举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔知了社区有害的内容
×
不规范转载
×
举报说明
2020年8月17日,护网行动开始的第一天,但第一天还没结束就草草收场,网传是因为业内三家名字带“信”厂商的终端软件出了安全漏洞,以及红方攻击IP被共享到蓝方阵营,提前做了封堵,失去了攻防演练的意义。目前,还不知道再次启动护网行动的具体时间。
护网行动从2016年开始,参加单位由最开始的公安部、民航部、国家电网逐步扩散开来。2017年增加重点政府部门,2018年增加重点企事业单位,2019年有政企、能源、金融、电信、广电、交通、民航、公共事业等单位,今年预计根据等保2.0新规范,还增加了公有云、物联网领域的相关企业单位。
护网行动是人员技术的比拼,也是软硬件资源的比拼。大家印象中的黑客就可以理解为护网行动中的红方,防守的企业就是蓝方。实际上,红方也没有电影中的黑客那么厉害,大部分都是用一些扫描工具、漏洞脚本等发起攻击,真正的大神不多;蓝方也没有电影中演的那么超神,兵来将挡、水来土掩、见招拆招,实际上都是依赖安全设备,比如网络层加防火墙、IPS,服务器区加WAF,还有其他的流量分析、态势感知等等一系列产品。一定程度上将,护网行动成了安全厂商推广产品、蓝方检验安全厂商产品的大好机会,带来的收益就是网络安全质量的整体提升。
本来说的是今年的蓝军万众一心,信息共享,无懈可击,但是开局一个0Day攻击就把整个护网行动干趴了。我也是在18号早上搜到了X信X厂商EDR平台的RCE漏洞复现手段,简单几步操作让人大跌眼镜,也让我认识到了大神的强大技能。有兴趣的可以搜一下“EDR RCE漏洞”,我还按照复现方法操作了一遍,真实有效,不过因为没有接触过这方面,所以也不清楚具体怎么利用这个漏洞。
一天之内,这个漏洞也算是在圈子里面火了一把,各种POC都出来了。不过,这些只能说明EDR这个系统写的不好,竟然有段子说代码的BUG比代码都多,并不影响对这个系统的评判。
按照Forrester 2020年度市场趋势预测,未来几年,数据中心的业务会逐步向云数据中心及边缘计算场景进行迁移;同时因为数据量激增,会有更多的边缘计算来减轻网络压力,网络边缘和终端的安全防护显得日益重要。
这时候就要提到EDR(端点检测与响应平台)这个产品了,是终端防护的新型概念,前身包括AV防病毒和EPP(端点保护平台)。其产品定义为:记录和存储端点系统级行为,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统
利用终端集成探针功能实现对终端的持续性监控,全面记录并保存终端上活动的进程、网络连接、注册表信息、文件操作行为、移动存储使用、用户操作信息等,为终端威胁可见性的提升提供基础数据支撑。
当一个威胁产生时,EDR解决方案不是直接提供一个告警,而是以这个威胁源为起点自动关联这个威胁的来源和方式,在终端上执行的操作以及操作带来的影响,并形成一个威胁告警,管理人员通过查看告警即可了解这个安全事件的全貌。
利用关联分析技术,将终端上不同时间段、不同类别的活动信息进行关联分析,以洞悉其中存在的异常行为和可能存在的攻击,有效减少产生的威胁告警信息,避免漏报和误报对管理人员造成影响,让威胁事件变得更容易解读和处置。
对终端的持续性监控,为管理人员带来了全网安全可视性的提升,进一步增强了针对网络内终端的安全公告能力,利用安全调查功能根据终端安全关注的不同维度实现全网快速检索,主动发现和追踪存在的威胁,以便在威胁产生影响之初做出响应和处置。
而EDR软件放人要先防己,打铁还要自身硬。EDR一般是系统进程级防护,管理员自己都卸载不掉,应用权限极高,如果漏洞被恶意利用,如向全网终端推送恶意程序,危害巨大,后果不堪设想。
所以应当考虑对关键业务系统增加多因子认证等安全手段,并且安全平台做到对恶意程序零容忍,限制关键敏感操作;最起码在网络层面,应规范关键业务系统的网络可见性,减小暴露面,把软肋藏起来吧!共勉!
一路走来,感谢有你。我就拉个微信群吧,方便和粉丝们一起交流网络、安全、云计算之类的问题,再有就是打发时间。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作