网站防ddos攻击-你要打给谁?来自网络防御前线的故事
高防
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
寒冰云联
2020-11-03 18:56

由检查点事件响应小组在我们的行业里,我们讲故事的时候要注意黑客。当对手占据了所有的聚光灯时,阻止攻击的英雄被降级为客串角色。如今,安全行业的思想领袖们在网络攻击后正在改变他们对共享信息的看法——与其羞辱受害者,还不如有机会安全地共享知识和情报,以实现更大的利益。从网络战的战壕,这个博客是一个常规系列的第一部分,讲述检查站事件响应小组的战争故事。我们希望我们的经验和见解能够帮助安全界,同时教育公众如何处理网络攻击。2018年4月中旬,Check Point的托管安全服务(MSS)团队和Check Point事件响应发现亚太地区某所大学出了问题。他们信任的网络中的一台PC在连接到医学研究设备时显示出一些恶意活动的迹象——在本例中,是已知的恶意命令和控制通信模式。检查站小组通知了大学,并聘请检查站事件响应小组对事件进行调查。横向运动的危险 到达后,ip经常被ddos怎么防御,我们确定了服务器消息块(SMB)扫描活动,并着手进行法医分析。我们发现了三个可疑的文件和三个可疑的司机,我们的研究小组进一步的逆向工程分析,揭示了我们的罪魁祸首:一种新型的精密毒液滴管Glupteba。SMB是一种应用层网络协议,主要用于共享文件—例如,\\目录,通常在办公室中找到,在SMB协议上运行。在这种特殊情况下,一旦恶意软件感染计算机,它们将开始扫描内部和外部网络(如Internet)以查找打开的SMB端口,以便尝试"跳"到网络的其他部分并感染整个组织。这意味着一个组织只需要一个漏洞,在一台机器上,一次感染就可以攻击整个网络。一名员工将手机连接到一个不安全的wi-fi网络,或者一名用户将其凭据放弃到网络钓鱼电子邮件欺诈中……只是一个瞬间的失误,整个组织都处于风险之中。WannaCry传播到数百个国家,并通过使用从美国国家安全局(NSA)窃取的军用级黑客武器EternalBlue和利用已知的微软SMB漏洞造成数十亿美元的损失。这使得WannaCry可以在网络中横向移动,这也是为什么WannaCry和NotPetya经常被认为是第四代和第五代网络攻击之间的转折点的一个核心原因。一旦Check Point事件响应团队看到SMB端口之间的横向移动并识别出恶意软件,我们就着手研究一台仅连接到医学研究网络的PC是如何感染该恶意软件的。寻找零号病人网络被适当分割,这意味着具有不同安全需求的不同网络具有防止交叉污染的有效屏障。但不知何故,恶意软件设法从公开的、公开的学生网络横向移动到了私人的、敏感的研究网络。值得庆幸的是,linux防御ddos,大学的IT团队在他们的游戏中处于领先地位,并提前巩固了他们的管理。在所有IT团队中,都有一个明确的最佳实践:将系统在所有网络中的管理整合到一块玻璃上,这样就可以更有效地抵御网络攻击。由于该大学已经在实践这一建议,我们能够从研究实验室网络和公共学生网络中检索日志,为我们的法医团队提供所需的线索。当我们转向公共学生网络时,我们很快就看到了我们需要看到的东西:几个学生的笔记本电脑上有相同的恶意软件。稍后,我们向教员提出几个问题,发现我们的病人是零。一个特殊的学生,偶尔是实验室的志愿者,在可疑活动开始的那天就进入了机器。日志证实,discuz如何防御ddos,几分钟内,学生登录医疗设备,并将其连接到开放的学生无线网络。那几分钟就是机器被感染的全部时间。主要外卖在网络卫生方面的短暂失误是恶意软件进入敏感研究网络的唯一途径,这一切都要归功于该校的IT团队始终掌握着自己的游戏,并提前对网络进行了适当的分割。如果大学没有对这两个网络进行分段,那么第二个Glubepta恶意软件就会进入易于访问的公共网络……进入研究网络会容易得多。最佳的安全策略和实践与人为错误是不匹配的,但它可以极大地降低风险。在这种情况下,大学确实分割了这两个网络,并巩固了系统的管理,使我们能够迅速有效地作出反应。这所大学避免了灾难,但这个案例突出了几个重要的教训:正确的网络分割仍然是最关键的安全控制之一——如果大学不分割他们的研究网络,受感染的机器将使主机恶意软件横向传播,即使没有交叉污染,也能快速攻击整个组织。不正确地连接到不安全的网络可能会在一眨眼之间使您的计算机受到感染,因此组织应该监视连接到多个无线网络的设备。修补同样重要,为医学研究提供PC的供应商及时提供/批准修补程序至关重要。大多数医疗设备和研究工具都是任务关键型的,并且设计时没有考虑到安全性,因此更新它们需要花费大量的时间,因为修补、隔离和微分段工作非常困难。在第五代网络攻击中,预防是最好的治疗方法我们的情报显示,阿里云ddos防御多少钱,许多恶意软件家族正在整合我们在这次事件中看到的第五代复杂、横向移动的工具,各组织需要做好应对漏洞的准备。从响应的角度来看,微观分割和检测内部交通流的横向运动以及端点检测和响应对于快速解决该问题至关重要。但最重要的是,正如我们一次又一次所说,超级好用的linuxcc防御,主要的收获是:投资于预防比拥有检测漏洞的最佳工具要便宜得多。请继续关注事件响应团队的更多网络战争故事:推特:脸谱网:https://www.facebook.com/checkpoint软件博客:网站YouTube网站:领英:https://www.linkedin.com/company/check-point-software-technologies网站相关文章检查点IPS和防火墙核心安全-分层安全方法提高移动安全:公司需要知道的当组织重新开始运作时,网络犯罪分子会寻找新的角度加以利用CBTS向客户推出CloudGuard Connect托管服务CRN频道奖在网络大流行的世界中保护Office 365和G套件后天解决远程工作人员的安全问题五月最受欢迎的恶意软件:ursinf Banking特洛伊木马首次跻身十大恶意软件排行榜,对组织的影响翻了一番减少复杂性以加强安全性:整合为何重要保护物联网设备和OT网络免受网络大流行的影响