首页> 资讯 > > 正文

因利制权,从孙子兵法看主机安全的攻防艺术

2021-03-17 09:01:21 来源:壹点网
网络安全的本质是攻防对抗,是一场战争。虚拟的网络安全与现实的国土安全,在攻防对抗上是一样的。有攻防,就有敌我;有敌我,就有动机、有谋略、有战术。被奉为“兵学圣典”的我国古代军事哲学大作《孙子兵法》,对当前的网络信息安全战争,也有着划时代的指导意义。

网络安全的攻防已经呈常态化。无论是日常的安全监测,还是实战化的攻防演练,在网络各处,攻防战争随处可见。攻防双方摩拳擦掌,严阵以待。对攻方来说,蛰伏暗处、攻其不备,随时出击,偶尔还来个0day大招让守方防不胜防;对守方来说,眼观六路、耳听八方,追堵围截,十八般武艺各显神通。道高一尺、魔高一丈的较量,从未间断。

主机,最后的防线,最重要的战场

从整个攻防行动来看,主机,是最后一道防线,也是最重要的战场。这是排兵布阵、攻防作战、突袭埋伏、杀敌对抗等活动的直接发生地,也是攻方最终的目标所在。守住主机,则守住了生机,还能扭转形势,伺机反扑;主机失陷,则目标被推,全线崩溃。

当前,攻防形势已经发生了剧烈的变化,传统的网络攻防已向高级攻防对抗转变,不再是边界一道墙就能固守金汤了。攻击者绕开边界、网络、云侧的防御手段,直指主机要害。

如何保全守住主机这个最后的战场呢?

从攻击者的角度来看,可以将最终目标分解成一个个的小目标,将入侵行为分解成一个个独立的入侵行为,每一个入侵行为基本都由“探测-入侵-实施”三个阶段组成。

--探测,攻击者在攻打目标之前,需要对网络进行前期的探测。通过主动探测或被动探测,搜集关于目标组织及其资产的信息,找到系统的脆弱点,这也是进攻的突破口。

--入侵,攻击者进入目标的过程,常见的有网络安全漏洞、暴力破解、社工等手法。在这一众入侵方式中,最著名的当属0day漏洞。从最近的网络攻击来看,0day漏洞让无数安全防御产品失效。手握0day漏洞,基本就是指哪打哪,无往不利。

--实施,是黑客进入目标后进行的一系列操作,攻击者在这个阶段可以进行很多种破坏行为,比如植入后门、本地提权、获取敏感文件、横向移动等。攻击者要在此收集更多的数据,以获得更高的权限。这也是影响面最大的阶段,

实施完成,获得更高的权限后,便开始进攻下一个小目标,开始新一轮的探测。

通过“收集数据-获得权限-收集更多数据-获得更高权限”这样的螺旋式迭代更新,攻击者得以不断深入系统内部,最终抵达目标主机。

势者,因利而制权也

面对螺旋式的迭代进攻,可以从多个节点去观测,在发现异常时及时阻断入侵链条。杰思安全将古代兵法智慧与现代安全防御理论相结合,融入新一代主机安全产品,强调因利制权。

势者,因利而制权也,即善于抓住瞬息万变的有利时机,而采取一系列灵活机动的应变措施。

杰思旗下的新一代主机安全响应系统,杰思猎鹰通过对“操作系统持续地检测与响应”,借助EDR、CWPP、自适应微隔离、深度溯源等创新主机安全技术,有效防御0day漏洞、无文件攻击等未知威胁。

通过操作系统定点监控和行为动态跟踪,对主机安全环境进行持续检测,寻找攻击可能进行的迹象,结合意图、上下文、活动序列等,及时察觉主机异动;

发现主动异动的第一时间,实时告警,并进行智能威胁响应,实现操作系统级立体不间断的响应处置;

自适应、细粒度微隔离策略,关联工作负载,可实现基于主机的最小化控制;

深度溯源,能还原攻击发生的时间、地点、影响范围等各个细节,锁定威胁源头,为调查取证提供详实的数据;

针对重大项目的安保,提供专家驻场等服务,形成天时地利人和的纵深防御。

通过一系列多方位的检测与响应,全面覆盖ATT&CK攻击框架各阶段的核心关键攻击指标,尤其是在初始访问、执行、持久化、提权、防御规避、横向移动等阶段,帮助用户因利制权,创造优势,进而全面掌控主机安全,获得攻防战争的主动权。

标签: