昨天的日期写错了,应该写09/24写成了09/23,为了表示歉意,今天再补一篇。
hw后的最后一篇了,也是hw日记最后一篇。
大部分伙伴昨天已经撤离值守现场了,还有一部分今天还在值守中,甲方爸爸不说话,没人敢撤离🌝🌝🌝
总之,今天是hw正式结束的第一天。从年初开始做准备,到年中受疫情等各种因素的耽搁,终于赶在国庆节结束了hw。今年的hw来得很缓慢,但是效果却是在几年hw中最为明显的。
以下为本人在今年HW中的心得体会,不代表所需,如果各位觉得有用,也可以写在总结报告中。
欢迎各位师傅留言 写下你在今年HW中的体会🧐
1.人才需要加大
···人才需求的加大:常态化地网络安全实战攻防演练,必将导致人才饥荒、人才培养机制改革以及安全服务运营模式的改革,高质量的安全人才非常重要,没质量的不应该太过浮躁。
2.红蓝队建设的加快
···hw的大规模推广,造成企业对网络安全人才的重视以及对网络安全人才的需求。
不少企业都开始了大规模招人,无论是企事业单位还是互联网公司,招聘具有网络安全从业经验、懂攻击、懂防守的网络安全人才。
企业内部也开始加大了对现有员工的网络安全培训:安全意识的培训、攻防技术的培训、技术的考核等。
3.安全产品安全性的考验
···安全产品漏洞发现与处置:HW中多家安全设备报0day漏洞,一些安全设备出现问题相当于致命性问题,可能造成攻击队伍直接进入企业内网。同时,这也给安全厂商带来了技术的挑战性。在每年HW0day的考验下,安全产品的问题将会得到很大的改进。
某活动防守方的感受:不买安全设备就不会被黑
4.蜜罐的普及
···蜜罐的推广与部署:蜜罐在今年被广泛应用于外网,并成功抓取到攻击队伍指纹信息,并结合溯源技术成功溯源到了个人,攻击者的过去与现在😶
蜜罐的普及终会成为一个趋势,不仅是hw时的应用,而且作为长期安全设备应用于企业防护中。蜜罐的长期部署可以提前捕获长期盯着企业业务的一些apt组织,可通过主动手段提前发现潜在威胁。
蜜罐可用于长期安全设备,部署在外网,通过扫描探测可以提前发现攻击行为,通过指纹抓取可以定位到攻击者信息。部署在内网,在边界失守的情况下,内网蜜罐可提前发现攻击者的内网探测行为,利用自身所带漏洞引诱并拖延攻击者的内网横向行为,并抓取攻击者信息使溯源到攻击者身份。
同时蜜罐的普及使用,也是对蜜罐安全性以及仿真性的考验。攻击队伍在不停的鞭策着安全厂商的成长,今年蜜罐的仿真程度与捕获指纹的方式未必还能适应用明年,攻击队伍会根据蜜罐特征识别出蜜罐。这就需要蜜罐要不断更新策略隐藏特征并且研发新的功能获取攻击者指纹信息。
在抓取攻击者的同时,也不要忘了自身产品安全。
5.溯源技术的普及
···溯源技术不仅仅来源蜜罐的捕获,攻击者的钓鱼邮件、恶意程序、社工、payload带vps等都可能成为我们追踪溯源的手段。这就需要我们利用技术手段多渠道的获取攻击者信息。
攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。
通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。
通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。
或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。
有人留言说脑图不清楚,私聊公众号发送‘获取高清图’😬
6. 人员安全意识的提升
红队的钓鱼技术,蓝队的溯源技术,都会带动企业人员安全意识的提高。
hw的大规模举办,造成了人人参与hw的盛举,无论是企业领导还是企业员工,就连企业的食堂都要跟着加班加点的提供充足的补给。以及企业的保安都提高了安全意识防钓鱼、防浑水摸鱼的人员进入企业大楼、企业机房。真正的做到了全民参与~
攻击方改变了往年无所顾忌的使用ip池不断扫描的方式;
防守方改变了往年的被动防守,开始主动出击,蜜罐出彩,溯源技术普及;
攻防不对等的局势逐渐转变;
期待明年~
hw虽然结束了,但是网络安全依然任重而道远。
本公众号依然会每日更新技术文章,渗透测试思路与技巧、ctf、安全运维、安全运营等。感谢各位关注,一起成长✌
昨天hw结束后,安全人的朋友圈就像过年一样,来看看安全人的朋友圈
:
首先是朋友圈倒计时:
然后是各种宣布结束的:
关心大家是否安好的
:
如同过新年的
:
而后是结束了14天的hw,开始庆祝的
:
而后是明年再约
HW结束朋友圈都跟过年一样
全国各地的欢呼声仿佛就在耳边
朋友圈比过年都还要热闹
9点准时倒数 7.6.5.4.3.2.1
呼 空气瞬间清新
欢迎各位师傅留言 写下你在今年HW中的体会🧐
扫描关注LemonSec
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论