DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

cdn防御cc_ddos攻击怎么防御_如何解决

06-27 DDOS防御

cdn防御cc_ddos攻击怎么防御_如何解决

在一篇由两部分组成的博客文章的第一部分,全球安全战略高级总监弗兰·多诺佐(Fran Donoso)讨论了四个主要问题,这四个问题对于任何一个努力提高威胁检测和响应效率的安全领导人来说都是熟悉的。

我讨厌成为坏消息的传递者,但是你现在的侦查策略不起作用。91%的攻击甚至没有产生警报,只有一半以上的漏洞是由安全团队发现的。我希望我能说这里有一些更大的问题,但这主要是我们自己带来的问题。我们建立了siem,对所有警报进行了分类,并制定了相应的响应计划(希望如此)。然而,问题依然存在。我们做了所有正确的事情,或者至少我们认为我们是正确的。我们和我们的技术正在以我们自己的方式,制造路障,我们应该创造快速通道,加快检测和响应时间。与此同时,攻击者在我们的环境中,有时长达数月或更长时间,直到余震来临,我们才意识到这一点。

这些障碍之所以出现,是因为多年来,我们的威胁检测方法让我们陷入了一种错误的安全感,我们认为更多的数据(只会导致更多的警报)将有助于我们阻止突破。如果我告诉你,作为安全专业人员,我们可以从更少的数据源发出更少的警报,从而提高效率。听起来很疯狂?我不是唯一一个这样想的人。以下是Gartner对此主题的看法:

"许多客户的威胁监控、检测和响应计划都失败了,因为他们专注于监控来自他们所部署的任何技术的各种日志源,而不是让正确的源在正确的时间生成遥测和警报,以正确的格式,在正确的位置"

所以,我们知道我们有问题,我们知道我们想要改变。变化应该是什么样子?这就是我们在这篇文章里要讨论的。首先,让我们更深入地了解一下今天阻碍我们前进的因素。

加快威胁检测的四个障碍

大多数组织都错了。

让我们从低挂果实开始,这里。我们不擅长SIEM.

太戏剧化了?这就是我的意思。SIEM最初被定位为解决我们所有安全监控问题的解决方案。它将把你所有的安全遥测都集中到一个地方,让我们集中分类和启动响应活动。伟大的!但事实证明,并不是所有进入SIEM的数据都是相关的,游戏盾防御cc隐藏ip,而且这些数据太多了,服务器防御CC软件,都变成了噪音,让一些可怜的SOC分析师来筛选。

公平地说,这真的不是你的SIEM的错。它只会和它收集的数据一样好,而我们给它提供了一些非常糟糕的数据。如果您尚未将SIEM设置为收集正确(非默认)的Microsoft Windows事件数据或防病毒日志,则SIEM永远不会告诉您有关使用Cobalt Strike在整个网络中横向移动的攻击的信息。这给我们带来了下一个障碍。

默认配置有点糟糕。

那里。我说过了。默认配置是默认的。这意味着它们的设计考虑了最低的公分母。他们不知道你的环境或对它的威胁。他们就在那里。如果您依赖默认的安全警报配置,则会丢失一些关键信息,这些信息可以帮助您更早地阻止攻击。

以默认的Windows日志记录配置为例。如果您插入并打开它,您将错过所有这些事件。

对于策略、文件、权限或安全状态的更改没有警报。没有与远程产品调用(RPC)事件或可移动存储或系统完整性相关的日志。这是如此有限,我们创建了一个CFC客户指南,告诉我们的客户应该是什么默认值。

我们让设备决定我们的检测策略。

你得到一个新的IDS工具。您可以查看从中获得的所有类型的警报,对它们进行分类,然后制定响应计划。这会让你从一个工具中得到成千上万的警告。再加上防火墙上的一千,云服务提供商上的一千等等。要筛选的内容很多,甚至可能不会告诉你那么多。在你的身份证上发出警报,单独看来似乎没什么大不了的。你需要一个共同的镜头,通过它你可以评估警报传入所有相关的设备。在库德尔斯基安全公司,我们称这些镜头为"用例"。更多信息请参见第二部分。

一切都是优先事项。

当一切都是优先事项时,什么都不是优先事项。没有什么比威胁检测和响应更真实的了。如果您被设置为收集每个潜在威胁的每个潜在指标的每个日志,那么您的团队将很快被数据淹没,从而更难识别和应对真正对您有影响的威胁。你需要能够透过树木看到森林。

找出那些威胁是什么需要一个威胁建模练习。威胁建模曾一度被认为是企业安全领域的一个"好东西",但基于以上原因,我认为没有它,你最终会在警报的跑步机上运行,永远不会真正到达任何地方。目标是持续改进。从你今天能合理地做的最重要的事情开始,然后继续做下一件事。但你必须知道从哪里开始,威胁建模可以帮助你做到这一点。

但这并不都是坏消息。注意本系列的第二部分,关于如何绕过障碍的实用建议,京东云ddos防御,

请在此处了解Kudelski Security的管理检测和响应功能。

作者最近发表的文章Francisco Donoso Kudelski Security全球安全战略总监Francisco Donoso是Kudelski Security全球安全战略总监,一家全球网络安全服务提供商,曾担任首席架构师,构建公司的全球托管安全服务(MSS)产品。自从影子代理发布Equation Group的后开发工具和功能以来,ddos防御有局域网攻击怎么办,他一直站在研究的最前沿,并在Derbycon、Thotcon、Microsoft Bluehat和其他会议上谈到了这项研究。Francisco Donoso的最新帖子(见所有)安全咨询:Kaseya VSA供应链妥协用于执行REvil勒索软件-2021年7月13日关键基础设施网络安全困境-6月23日,cc是怎么防御的,2021年第2部分:四个障碍,以更快的威胁检测和响应-三件事你可以做的-2021年6月1日

facebook twitter电子邮件分享

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/70391.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9311339访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X