Intro to Offensive Security

简言之,进攻性安全(红队)是一个进攻计算机系统,利用软件缺陷,发现应用程序的漏洞,来达到为授权访问这些系统的过程。

为了对抗黑客,我们需要表现的像一个黑客,在网络犯罪发生之前,发现漏洞,推荐补丁。

另一方面,也有防御性安全(蓝队),这是一个通过分析和保护潜在的数字威胁来保护一个组织的网络和计算机系统的过程。

在防御安全的角色中,你可以调查受到感染的计算机或者设备来了解他们是如何被黑入的,追踪网络犯罪,监控基础设施是否存在恶意获得。

Intro to Defensive Security

进攻性安全只关注一件事,入侵系统。入侵系统可能通过利用漏洞,滥用不安全的设置,以及利用不强力的安全访问控制策略实现。红队和渗透测试人员专注于进攻性安全。

防御性安全在某种程度上和进攻性安全相反,他只关注两个主要的任务:

  1. 防止入侵发生
  2. 监测发生的入侵,并及时正确响应。

蓝队是防御安全领域的一部分。

一些和防御安全有关的任务包括:

  • 用户网络安全意识:训练用户关于网络安全的知识,有助于防护针对他们系统的各种攻击。
  • 记录和管理资产:我们需要了解系统和设备的类型才能正确的管理和保护这些资产。
  • 更新和修补系统:确保计算机、服务器还有网络设施被正确的更新和及时添加已知漏洞和弱点的补丁。
  • 设置安全防御设施,防火墙和入侵防护系统(IPS)是预防安全的关键部分。防火墙控制哪些网络流量可以进入,哪些需要远离系统和网络。IPS会阻止任何与当前规则和攻击特征相匹配的网络流量。
  • 设置日志和监测设备:没有适当的网络日志和监测系统,我们就不可能监测到恶意活动和入侵,如果我们的网络上出现了一个新的未授权的系统,我们能够及时了解发现。

这里主要学习:

  • Security Operation Center (SOC) 安全运营中心
  • Threat Intelligence 威胁情报
  • Digital Forensics and Incident Response 数字取证和应急响应
  • Malware Analysis 恶意软件分析

Security Operation Center (SOC) 安全运营中心

安全运营中心是一个专业的网络安全团队,主要负责监控网络以及系统来监测恶意的网络安全事件,一些SOC的主要领域:

  • 漏洞:当一个系统的漏洞或者弱点被发现时,通过安装或者更新适当的补丁来修复这些漏洞是非常重要的。当暂时不能修复时,应采取必要的措施来防止攻击者利用它。
  • 策略违反:我们可以将安全策略视为保护网络和系统而必须遵守的一系列规则。这可能会有人违反这些规则,比如用户将公司的重要数据上传至公网服务器存储。
  • 未授权活动:考虑当一个用户的用户名和密码被盗取并且攻击者利用他们登录系统的情况,SOC需要监测这样的一个事件,并且在出现进一步的损失之前尽可能快的阻止他。
  • 网络入侵:不管你的安全性多好,入侵的机会总是存在的。当用户单击恶意链接或攻击者利用公共服务器时,可能会发生入侵。不管怎样,当入侵发生时,我们必须尽快检测到它,以防止进一步的损害。

Threat intelligence(威胁情报)

在这里,intelligence情报是指你收集到的有关敌人的实际或者潜在的信息。threat威胁是指扰乱或者对系统产生不利影响的行动。Threat intelligence威胁情报旨在收集信息,来帮助公司更好的预防潜在的敌手。其目的在于实现基于威胁信息的防御。不同的公司有不同的敌手,有一些敌手可能想要从移动运营商那里偷取客户数据。然而,有一些敌手对停止石油生产感兴趣。有些敌手包括出于政治目的的国家网络军团,还有处于经济目的的勒索软件组织。基于这些目标,我们能提前预计这些目标的敌手。

情报需要数据,数据需要被收集、处理和分析。数据收集可以从本地数据源(比如网络日志)或者公共数据源(比如论坛)。分析阶段旨在找到有关攻击者和他们冬季的更多信息,它的目的是制定一份建议和可行步骤清单。

学习你的敌手,有助于你了解他们的战术,技术和程序。通过威胁情报的结果,我们能够辨别我们的敌手,并且预计他们的行动。因此,我们能减轻他们攻击的损失,并且准备好响应策略。

Digital Forensics (数字取证)

取证是一种应用于调查犯罪和建立真相的应用科学。随着数字系统例如电脑和智能手机的应用和传播,一个有关取证的用于调查相关犯罪的的新的分支计算机取证,应运而生。后来进一步演变成数字取证。

在防御安全领域,对数字取证的关注转向于分析攻击者的证据以及其他领域。例如,例如知识产权盗窃、网络间谍活动和拥有未经授权的内容。因此,数字取证将侧重于不同领域,例如:

  • 文件系统:分析一个系统存储的数字镜像,能够揭示很多信息,比如已经安装的软件,创建的文件,被部分覆盖的文件,和已经删除的文件。
  • 系统存储:如果一个攻击者在内存运行他们的恶意程序而不是把他们存储到磁盘上,提取这个系统存储的镜像是分析这些内容和了解这些攻击的最好方式。
  • 系统日志:每个客户和服务端计算机都维护着正在发生的日志文件。日志文件提供了一系列有关系统发生的事件的信息。有一些踪迹即使攻击者尽力尝试清除之后仍然存在。
  • 网络日志:穿过网络的网络数据包的日志将有助于回答有关攻击是否正在发生以及攻击会带来什么影响的更多问题

Incident Response(应急响应)

incident事件通常是指,数据泄露或者是网络攻击。但是,在很多情况下,会有很多的事情不会构成犯罪。比如,错误配置,入侵企图,或者政策违反。网络攻击的例子包括,攻击者使我们的网络无法登录,损伤或者改变公共的网站还有数据泄露。事件响应指定了处理此类案例时应遵循的方法。目的是减少损害并在尽可能短的时间内恢复。

事件响应的四个阶段:

  1. 准备:这需要一个经过培训并准备好处理事件的团队。理想情况下,首先要采取各种措施来防止事件发生
  2. 检测和分析:团队拥有检测任何事件所需的资源;此外,有必要进一步分析任何检测到的事件,以了解其严重性。
  3. 遏制、根除和恢复:一旦检测到事件,阻止其影响其他系统、消除它并恢复受影响的系统至关重要。例如,当我们发现系统感染了计算机病毒时,我们希望阻止(遏制)病毒传播到其他系统,清除(根除)病毒,并确保系统正常恢复。
  4. 事件后活动:成功恢复后,将生成一份报告,并分享吸取的教训,以防止未来发生类似事件。

Malware Analysis

Malware 代表恶意软件。软件是指可以保存在磁盘上或通过网络发送的程序、文档和文件。恶意软件包括多种类型,例如:

  • 病毒是一段将自身附加到程序的代码(程序的一部分)。它被设计为从一台计算机传播到另一台计算机;此外,一旦感染计算机,它就会更改、覆盖和删除文件。结果包括计算机变得缓慢甚至无法使用。
  • 特洛伊木马是一种显示出理想功能但隐藏着恶意功能的程序。例如,受害者可能会从可疑网站下载视频播放器,从而使攻击者能够完全控制其系统。
  • 勒索软件是一种加密用户文件的恶意程序。加密使文件在不知道加密密码的情况下无法读取。如果用户愿意支付“赎金”,攻击者就会向用户提供加密密码。

恶意软件分析旨在使用各种手段了解此类恶意程序:

  1. 静态分析的工作原理是检查恶意程序而不运行它。通常,这需要对汇编语言(处理器的指令集,即计算机的基本指令)有扎实的了解。
  2. 动态分析的工作原理是在受控环境中运行恶意软件并监控其活动。它可以让您观察恶意软件运行时的行为。