红蓝对抗鏖战点之时间赛跑和隐性攻击

APT攻击是和时间在赛跑的进阶攻击,作为蓝方,攻击是越早发现越好,一周内发现攻击和一个月后发现攻击将是天壤之别。

读文前先说明下,这个专栏的文章可能会比较碎片化,专注于红蓝对抗的话题,大部分会偏科普,大家可以不用过于抠技术细节。总之记住一句话攻防无极限,永远不要进入鄙视链,大家都是井中蛙,只是各自的井不同。

第1篇咱们科普了红蓝对抗的形式,我决定这一篇还是继续科普,深入解析下双方鏖战的关键点。关于蓝方的文字会多一点,让我们直奔主题~

什么是APT

APT(Advanced Persistent Threat)是高级持续性威胁,通俗一点APT其实就是红队的惯用攻击手段,这种攻击的精髓就是隐蔽低调持久有效,而且混杂在正常的行为和流量中,你中有我,我中有你,符合真正的黑客风格。

再来看看APT攻击最重要的是什么,微软的这张图已经说得很明白了,APT攻击是和时间在赛跑的进阶攻击,作为蓝方,攻击是越早发现越好,一周内发现攻击和一个月后发现攻击将是天壤之别。

18a17910691549daeb647c3477f094433b2420188277e45d7d3fe1a2dfa68da3.jpg

为了没有接触过信息安全的同学再感受更深一点,我再举个例子,不知道大家玩过一个叫《瘟疫公司》(Plague Inc.)的游戏没有,如果你玩过,那你一定懂我。

红方的APT攻击就如同这个策略游戏一样,玩家低调隐蔽地散播瘟疫,对抗全球的医疗手段和科研成果,最后进化成究极病毒,抹杀全人类!

这种渗透攻击,时间轴越靠后,危害越大,所以蓝队的关键就是要扼杀瘟疫于摇篮!

timg (9).jpg


什么是ATA

Advanced Threat Analytics (ATA) 是高级威胁分析,是蓝队分析和发现APT攻击的手段。前面已经科普了APT,我们对APT再清晰一点的描叙,它是一种对进阶目标进行的持续性网络攻击和内部威胁,攻击一般分为恶意攻击和异常行为两种,恶意攻击是显性的,而异常行为是隐性的,蓝队的ATA就是针对这种高威胁的隐性异常行为进行发现和分析。

针对异常行为,就要知道网络中的各种日志和事件,需要知道网络中的所有的使用者和他的行为!举一个简单的异常行为例子,攻击者盗取了某个管理员的 NTLM 哈希,使用这个NTLM 哈希把有这个管理员账号的机器都全部攻破。这种获取特权凭据在内网进行横向移动的行为,是红队最常见的隐性行为!

img_58e51a959ec25.png

这种行为用大白话形容,也就是下面这张图了,挟天子以令诸侯,实行屯田,发展生产,要猥琐发育,不要浪 :)

曹操的势力很快壮大+挟天子以令诸侯+招贤纳士、唯才是举+实行屯田,发展生产+精通《孙子兵法》.jpg


最后总结一下,蓝队要知道红队的各个真实攻击面,同时对混杂在正常行为中的红队攻击进行预判和分析,最重要的是必须时刻谨记这场对抗是和时间在赛跑

结束这篇短文,下篇开始多讲一些ATA的技术细节。



2

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php