以检测到(对手X组),而是利用方法来验证核心能力,例如威胁搜寻小组是否有必要的数据来源?是否有检测或预防逻辑以便于识别和分析?有没有可能很容易找到新的相关指标妥协或攻击指标?威胁情报循环目标、收获、分类和提炼是威胁情报周期的四个阶段,ddos防御策略,主要集中在开源威胁情报(也称为OSIT)。这些阶段促进了收集和分析用于威胁搜索的数据的一致性。目的在威胁情报周期的第一步,确定威胁情报的目的以及如何应用。使用问题来指导威胁搜寻工作的首要目标。以最近的地缘政治变化为例,一个常见的问题是,"我们是否看到任何已知的妥协指标(IOC)或攻击指标(IOA)来自公开归因于伊朗国家赞助的网络活动?"一旦一个问题被批准,下一步就是解构这个问题,以确定在情报周期的下一个阶段收获什么。上面的问题将作为本文中的一个示例,说明如何应用此方法。收获情报来源千差万别,从可以购买的信息源,从行业特定信息共享和分析中心(ISACs)共享的信息,怎么防御ddos跟cc,可以从Twitter收集的数据,以及从FBI的InfraGard等组织共享的信息。无论数据从何处获得,关键因素是对数据集的信心。所有的威胁情报来源都必须被仔细审查(外部参照英特尔邮报),并且应该把重点放在那些具有最高可信度的人身上。这将有助于减少执行威胁搜索的开销,并在执行分析时获得更有价值的见解。在本例中,MITRE攻击组存储库是OSINT选择的位置。下面的链接详细说明了哪些敌对组织是由伊朗国家赞助的网络活动造成的。伊朗相关敌对团体:https://attack.mitre.org/groups/G0064/https://attack.mitre.org/groups/G0087/https://attack.mitre.org/groups/G0058/https://attack.mitre.org/groups/g003/https://attack.mitre.org/groups/G0052/https://attack.mitre.org/groups/G0043/https://attack.mitre.org/groups/g077/https://attack.mitre.org/groups/G0059/https://attack.mitre.org/groups/G0069/https://attack.mitre.org/groups/G0049/一旦确定了这些组织,收集这些敌对组织在以前的网络战役中使用过的IOC和IOA。要做到这一点,请使用MITRE ATT&CK在每个敌方小组页面底部提供的参考资料,以确定各小组的战术和技术。一旦收集到IOC和IOA工件,就可以对它们进行分类,以便进行威胁搜索。分类分类首先要确定IOC或IOA所涉及的类别。这对于帮助威胁搜寻小组确定哪些数据可以搜索和分析,以观察IOC或IOA是否存在非常重要。STIX等框架提供了一种标准的语言和格式来对可观察到的内容进行分类。分类没有正确或错误的答案;使用组织熟悉的东西通常是最好的方法。在这个例子中识别和使用了通用数据类别。具体如下:搞砸IP地址命令域港口文件名登记处利用CVE公司IOC和IOA工件应与对手组和源引用相关联。这将允许威胁搜寻小组在有可疑的真阳性的情况下转向IOC/IOA。这也允许在细化的基础上对与组织最相关的指标进行优先排序。我们已经向我们的Github发布了一个未定义ioc的分类列表,这些ioc使用上述方法组合在一起。精炼细化是研究哪些IOC和IOA与探测和威胁搜寻能力相关,并确定哪些IOC和IOA可以立即采取行动,哪些IOC和IOA可能会造成可见性或覆盖缺口。应针对每一类别提出具体问题,高防cdn高防ip防ip,以确定组织是否有能力检测或威胁追捕这些IOC或IOA。一个例子问题是,"为每个类别收集的必要数据是否容易检索和审查?"这突出了有必要能够对数据进行历史分析,以寻找IOC。然而,如果提出的问题稍有不同,"是否会基于这些IOC创建检测或警报?"强调需要创建规则,在观察到ioc时提供实时警报。对于威胁搜寻团队来说,回顾第一阶段"目的"中定义的问题,以了解威胁情报IOC将用于的用例,这一点至关重要。一些可观察到的情况,例如公共端口使用率,将具有很高的误报率,并且不会制定强有力的检测规则。然而,当进行威胁搜索时,如果发现这些数据可以提供额外的上下文,则可以将这些数据与其他可观察到的数据关联起来。以伊朗敌对团体为例,一种方法是强调他们确定的技术的交叉点,并首先在这些地区集中搜寻威胁。这可以通过使用MITRE ATT&CK Navigator并加载这个JSON文件来完成。以下说明了各种敌方团体采用的最常见的技术(深红色=更常见),并提供了一个起点。一旦IOC和IOA被改进,现在就可以开始进行威胁搜索,并且可以创建检测/警报/签名以获得实时结果。应该有很高的信心,他们将可以针对既定目标采取行动。如果精化后的结果不能产生丰富有用的数据,家庭防御ddos,则可以重新生成该过程。重新定义最初的目的,收集新的数据,或对其进行不同的分类以达到目标。通常情况下,在整个过程中需要一个以上的周期才能使其正确。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/51377.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6924728访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X