妥协完全披露:集体知识带来更强大的防御能力

  • 时间:
  • 浏览:38
  • 来源:it300
妥协完全披露:集体知识带来更强大的防御能力

只要攻击者组织起来而我们就没有,我们就会失去一场不对称的战争。

为了有效地保护自己免受敌人的侵害,你必须像对手一样思考。把自己放在他们的心中,他们的鞋子。动机是什么?金钱收益?故意破坏或黑客主义?监视还是战争?他们是愿意自己殉道,还是他们是隐秘而有耐心的?他们有多坚定?他们是否会停留在一个强硬的网络边界或继续采取其他策略,包括社会工程?

我们,白帽子,需要参与情报收集。一种方法是进行我们自己的监视,但是使用传统冲突中使用的间谍技术的网络模拟。也许通过隐蔽地在攻击者的社交网络中自我定义来确定w他们正在开发和使用的帽子工具,他们发现的最新漏洞以及他们正在完善的相关攻击技术,以及目前的目标是谁,无论是技术还是命名实体。

[

我意识到并非每个组织都有技能或时间雇用雇佣兵的灰帽子。这种情报收集主要是研究机构,开放项目,执法和政府的职权范围;然而,还有其他方法可以从持续和被动防御的位置转变为准备状态:分享我们的个人经历。坏人已经组织起来并有效地合作如何妥协我们的系统;我们需要开始分享,并公开分享。

我们需要的是更全面的披露。我知道公司不想对他们如何受到损害的细节感到尴尬,但看看人们,最终还会暴露出来,所以为什么不只是咳嗽怎么样,什么,哪里,什么时候在前面?最后它可以帮助每个人。所以现在我们知道RSA通过包含零日Excel漏洞的鱼叉式网络钓鱼方案而受到损害。但是知道RSA受到损害只会警告我们其他人,黑帽子是针对大型游戏的,而且我们都没有人能免疫。如果没有攻击的细节,我们就会知道我们需要做些什么,而不是做什么。这一切都让人想起旧的国土安全部警告系统:很棒,我们处于中等温度的状态,但我该怎么办?我不知道wh如果恐怖袭击确实发生,那么就会充满了胶带,电池和水。

为了阻止那些盯上“完全披露”绰号的批评者,这与完全漏洞不同披露。有人争论说,坏人会开始加剧鱼叉式网络钓鱼和嵌入式恶意软件攻击,但这与BIND中存在漏洞有所不同,哦,这里有一些代码用作武器,小子。当然,使用漏洞利用实用程序来测试我们自己的BIND服务器是有用的,但对白帽社区更有用的是解决方案;我应该设置什么杀戮?我需要修改哪种BIND配置?我可以应用防火墙规则还是可以使用Snort签名?

我怀疑是公司利率声誉只是等式的一部分。大多数组织根本不收集和集中所需的信息,以便对妥协进行有效和及时的根本原因分析。安全标准,法规和合规框架使组织成为其中的一部分;但是,它们通常集中在一个方面,例如PCI DSS的持卡人数据。而且由于历史上大多数日志管理解决方案都是为了合规而购买的,因此法医数据通常存在很大差距。好消息是,我听到越来越多的客户谈论全面可见性,真实安全情报的需求,而不是仅仅勾选合规性复选框。

要进行真正的法证调查,您需要拥有你可以获得的所有信息nds on。来自操作系统,应用程序,防火墙,IDS / IPS,身份验证服务器,数据库,打印机的日志。漏洞扫描,当然。网络活动?你打赌。如果能得到的就是NetFlow,那很好;但是,如果你能够至少在战略要点进行完整的数据包捕获,那就更好了。对于所有安全的爱,不要预先过滤数据:你永远不知道什么可能有用,因为你不知道下一次攻击会利用什么系统和策略。当然,如果您有SIEM,则过滤掉白噪声以进行关联,但不要丢弃数据。

保留所有这些信息最终将填满您的日志管理器或SAN,就像成堆的报纸和垃圾袋在一个囤积者的房子里。您必须就保留和风险做出一些商业决策,但是请确保您在桌上发出响亮的声音,GRC人员,律师和存储管理团队不会推动整个会话。你必须提前思考不可避免的事件,无论是僵尸网络感染,无意中暴露PII,还是企业从绝望的竞争对手或敌对国家进行间谍活动。

一旦你遭受破坏,你如何分享?你的分析? FIRST.org,SANS互联网风暴中心,Infragard以及各种违规报告都有很好的信息共享渠道。这些都是优秀的资源,但并没有广泛宣传,以提醒整个守法的互联网社区。这听起来像是隔离墙,但一个特别有效的信息传播渠道是媒体。一旦公司宣布它被黑客入侵,业内人士都知道这一点。我们都知道谷歌在几小时内被黑了,但不是如何。与RSA,索尼,纳斯达克一样。

所以我说告诉所有人并大声说出来。增加我们的集体知识,帮助我们从各个周界的边界向外移动战线。你几个小时前就受到了损害,因为用户打开了美味的附件?我可以解决这个问题。实际上,我会更加尊重你,而且我相信大多数行业也会如此。让我们面对现实,我们都点头表示,并承认即使我们自己的许多用户都会为旧的“点击这里获取裸体名人的照片”而堕落,但现在我知道有一个新的Adobe Acrobat漏洞。[123 ]

我们很简单每个人都不能像隔壁大楼的那个人和哥本哈根的女士以及东京的行政人员那样学习同样的课程。只要攻击者有组织而我们不是,我们就会失去一场不对称的战争。现在是时候停止成为没有衣服的皇帝,并联手提供更好的安全情报。

相关阅读:威胁分享 - 必要的防御战略

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01