主要观点总结
文章介绍了针对0day漏洞的防护方法,包括伪装、异构、阻断、拦截、诱捕、排查等步骤,以及针对内网攻击的防护策略和实际经验总结。
关键观点总结
关键观点1: 伪装关键应用指纹
通过伪装常用中间件、更改http协议header头的server字段,修改中间件配置文件和网关系统配置指纹等方式,迷惑攻击者。
关键观点2: 异构边界防护设备
采用异构方式部署vpn和防火墙,增加入侵难度和成本,同时在内外层vpn系统网络区域间部署大量蜜罐。
关键观点3: 控制出网访问
攻击者需要受害主机出网访问的权限,采用配置防火墙双向白名单,阻断协议包括tcp、udp、icmp、dns等,达到攻击无法完成的效果。
关键观点4: 强化主机安全防护
部署终端防护系统,监控非白名单地址的运维操作和敏感操作命令,及时发现异常命令执行行为。同时监控服务器敏感配置文件的读取。
关键观点5: 布置内网诱捕陷阱
在核心计算区域布置核心系统和集权系统蜜罐,将真实系统的非业务端口访问流量转发至蜜罐,第一时间发现内网扫描行为。
关键观点6: 识别网络及应用层异常行为
制定以主机异常命行为核心,识别网络及应用层异常行为、收敛攻击面、制定快速攻击定位及处置流程的0day漏洞防护战术。
关键观点7: 使用蜜罐和高交互技术
部署高交互、高仿真蜜罐,将vpn、oa系统做蜜罐备份,混淆攻击者,捕获零日漏洞。同时采用动态伪装和反向水坑等主动防御理念对抗高级攻击者。
关键观点8: 零信任架构的实现
通过实施零信任架构,建立员工身份安全基准,让攻击者看不见、进不去、摸不到,同时灵活自动地切断攻击链条,保护数据安全。
文章预览
0day漏洞防护 伪装 、异构、阻断、拦截、诱捕、排查 6步法 1、伪装关键应用指纹 伪装常用中间件、更改http协议header头的server字段。可将linux改为IIS6.0。 修改中间件配置文件,将移动通讯app的web服务页面配置成“错误”页面返回信息。 修改网关系统配置指纹,将邮件系统指纹改为“Moresec HoneyPot”,转移攻击者注意力。 2、异构边界防护设备 (增加入侵难度和成本) vpn和防火墙采用异构方式部署,同时在内外层vpn系统网络区域间部署大量蜜罐。 3、严控出网访问 (有来无回) 攻击者需要受害主机出网访问的权限,采用配置防火墙双向白名单,阻断协议包括tcp 、udp、 icmp 、dns等,达到攻击无法完成的效果。 4、强化主机安全防护 部分0day利用成功后需要主机读写文件权限,部署终端防护系统,一是监控非白名单地址的运维操作和敏感操作命令,及
………………………………
