<form id="zvbvv"></form>

<address id="zvbvv"><listing id="zvbvv"></listing></address>

    <sub id="zvbvv"></sub>

    <form id="zvbvv"><nobr id="zvbvv"><progress id="zvbvv"></progress></nobr></form>

    <noframes id="zvbvv">

        《電子技術應用》
        您所在的位置:首頁 > 通信與網絡 > 業界動態 > 【零信任】黑客攻擊鏈 v.s. 零信任

        【零信任】黑客攻擊鏈 v.s. 零信任

        2021-04-21
        作者: 冀托
        來源: 白話零信任
        關鍵詞: 零信任 黑客攻擊鏈

          美國最大的軍火商,也是頂級的網路戰公司,洛克希德馬丁公司提出的“攻擊鏈”模型認為,一次成功的黑客攻擊一般都會經歷以下這7個步驟:

          1、偵察

          2、準備武器

          3、投放武器

          4、滲透攻擊

          5、植入后門

          6、控制

          7、目標行動

          1.png

          這7步環環相扣,完整地描述了黑客進攻的一般規律。

          了解攻擊鏈模型,可以幫助我們了解如何防御黑客的進攻。

          從防御的角度看,如果想阻止一次網絡攻擊,那就必須打斷攻擊鏈中的一步或幾步。打斷的步驟越多,防御體系越全面,黑客攻擊的成功率就越低。最新一代的綜合多層防御體系就是“零信任”體系。

          下面就來介紹攻擊鏈模型中,黑客每一步會如何攻擊,我們一般要如何防御,以及零信任在不同階段如何發揮其獨特的作用。

          1、偵察

          任何攻擊的第一步都是收集信息,了解目標的弱點。

               攻擊:

          黑客可以從公開渠道收集信息。例如,

         ?。?)WHOIS查詢域名注冊信息

         ?。?)百度、谷歌搜索目標公司信息

         ?。?)SHODAN上搜索目標服務器信息

         ?。?)查看公司官網

          公開信息搜集完成,下一步就是直接去掃描目標的服務器。

         ?。?)NMAP掃描IP段和開放的端口

         ?。?)Banner信息抓取

         ?。?)漏洞掃描(通常漏洞掃描行為都太明顯了,所以目前很多黑客都會縮小范圍、降低掃描速度,以防被發現)

          防御

          公開渠道的保密工作:

         ?。?)不在招聘網站、微博上暴露自家的機密

         ?。?)不在官網的錯誤提示中暴露服務器信息

          服務器的防護措施:

         ?。?)服務器上不必要的端口一定要關掉。端口開的越少,攻擊者可以利用的入口就越少

         ?。?)采用蜜罐產品,可以用來吸引黑客,轉移攻擊目標,讓黑客暴露自己

         ?。?)帶IPS(入侵防御)的防火墻產品可以過濾一些威脅,監測黑客的掃描行為

         ?。?)一些黑客會通過TOR網絡連接或多層代理跳轉連接過來,大多數下一代防火墻都可以阻斷一些已知的惡意IP

          零信任

          之所以黑客可以偵察到信息,是因為服務器對陌生人是默認信任的,除非發現異常才進行防御。

          而零信任默認對任何人都不信任,陌生人必須驗證自己的身份之后,才能看到服務器的信息。所以,在合適的場景下,零信任體系可以完美地對抗攻擊者的偵察行動。

         ?。?)零信任體系中一般有一個零信任網關作為網絡的統一入口。

         ?。?)零信任網關平時不對外映射任何端口,合法用戶通過私有協議通知網關,網關驗證用戶身份后,才會對合法用戶的IP開放指定端口。

         ?。?)對沒有合法身份的人來說,零信任網絡是完全不暴露任何端口的。

          黑客一般都會尋找有價值的目標下手。如果使用了零信任體系,那么正在尋找目標的攻擊者很可能會發現偵察不到什么信息,然后轉向其他目標。

          2、準備武器

          知道目標的弱點之后,就可以針對弱點準備攻擊用的工具了。

          攻擊

          制作攻擊工具的方式很多,下面是一些常見的:

         ?。?)用Metasploit框架編寫一些攻擊腳本

         ?。?)Exploit-DB上查詢已知的漏洞

         ?。?)用Veil框架生成可以繞過殺毒軟件的木馬

         ?。?)用各類社會工程學工具制作釣魚網站

         ?。?)其他如CAIN AND ABEL、SQLMAP、AIRCRACK、MAL TEGOWEB APP、WAPITI、BURPSUIT、FRATRAT等等不一一說明了。

        防御

          黑客可以準備攻擊工具,我們可以準備防御工具:

         ?。?)補丁管理:時至今日,大部分的攻擊還是針對漏洞的,補上就沒漏洞了,沒漏洞就不會被攻擊了

         ?。?)禁用office宏,瀏覽器插件等等

         ?。?)安裝殺毒軟件,部署防毒墻

         ?。?)IPS上設置檢測規則,以便檢測攻擊行為

         ?。?)郵件安全產品,檢測釣魚郵件

         ?。?)敏感系統開啟多因子認證

         ?。?)開啟服務器的日志審計功能

        零信任

          零信任需要部署客戶端和網關,為后續的攻擊做好準備

         ?。?)零信任需要部署網關,作為網絡的統一入口

         ?。?)零信任一般會要求用戶安裝一個客戶端,以便進行設備檢測

         ?。?)還可以提前收集數據,分析用戶行為習慣,建立行為基線

          3、投放武器

          有針對性地將武器(惡意代碼)輸送至目標環境內。

          攻擊

          不同的投放方式:

         ?。?)網站:感染用戶常用的網站,以便傳播木馬或病毒

         ?。?)郵件:偵察階段如果發現目標公司有合作伙伴的話,黑客可以偽裝成合作伙伴發送郵件,郵件附帶病毒,公司的小白員工很可能就上當了

         ?。?)USB:U盤病毒越來越少見了

          防御

         ?。?)郵件安全檢測產品,可以識別垃圾郵件,把來自惡意IP郵件會被屏蔽掉,把沒有合法數字簽名的郵件屏蔽掉,這樣可以減少病毒的傳播

         ?。?)上網行為管理產品,屏蔽惡意網站,避免員工亂下載東西

         ?。?)關閉USB,或者不給用戶管理員權限,可以避免大部分USB病毒傳播的情況

         ?。?)DNS過濾,在DNS解析時過濾惡意域名,可以阻斷病毒利用Https協議通信

          零信任

          零信任客戶端持續對用戶進行檢測,檢測合格了才允許接入零信任網絡。

          電腦上如果存在惡意代碼或者可疑進程,零信任會對用戶的可信等級進行降級。信任等級低的用戶不能連接敏感度高的業務系統。

          這樣,就可以大大降低病毒木馬在企業內部傳播的可能性。

          4、滲透攻擊

          利用漏洞或缺陷觸發已經投放的惡意代碼,獲得系統控制權限。

        攻擊

         ?。?)緩存溢出攻擊

         ?。?)SQL注入攻擊

         ?。?)運行木馬、惡意軟件

         ?。?)在客戶端執行Javascript惡意代碼

          防御

          如果黑客已經到了可以執行惡意代碼這一步了,那么我們剩下的防御手段也就不多了

         ?。?)DEP(數據執行保護)可以檢測內存中是否有惡意代碼正在執行

         ?。?)有些殺毒軟件會監測內存,攔截惡意的漏洞利用行為

         ?。?)檢測沙箱技術,可以讓軟件在模擬環境里運行,通過對軟件的行為進行分析,進而識別惡意軟件

          零信任

          零信任的主要針對網絡內連接的管控,端上的安全需要與傳統產品進行集成。

          5、植入后門

          植入惡意程序及后門,以后即使漏洞被修復了或者系統重啟了,黑客還可以利用后門進來持續獲得控制權限。

          攻擊

         ?。?)DLL劫持,替換正常的DLL,每次運行都會執行惡意操作

         ?。?)meterpreter或類似的攻擊載荷可以在觸發漏洞后能夠返回一個控制通道

         ?。?)安裝一個遠程接入工具

         ?。?)修改注冊表,讓惡意程序自動啟動

         ?。?)利用PowerShell運行惡意代碼

          防御

         ?。?)Linux上可以利用chroot jail隔離惡意程序,限制它的訪問權限

         ?。?)Windows可以關閉Powershell

         ?。?)建立應急響應機制,發現威脅時,隔離設備,遠程擦除設備上的信息

         ?。?)日常備份,被入侵后可以恢復到正常狀態

          零信任

          大部分零信任架構都會融入UBA/EDR方案,監控系統上是否有惡意程序安裝、是否發生了異常行為、注冊表是否發生改變。

          如果發現了入侵跡象,將記錄日志并發出告警,嚴重時在零信任網關上執行相應的隔離策略。

          6、指揮控制

          到了這一步,服務器已經完全被黑客控制了,被控制的服務器可以立即執行攻擊,也可以等待來自黑客遠端服務器的進一步指令。

            攻擊 

          被控制的服務器與外部的指揮控制(command & control)服務器建立加密的通信連接。

            防御

          限制異常通信

         ?。?)網絡分段隔離可以限制設備的訪問權限,阻斷黑客的通信

         ?。?)通過異常行為日志及時發現攻擊者和被入侵的設備

         ?。?)下一代防火墻可以攔截已知的C&C服務器的通信

         ?。?)有些DNS提供僵尸網絡和C&C服務器的攔截功能,有些攻擊者或利用fast flux技術躲避攔截,阻斷對新出現的域名的訪問,可以有效阻斷這類遠程訪問

         ?。?)利用下一代防火墻的應用層管控功能,阻斷非必要的telnet、ssh、rdp、netcat、powershell的通信,如果確實需要用的話,一定要做IP白名單限制

         ?。?)黑客一般會對通信進行加密,使用SSL深度包檢測(DPI)技術可以檢測每個數據包的內容

         ?。?)IOC(失陷指標)是一種用來發現入侵的工具,在主機或網絡上出現IOC時,代表主機可能被入侵了,IOC可以通過本地agent收集

          零信任

          零信任架構中的微隔離模塊可以對網絡進行更細粒度的隔離。

         ?。?)平時對設備的訪問權限進行白名單機制的管控,默認不允許設備訪問未知IP,即使被黑客入侵了,也無法與C&C服務器的通信

         ?。?)被感染的設備被檢測到之后,會被完全隔離,只留一個端口用來確認設備是否恢復正常,正常后才能繼續接入零信任網絡

          7、目標行動

          開展直接的入侵攻擊行為,竊取數據、破壞系統運行,或者在內部網絡進一步橫向移動。

          攻擊

          攻擊者進攻的目的可能是為了金錢、為了政治、從事間諜活動,或者內部惡意破壞等等。

         ?。?)拖庫,竊取機密文件,竊取重點人員的郵件、聊天記錄

         ?。?)掃描整個內網,以受控主機為跳板,橫向攻擊更重要的系統

             防御

         ?。?)DLP數據防泄密工具可以保護本地數據,禁止數據通過網絡傳輸離開設備

         ?。?)UBA可以分析用戶試圖竊取數據的行為

          零信任

          零信任的理念就是假設設備最終大概率都會進入攻擊鏈的最后一步,被入侵。所以,任何設備都是不可信的。除非設備能證明自己是安全的,才能獲得接入網絡的權力。

          用戶的每一次訪問請求(per request)都會被檢測。用戶的訪問請求到達零信任網關時,網關會對請求進行一系列的檢查。

         ?。?)檢查是否包含敏感數據,包含的話,會依據后臺規則進行阻斷或日志記錄

         ?。?)檢查此次行為與之前的用戶行為習慣是否相符,如不相符,則立即觸發強認證,用戶需要輸入短信驗證碼進行驗證,才能繼續訪問其他資源

          零信任會對每個服務器做細粒度的訪問控制。即使一個服務器被攻陷,也不會在內網大面積蔓延。

          總  結

          攻擊鏈不只是揭示黑客如何進攻的模型,也是一個安全規劃的藍圖。

          對照攻擊鏈模型,可以發現零信任是一個非常全面的防御體系。零信任可以切斷黑客攻擊鏈上的多個關鍵節點。

          1、偵察階段,可以隱藏服務器信息,極大減少信息暴露

          2、投放武器階段,可以通過對設備可信等級的檢測,及時隔離威脅,減少病毒木馬的傳播

          3、植入后門階段,可以通過對終端行為的檢測,及時發現威脅,并進行響應

          4、指揮控制階段,可以通過白名單策略,默認阻斷被入侵設備與遠端服務器的通信

          5、目標行動階段,可以通過微隔離手段限制黑客進一步的橫向攻擊


        本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306116;郵箱:aet@chinaaet.com。
        日本一级婬片免费看
        <form id="zvbvv"></form>

        <address id="zvbvv"><listing id="zvbvv"></listing></address>

          <sub id="zvbvv"></sub>

          <form id="zvbvv"><nobr id="zvbvv"><progress id="zvbvv"></progress></nobr></form>

          <noframes id="zvbvv">