内部网络攻击-收敛网络攻击暴露面

hacker|
212

什么是攻防演练?网络安全攻防演练包含几个阶段?

 对网络安全圈了解的人肯定都听说过“攻防演练”,它是检阅政企机构安全防护和应急处置能力的有效手段之一,而且每年国家都会举行实战攻防演练。那么网络安全中攻防演练分为哪5个阶段?以下是详细的内容介绍。

攻防演练保障工作不是一蹴而就,需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方,应按照以下五个阶段组织实施:

启动阶段:组建网络攻防演练保障团队并明确相关职责,制定工作计划、流程和具体方案。对信息网络架构进行梳理和分析,评估当前网络安全能力现状。对内外网的信息化资产进行梳理。

备战阶段:通过风险评估手段,对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案,配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。

临战阶段:制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。

保障阶段:依托安全保障中台,构建云地一体化联防联控安全保障体系,利用情报协同联动机制,持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。

总结阶段:对攻防演练工作进行经验总结和复盘,梳理总结报告,对演练中发现的问题进行优化改进和闭环处理。

网络安全涉及哪些方面 常见的网络攻击方式

网络安全涉及

1、企业安全制度(最重要)

2、数据安全(防灾备份机制)

3、传输安全(路由热备份、NAT、ACL等)

4、服务器安全(包括冗余、DMZ区域等)

5、防火墙安全(硬件或软件实现、背靠背、DMZ等)

6、防病毒安全

网络攻击有多种形式,合拢而来, 可简单分为四类攻击。

1、人性式攻击,比如钓鱼式攻击、社会工程学攻击,这些攻击方式,技术含量往往很低,针对就是人性。有点骗子攻击的味道。著名黑客菲特尼客,以这种攻击为特长。

2、中间人攻击,各式各样的网络攻击,合拢而来几乎都是中间人攻击,原因很简单,任何两方面的通讯,必然受到第三方攻击的威胁。比如sniffer嗅探攻击,这种攻击可以说是网络攻击中最常用的,以此衍生出来的,ARP欺骗、DNS欺骗,小到木马以DLL劫持等技术进行传播,几乎都在使用中间人攻击。

3、缺陷式攻击,世界上没有一件完美的东西,网络也是如此,譬如DDOS攻击,这本质上不是漏洞,而只是一个小小的缺陷,因为TCP协议必须经历三次握手。

4、漏洞式攻击,就是所谓的0day Hacker攻击,这种攻击是最致命的,但凡黑客手中,必定有一些未公布的0day漏洞利用软件,可以瞬间完成攻击。

什么是外部攻击面管理?绝对新手指南

外部攻击面管理(ASM)External attack surface management (ASM)是一个发现、列出、分类、分析、确定优先级和监控所有可能在互联网上收集的信息的过程,并通过搜索外部数字资产将敏感数据通知您的组织。

一个有用的ASM在互联网上跟踪您的整个数字足迹,发现并收集与您的公司有关的信息。但这可能是太多的信息,也可能是没用的信息。这就是为什么这些信息不是与你的公司共享,而是首先被 分析和分类 。在这一步之后, 将根据信息的敏感性对其进行优先级排序 。最后,监控是最后一步。

简而言之,攻击面就是攻击者在研究脆弱组织的威胁时所能发现的一切。

要管理这种动态攻击接口,组织必须确保他们拥有正确的安全控制,以减少攻击表面中攻击者可以利用的漏洞数量。这可以通过使用网络安全工具来最小化组织容易受到网络攻击的地方。

然而,这并不是不可能将一个组织的目标区域的巨大规模纳入观点;它只是需要以一种新的方式来看待它。通过主动映射数字足迹,监控在线通道的攻击指标,快速化解识别的威胁,并保护客户、员工和网络,可以进一步减少攻击面。为了保证组织的安全,重要的是要了解基础设施暴露和易受攻击的方式,然后对有助于减少攻击的活动进行优先级排序。一旦您了解了什么是网络攻击,它涉及什么,以及您自己的攻击范围有多大,安全专家就可以开始缩小您的基础设施可能受到的攻击类型。

ASM结合了先进的互联网数据情报和分析,以加快调查,了解攻击面,并采取行动应对数字威胁。持续安全监控是针对第三方可信任数字资产的攻击区域管理。ASM工具提供了对这些资产的洞察和可见性,以发现和监视Internet上与您的组织相关的一切,从而聚焦于您的攻击表面的巨大规模。

这种实时可见性对于违反攻击表面的风险至关重要,攻击表面是动态的和高度复杂的,因为它是任何组织的安全策略的关键组成部分。

因此,重要的是监控攻击面,以检测和管理攻击者在互联网、移动和云环境中的目标资产。您可以通过主动映射您的数字足迹、监控在线渠道的攻击指标、快速缓解已识别的威胁并保护您的客户、员工和网络,从而进一步减少攻击面。智能威胁接口管理还可以帮助您的IT安全团队从危机管理人员转变为真正的安全分析师,他们的见解可以保护您的底线。通过增加数字攻击区域的可见性和减少您的业务暴露,您可以找到并监视Internet发布的所有资产。

组织可以通过不断管理和减少攻击面来主动干预防御,使攻击者越来越难以成功。他们可以通过使用ASM来提高自己的安全地位;通过在云计算中使用可信和真实的欺骗来改进攻击面,从而降低风险。

您可能已经在网络周围设置了一个保护整个系统的边界,但是一个受控的攻击面可以帮助您避免当今组织面临的一些最常见的网络安全风险。对网络进行分割是有意义的,因为分割可以增加攻击者在试图通过网络时遇到的障碍数量,从而帮助减少攻击区域。通过定义软件的范围,您可以在网络边缘识别和阻止潜在问题,以免它们到达攻击面。减少新出现的端点攻击影响的另一个关键是使事件在端点处更可见。

良好的外部攻击面管理产品全天候监控所有系统,以发现新发现的新的安全漏洞。实时可见性对于检测攻击对企业中在线运行的一系列网络、软件、协议和服务的攻击表面的影响至关重要。考虑到在线业务中的网络、软件协议和服务的数量和复杂性,可能很难确定哪些部分的攻击是入侵和入侵的来源。伤害风险的识别是动态的、高度复杂的,其特点是需要探索几个复杂的领域,如网络基础设施、网络安全、数据安全和网络管理。

对于今天的组织来说,管理攻击面本身可以最大限度地减少对手利用漏洞的机会,并有助于防止数据泄露。

攻击接口是攻击者进入环境的点或向量,它仅仅是攻击者进入设备或网络并提取数据的所有可能方式的列表。换句话说,攻击接口可以描述为不同点的集合,未经授权的用户可以在这些点上渗透IT环境。攻击者可以从几个方面试图渗透环境,例如访问网络、从远程位置访问或通过网络连接访问。

攻击面描述了攻击者可以进入系统并访问数据的各个点。简单地说,攻击面包括攻击者可以利用来进行成功攻击的组织的网络环境,包括协议、接口、软件和部署的服务。它是暴露给企业的资源。

在现代公司中,攻击面是大规模的和超维的,鉴于当今数字环境的复杂性,我们开始更好地理解与外部攻击面管理相关的挑战。

攻击面可分为4组。所有攻击面可以是这4组中的至少一个。

攻击面是指任何对互联网开放并可被攻击者利用的资产,如域基础设施、网站服务、云技术等。它可以被描述为一个组织的网络接口、它的网络基础设施和资源。综上所述,攻击面包括:

已知资产: 已知资产是指网站、服务器等公司注册管理的资产。

未知资产: 未知资产就像为了营销目的而被安全 团队遗忘的域名 ,或者开发团队遗忘在存储库中构成未知实体的 一些敏感数据。

假冒资产: 恶意基础设施,如虚假域名,恶意社交媒体帐户看似属于公司,但由攻击者创建。

第三方资产: 攻击面最终不只是针对拥有资产和公司的公司。公司网站上的第三方javascript脚本或用于定位其资产的托管服务器是公司数据交换生态系统中攻击面的一部分。

要管理外部攻击面,首先需要识别所有对互联网开放的资产。发现阶段很重要,因为公司有许多他们不知道或忘记的资产,以及他们知道和管理的资产。例如,为了营销目的而打开的一些促销页面可能忘记关闭,或者没有通知安全团队。任何被遗忘或未进行安全配置的资产都可能对公司造成危害。因为攻击者总是更喜欢攻击公司而不是非托管资产。

另外,一些暴露的被攻击者用来模仿公司的PII(个人身份信息)数据和资产,如网站、sm账户等,也可以在外部攻击面管理的第一步被检测出来。

连接到公司资产的第三方应用程序或供应商也会出现在发现阶段,在这种情况下,它会扩大您的攻击面,因为它包含在公司的生态系统中。

发现过程从简单的扫描提供的IP地址和子网到更全面的OSINT(开源情报)和暗网浏览。

一些安全解决方案要求组织提供数据清单,以监控和管理外部攻击面,或在公司内部进行一些定位。

SOCRadar仅以域名地址作为输入,用于发现组织的攻击面。由于采用了先进的搜索方法,它使用OSINT方法在表面网、深层网和暗网上探索整个资产清单,而不触及和破坏公司的任何资产。

在发现资产之后,应该根据资产的类型、技术特征、业务关键性和遵从性需求,创建具有正确标签的库存。

组织需要不断更新的资产维护和保护。但是,每个部门管理的资产类型是不同的。例如,当网络团队想要监控DNS记录的变化时,社交媒体帐户的管理可能会在营销团队之下。希望能够快速访问其管理的资产的负责人。正因为如此,创建一个正确分类的库存是很重要的。

SOCRadar通过将资产分类到不同的类别,提供了对资产的轻松访问。它还具有一种授权机制,可以通知不同的人,这些人负责监视每个资产期间发生的发现。

在数字世界中,组织的资产不断更新,随着资产清单的增加,安全团队很难跟踪更新的资产。还有很多第三方应用程序在资产上运行,每天都有数百个容易被利用的安全漏洞在这些应用程序上发布。因此,必须确保对数字资产进行全天候监控,以发现新发现的漏洞和错误配置。

SOCRadar旨在持续监控检测到的资产,通知安全团队公司内部的任何误解或配置,并识别可能的攻击活动。通过漏洞跟踪模块,可以在攻击面内检测到具有弱点的应用程序。

持续安全监控涵盖由您的组织或授权的第三方操作的已知和未知数字资产。然而,攻击的范围远不止于此,还包括网络罪犯创建的恶意或欺诈资产。

这包括滥用你的商标或信誉的钓鱼网站,假装属于你的移动应用程序,或社交网络上的虚假账户等数字威胁。

因此,持续监视恶意实体和事件对于确保针对组织的攻击载体的整体可见性至关重要。

SOCRadar通过将海量数据点聚合并关联到可采取行动的情报警报中,构建了即时网络钓鱼领域识别、全互联网扫描和受损证书检测技术。

组织需要外部攻击面管理,以识别其数字资产可能出现的风险,并采取相关行动。

ASM帮助客户以自动化的方式获得关于未知外部数字资产严重性的额外可见性和上下文。通过SOCRadar先进的全互联网监控算法,AttackMapper为安全团队提供了对所有正在使用的面向互联网的技术资产以及IP、DNS、Domain和密码基础设施的资产的直接可见性。

SOCRadar只使用主域名地址信息来检测公司的数字足迹,并通过分类自动提取资产清单。

它定期监视组织的资产并检测与之相关的更改。通过监视构成攻击面的资产,它使我们能够跟踪攻击者并防止可能的攻击。此外,它还可以向安全团队提供关于公司内部丢失的安全配置、关键开放端口、过期的SSL证书/域等的信息。

当有关公司资产的漏洞在外部网络及其应用程序上可见时,SOCRadar会通知公司。

SOCRadar以服务的形式提供以下模块:

数字足迹发现

域/ IP监控

SSL证书监控

DNS监控

漏洞检测

重要端口检测

JavaScript监控

关键数据泄漏检测

0条大神的评论

发表评论