第82天-红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报

hvv介绍

第82天-红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报_第1张图片

第82天-红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报_第2张图片

第82天-红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报_第3张图片

第82天-红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报_第4张图片

必备知识点:

在每年的安全活动中,红蓝队的职责,其中大部分强调学习红队技术,那么蓝队技术又有哪些呢?简要来说蓝队就是防守,涉及到应急、溯源、反制、情报等综合性认知和操作能力知识点。掌握红队攻击技术的前提下,蓝队技术能提升一个档次哦。

本课知识点:

  1. 认识ATT&CK框架技术
  2. 认识对抗的蜜罐技术的本质
  3. 掌握WAF安全产品部署及应用
  4. 掌握IDS在对抗中的部署使用
  5. 掌握威胁情报平台对应报告分析
  6. 作为一名干饭人要掌握的报告书写专业性

演示案例

案例1:专业用语-ATT&CK技术简要介绍-报告书写

原版:https://attack.mitre.org/matrices/enterprise

  • 国内有ATT&CT翻译参考手册,可以下载参考学习。
  • github地址:https://github.com/Dm2333/ATTCK-PenTester-Book

第82天-红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报_第5张图片

案例2:掌握了解-安全攻防蜜罐技术的利用-配合威胁

Hfish部署配合在线威胁平台实现自动分析,记录攻击者攻击手法及攻击过程,攻击IP等信息可作为黑名单。

  • 反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台
  • hacklcx/HFish: 安全、可靠、简单、免费的企业级蜜罐 (github.com)

第82天-红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报_第6张图片

案例3:攻击拦截-WAF安全产品部署及反制-多种中间件

一般的waf如安全狗,D盾之类的,支持的中间件比较少,推荐使用Openrasp。

目前,OpenRASP 支持 JavaPHP 两种语言,开发的网站,支持多种中间件

  • OpenRASP 官方文档

案例4:追踪反制-HIDS入侵检测系统部署测试-爆破|提权|规则

NIDS&HIDS
  • NIDS:网络入侵检测系统
  • HIDS:主机入侵检测系统

这里介绍两款HIDS:yulong-hids(国产)、wazuh(国外,推荐)

  • yulong-hids:优点:中文规则说明
    • https://github.com/ysrc/yulong-hids
  • wazuh:ELK日志,攻击行为分析等-爆破|提权
    • 实现入侵行为分析,日志实时监控,规则触发拦截等功能
    • https://documentation.wazuh.com/4.0/index.html

实现入侵行为分析,日志实时监控,规则触发拦截等功能

案例5:应急溯源-威胁情报平台对于溯源分析意义-CS后门溯源

  • 参考:https://blog.csdn.net/qq_29277155/article/details/79830927

威胁情报一直是安全行业热议的话题,实际上在国内的发展还比较初级。威胁情报具有优秀的预警能力、快速响应能力,并且能改善管理层之间的沟通、加强策略规划和投资。但是大部分企业机构并不具备充分利用威胁情报的能力:

  • 1.数据量太大且过于复杂。
  • 2.拥有相关知识的人才匮乏。

日常应用:在安全事件、应急响应中,获取威胁情报,作为重要证据,辅助事件处置

高级应用:集成到企业安全管理平台提高监控预警响应能力、结合威胁数据和其他解决方案实现数据安全、优秀的数据展示功能

值得推荐的威胁情报平台

  • [微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 (threatbook.cn)
  • 奇安信威胁情报中心 (qianxin.com)
  • 360威胁情报中心
  • 绿盟威胁情报中心(NTI) (nsfocus.com)
  • VenusEye威胁情报中心
  • 安恒威胁分析平台 (dbappsecurity.com.cn)

第82天-红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报_第7张图片

你可能感兴趣的:(安全,web安全)