介绍
在整个攻防演练的过程中,我们主要要注意安全监控与分析、安全策略优化、安全设备的自身加固。这三部分都是保障 络安全的重要手段。一旦边界设备被入侵,那么就意味着全部都将失守。
防火墙部署模式
IPS设备
入侵防御系统(IPS: Intrusion Prevention System)是电脑 络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视 络或 络设备的 络资料传输行为的计算机 络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的 络资料传输行为。在红蓝对抗中,IPS也会在边界区域进行部署。
全流量威胁分析系统
全流量威胁分析系统是拥有自主专利的基于机器学习技术的新一代安全产品,其主要目标旨在适应攻防的变种和更新发展,准确监控 络传输或者系统的入侵动作,并预测黑客的下一步攻击行为。实现了动态地、主动地检查是否有可疑活动或者违反企业安全策略的行为;并及时针对可疑行为发出警 或者采取主动反应措施。实现事前告警、事中预测、事后取证,为企事业单位用户提供高检出、易运营、可追溯的 络入侵检测解决方案。
全流量设备可以根据攻击事件进行筛查,可以进行威胁情 的匹配,恶意文件的沙箱检查,可以通过更多的手段查询日志,可以展示外 的风险和内 安全的产品。如下图我们可以把全流量威胁分析系统部署在服务端上
蜜罐
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、 络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
在红蓝对抗中,蜜罐是帮助蓝队得分的主要手段,蜜罐主要是运用虚假的攻击目标,消耗攻击目标的攻击效率,获取攻击方的信息。蜜罐可以帮助我们溯源攻击方的攻击手段和身份信息等功能,蜜罐部署之后要提前 备。蜜罐一般部署在内 或业务区域。
可以看到,大多数红队首先展开攻击的是从外 开始入手,例如像一些web服务漏洞,系统本身漏洞,框架中间件漏洞等,一步步渗透直至控制靶标系统。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!