还剩2页未读,继续阅读
文本内容:
如何建立有效的安全策略电脑资料说起攻防对抗,大家很熟悉的一句话是“攻击只需一点即可得手,而防守必须全面设防”,其实,防守方也是有他的优势的举例来说,目前常见的攻击手法都是针对目标的web或主机系统层面而整个战场所在的操作系统以及网络设备均是防守方的,那么理论上防守方可以在任意维度构建安全产品和制定安全策略,相对来说攻击行为则处在一个较低维度领域内活动如何理解这个维度呢,参考图1:图
1.战场纵深视图高维防守常常看到yuange提到安全策略体系的完备性,通常安全策略被绕过是由于不够完备如何让策略足够完备呢,笔者认为基于系统的机制、CGI和协议规范较为有效,比不断用新规则新策略去为之前的策略打“补丁”靠谱的多因为一切攻击与防守所需的基本功能/基本逻辑均此从图1可以看到无论什么入侵行为,其实都对应着更高一维度的系统功能和能力支持在防守方的主场,不要放着这些有利的条件不用,与攻击者针尖对麦芒的在低维度对抗,犹如遭受了《三体》中的“降维攻击”是不明智的维度分析以“webshell上传“这个入侵场景为例,在制定防守策略前,先分析一下它在各个维度都有哪些事件发生,见图2图
2.Webshell上传在各维度事件策略实践梳理清楚了“webshell上传”这个场景在各维度的技术细节,如何制定不易绕过的策略就相对容易了l网络层检测符合RFC1867标准的上传CGI行为无论什么漏洞和那种猥琐的攻击,他总是要符合协议的那从高维度的协议入手,便不用去考虑诸如”XXeditor上传漏洞”、“XXCMS上传漏洞“的防护规则了,见图3图
3.一个符合RFC1867协议的上传行为数据包l CGI层面检测fopen等API事件是否在创建CGI文件无论什么CGI漏洞导致的上传,漏洞代码几乎都用有fopen等写文件的操作,见图4图
4.CGI层面对写文件事件的监控l系统用户态检测系统层面的API调用行为是否在创建CGI文件除非websvr直接是root启动且能加载任意代码,否则攻击者几乎很难绕过检测了,见图5图
5.用户态监控CGI文件创建事件l系统内核态通过内核inotify事件来发现CGI创建行为在这一层我们甚至不担心root启动的websvr加载恶意代码带来的可能的逃逸行...。