5--1--1.1现状评估与安全架构(base64编码:U0VDNTExIOaMgee7reebkeaOp+S4juWuieWFqOi/kOe7tA==)

https://www.usenix.org/conference/usenixsecurity25
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.paloaltonetworks.com/blog/

  • 传统安全设备(主预防设备);现代防御主要集中在IOC数据关联与检测设备的研判上
    现代防御考验:安全分析师的研判能力与设备的行为检测能力(威胁狩猎)
    预防:防火墙;IPS;NGFW(下一代防火墙);Antivirus(杀毒软件);Proxy;Web Content Filter;Malware Detonation Devices(恶意软件触发设备,比如沙箱);DLP(数据防泄漏);NAC(准入)
    检测:NIDS;SIEM;Honeypots;EDR

  • Security Onion
    https://securityonionsolutions.com/software/
    Security Onion 集成了 Elasticsearch、Logstash、Kibana、Suricata、Zeek(原名 Bro)、Wazuh、Stenographer、TheHive、Cortex、CyberChef、NetworkMiner 以及许多其他安全工具
    NIDS:Zeek、Suricata
    HIDS:Wazuh、Beats 和 osquery
    https://www.wireshark.org/

  • 攻击者动机(后渗透行为)
    勒索软件;信用卡盗窃;身份盗窃;窃取公司资料;传播恶意邮件;点击欺诈;勒索;代理与隐藏;攻击他人;DDoS;键盘记录;嗅探;凭证泄漏;挖矿

  • 现代攻击主要在web应用与社工上
    攻击者钓鱼(PDF) -->DMZ邮箱-->内部邮箱-->终端

  • 恶意网站与浏览器漏洞
    受害者访问恶意网站建立C2(浏览器漏洞)-->攻击者从客户端横移到服务器网段(客户端拿到内部服务器账号密码)
    命令与控制:木马;C2;C&C;CNC;Remote Access Trojan (RAT) ;shell
    https://github.com/rapid7/metasploit-framework/
    传统木马:4444 正向绑定shell
    现代木马:443 HTTPS 反向shell

  • 风险评估
    风险评估(安全基线)CIS 控制:https://www.cisecurity.org/controls

  • 基于威胁情报的防御
    Cyber Kill Chain®;https://attack.mitre.org/

  • 云服务
    IaaS:基础设施即服务(提供shell给消费者)
    PaaS:平台即服务(简化应用的开发与部署)
    SaaS:软件即服务(使用云平台提供的应用)
    FaaS:函数即服务(AWS Lambda、Azure Functions、Google Cloud Functions)
    CaaS:容器即服务(Amazon Elastic Container Service (ECS)、Azure Kubernetes Service (AKS)、Google Kubernetes Engine (GKE))
    DaaS:桌面即服务 Amazon Workspaces (AWS)、Azure Virtual Desktop、Windows 365、VMware Horizon Cloud (Multi)、Citrix Managed Desktops (Azure)
    IDaaS:身份即服务 基于云的身份访问管理 (IAM) 功能 云托管目录服务 单点登录 (SSO) 多因素身份验证 (MFA)
    云安全加速理解:云安全架构与本地安全架构并无区别(比如在可见性与研判上不管是不是云,都是安装agent)

  • 大量“无意义”的云术语(比如SOAR与SIEM:“预制菜”自动化匹配恶意C2 IP,手动IOC数据关联的区别)
    看似出来很多“新技术”但还是不妨碍你用“旧技术”去速成
    “艺术云集的命名方式却缺失关键描述”:S3、EC2、Lambda、Cognito、Elastic Beanstalk、Glacier、Snowball 等
    S3:Amazon 无限 FTP 服务器
    EC2:亚马逊虚拟服务器
    Lambda:AWS App Scripts
    Cognito:Amazon OAuth 认证即服务
    Elastic Beanstalk:亚马逊平台即服务(简化应用的开发与部署)
    Glacier :亚马逊 S3 (速度非常慢的FTP 服务器)
    Snowball:AWS 大型便携式存储
    https://aws.amazon.com/cn/iam/
    AWS Security Hub(当成态势感知或SIEM):亚马逊云安全中心整合所有安全产品,无须来回倒腾切换控制台
    AWS – CloudTrail(当成NIDS理解):API调用日志(Web 控制台、CLI、SDK)
    综上:腾讯云,阿里云类似
    Amazon CloudWatch(当成日志收集中心):收集,监控和运维数据
    Amazon GuardDuty(当成是SOAR,威胁情报预制菜):收集系统、网络和服务等所有日志去关联威胁情报中的IOC指标
    Amazon Detective(当成SOAR,玩日志和预制菜IOC关联):吸纳所有日志(包括 Security Hub、GuardDuty、Macie、VPC 流日志和 CloudTrail)
    Amazon Inspector(部分评估功能需要安装agent)::从主机和网络侧对EC2 实例自动进行安全评估
    Amazon Macie:针对S3存储桶或FTP服务器的未授权漏洞行为的安全加固

posted @ 2026-04-29 21:10  sec875  阅读(18)  评论(0)    收藏  举报