从攻击者角度解读防护思路

  • A+
所属分类:安全闲碎

最近圈内关于红蓝对抗,安全防护服务的讨论很热烈,原因相信大家都是很清楚的。目前来看,很多企事业单位对“安全之痛”还缺乏体会,国内安全防护水平的发展很大程度上仍然需要监管部门来推动。

最近很多文章都在强调攻击能力的重要性,由于我本人长年从事安全防护产品研究和安全防护工作,所以本文将从攻击能力服务促进安全体系改进提升的角度进行探讨。

随着各企业对安全防护的重视不断加强,流量分析、EDR、蜜罐、白名单等专业监测与防护技术被防守队广泛采用。攻击难度的加大也迫使攻击队全面升级,诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法,在实战攻防演练中均已不再罕见,攻防演习与网络实战的水平更加接近。


什么是红蓝对抗

在军事领域,演习是专指军队进行大规模的实兵演习,演习中通常分为红军、蓝军,演习多以红军守、蓝军进攻为主。类似于军事领域的红蓝军对抗,网络安全中,红蓝军对抗则是一方扮演黑客(蓝军),一方扮演防御者(红军)。在国外的话,进行渗透攻击的团队经常称做红队,在国内称为蓝军实际上应该是比较准确的叫法。


红蓝对抗的目的

安全是一个整体,正如木桶定律,最短的木板是评估木桶品质的标准,安全最薄弱环节也是决定系统好坏的关键。而网络红蓝军对抗的目的就是用来评估企业安全性,有助于找出企业安全中最脆弱的环节,提升企业安全能力的建设。


红蓝对抗和渗透测试的区别

渗透测试

渗透测试,是通过模拟黑客攻击行为,评估企业网络资产的状况。通过渗透测试,企业及机构可以了解自身全部的网络资产状态,可以从攻击角度发现系统存在的隐性安全漏洞和网络风险,有助于进一步企业构建网络安全防护体系。渗透测试结束后,企业还可以了解自身网络系统有无合法合规、遵从相关安全条例。渗透测试作为一种全新的安全防护手段,让安全防护从被动转换成主动,正被越来越多企业及机构认可。

在渗透测试前,安全团队需得到企业及机构的授权,才可以开始。同时,需要与企业沟通及确定攻击目标、范围(内网or外网)、规则(时长、能深入到哪个程度)等。以上确定后,便开始渗透,主要分为以下几个步骤:

信息收集:收集攻击目标相关信息,如IP、网段、端口、域名、操作系统、应用信息、服务器类型、防护信息等。

发现漏洞:收集以上信息后,使用相应的漏洞进行检测,如系统有无及时打补丁、服务器配置有无错误、有无出现开发漏洞等。再对目标漏洞进行探测、分析、制定相应的攻击路径。

漏洞利用:对漏洞发动攻击,获得最高权限,取得敏感信息。

入侵结束后,需要清除入侵痕迹,并将整理渗透过程中资产信息、漏洞信息、运用工具等信息,最终形成报告,汇报给甲方。

 

红蓝队对抗

渗透测试是每个企业防护基础工作之一,但这紧紧代表企业网络系统正合法合规的运行着。然而企业的业务场景是动态变化的,黑客的攻击手法、0day漏洞更是层出不穷,企业的网络防护系统能否对此进行及时的应急响应呢?

企业及机构面临的挑战:

0day漏洞(升级漏洞组件、加waf规则等)

代码、框架层的业务漏洞

DDos攻击、APT攻击等复杂多样的攻击

红蓝队对抗便是针对此方面的测试。红蓝队对抗是以蓝队模拟真实攻击,红队负责防御(与国外刚好相反),最终的结果是攻防双方都会有进步。红蓝队对抗能挖掘出渗透测试中所没注意到风险点,并且能持续对抗,不断提升企业系统的安全防御能力。

在模拟攻击过程中,为了尽可能全面测试整个企业的网络系统,蓝队攻击手法会显得更复杂,而攻击路径的覆盖率更高。蓝队通过黑客视角,自动化的发起大规模、海量节点的实战攻击,以便测试红队在各个业务场景的应急响应能力。

红蓝队对抗与渗透测试都是模拟黑客攻击,但有以下的不同点:

时间:在渗透测试中会制定明确的时间点完成(通常是两星期),而红蓝队对抗并无明确时间,两星期或半年都可以。

技术:红蓝队对抗不单止需要渗透技术,还需要懂得机器学习、自动化等技术。

过程:渗透测试过程是有条不絮的进行。而红队攻击过程中不会全面收集企业资产,也不会进行大规模漏洞扫描。红队攻击的策略主要是依据蓝队防护策略、工具等,拥有不定性。

输出:红蓝队对抗后会出现清晰的脆弱点、攻击路径及解决方案。

目的:渗透测试是为了了解自身网络资产是否存在风险点;而红蓝队对抗更对是了解自身网络资产能否在遭受攻击后能迅速进行应急响应。

关注点:红蓝队对抗更专注的是应用层上的漏洞,而不是信息技术上的漏洞。

 

红队眼中的防守弱点

通过参加多次攻防演习,发现各行业安全防护具备如下特点:

一、资产混乱、隔离策略不严格

除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制(ACL)策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。

除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。

此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,红队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他部门的策略。

 

二、通用中间件未修复漏洞较多

通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、XXE漏洞等来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。

 

三、边界设备成为进入内网的缺口

从边界设备来看,大部分行业都会搭建VPN设备,可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞开展攻击,亦可以采取钓鱼、爆破、弱口令等方式来取得账号权限,最终绕过外网打点环节,直接接入内网实施横向渗透。

 

四、内网管理设备成扩大战果突破点

从内网系统和防护设备来看,大部分行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期的维护升级,反而都可以作为开展权限扩大的突破点。

 

容易出问题的点:

互联网应用框架RCE

应用和中间件管理后台暴露

VPN:未启用双因素,或存在未启用双因素的部分用户

测试环境的测试系统未及时打补丁、弱密码

通过邮件入口控制办公终端

跨两网的设备

服务器密码同质问题

社工



防护思路

从攻击者角度解读防护思路

“以攻促防”

作为当户人员,了解外部攻击者非常重要。知彼才能知己。从攻击者角度出发,了解攻击者的思路与打法,了解攻击者思维,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和响应机制,才能在防守过程中争取主动权。


红队攻击常规链条,总结为:“从内到外、从内到内、从内到外“

“从外到内”主要检验企业的边界防护能力、员工的安全意识以及供应链上的安全风险等;这部分的攻击方法会涉及到web攻击、邮件钓鱼、社工测试、第三方供应链攻击等。

“从内到内”主要检验企业内部安全的防护能力和内部安全威胁感知能力等;这部分的攻击方法会涉及到内部的横向渗透、系统提权攻击、后门隐藏甚至会用到一些0Day漏洞,有点APT的味道。

“从内到外”主要检验企业对于安全威胁感知能力和信息数据外传泄露的检测能力等;这部分的攻击方法会涉及隐藏的反弹Shell(绕过防火墙)、隐蔽隧道数据传输等。

从这个三个方面的攻击链条来看,安全防护体系的纵深性、联动性和全面感知是非常重要的。


从外到内:企业资产管理、员工意识提升、供应链安全

主要检验企业的边界防护能力、员工的安全意识以及供应链上的安全风险等;

通过多次演习经验总结,门户网站防护很强,很难正面硬打,大部分突破口都在信息泄露、社工、0day。

之前君哥曾针对企业弱点做过总结:

1.Nday的杀伤力,从多次护网行动来看,很多目标系统存在很多已公开的漏洞并未修补导致攻击队伍可以轻松利用。

2.口令安全,公网和内网的弱口令非常多,123456/admin/admin888等等

3.内网主机安全做得不全,无论是从永恒之蓝漏洞,还是提权漏洞都能够轻松利用

4.安全意识的欠缺,代码托管/敏感信息随意存放/邮件传输敏感信息/个人安全意识欠缺等

5.对于内网攻击没有很好的防范措施,监控/响应/溯源及时性不够


从外到内的攻击,第一步都是信息收集,对目标企业进行踩点:

尽可能多的去搜集目标环境各类信息。目的是获取渗透目标的准确信息,以了解目标组织的运作方式,确定最佳的进攻路线。

如果信息搜集工作不够细致,那么你可能会与可利用的系统漏洞或可实施攻击的目标失之交臂。

这就需要企业对外网资产的梳理及内部人员意识的培训

资产的梳理其中包括:互联网资产、分支机构资产、子公司资产、外联公司资产、公有云资产、开发商、外包商。

根据多次演习讲演,开发商外包商往往成了最大的突破口。

开发商/外包商一般给甲方外包开发信息系统,开发商/外包商公司内部也会自建Git/SVN等源代码管理服务器,存有已经交付给甲方的信息系统源码,而开发商/外包商的源码系统管理安全能力和甲方相比可能就差几个量级了。后果就是:通过获得的源码,发现系统应用0day,从而控制甲方已上线信息系统。

开发商/外包商有的不止承接一个企业的外包业务--公司业务较多,人员抱有侥幸心理,好多系统着急上线,都是安全给业务让步。导致系统是带问题上线的,然后业务人员又忘了后期以及修补,以及运维人员部署的测试环境忘记下线。

分支机构资产、子公司资产、外联公司资产也是常见突破口,内部人员安全意识比较低,员工技术水平、工作经验差距较大,内部研发人员github共享项目代码而不进行脱敏,github也是近几年出现安全事件频率较高的。分支机构资产、子公司资产、外联公司资产管理不明确,灰色资产较多,出现问题后无法定位到资产所属负责人。

 

按企业资产属性划分的话,对资产梳理主要有:域名、ip、端口、中间件或框架、开放在公网的API接口、测试资产、管理后台、认证点、远程接入点、特权账号、特殊账号、高危功能点。

首先是对内部资产的梳理、域名以及对应IP、服务器等,并对应到相关负责人。定期对内部资产进行梳理、定期对外网资产进行排查,查看是否存在无人维护的僵尸资产等。

域名,清理域名资产,内部系统限制对外访问权限,以及后台登陆界面的账号密码登录规则的限制,后台登录界面最好不要直接开放在公网或通过VPN接入等方式访问。Vpn接入点账号的管理尤为重要,是企业一个重要的突破口。

ip:清理外网ip泄露,如果真实IP仅仅通过信息泄露就被攻击者收集到,完全减少了攻击者绕过CDN的时间,缩短了攻击队伍的时间成本,所以外网真实IP要做清理 。真实IP泄露的可能地方:js,githut,web站点报错、以及APP和微信接口。

测试资产:测试环境不应开发在外网,如必须要开放,应配置访问权限,非参与测试人员如外网访问权限。

端口:以及443 ,高危端口21.22.3389等限制对外开放。

开放在公网的API接口:限制访问权限,未授权用户用户不可访问。

管理后台:内网后台限制对外访问,外网后台登录账号密码处做好访问策略:验证码、双因子认证方式、以及登录错误次数的限制、密码复杂度等;

高危功能:涉及常见web漏洞,常见有SQL注入,XSS,CSRF、文件上传、文件下载等漏洞。要求其研发人员要有安全编码的能力。并要求企业定期对内部资产进行渗透测试,自测网站安全性及快速修复。

中间件或框架:web端报错不要泄露中间件版本信息,中间件升级到最高版本,低版本中间件以往都爆过无数次cve漏洞。对于攻击者来说,手里攒有大量POC是日常。我层在演习中见过多家企业都使用struts2,而且漏洞也是相对古老。

特殊账号的管理:1、服务账户(比如,备份账户);2、很少使用的账户;3、应急使用的账户;4、关键业务账户。

人员安全意识:对内部员工定期进行安全培训;来历不明的邮件附件不要随意点开、聊天软件未经身份认证的人不要随便添加、安全部门定期排查外网是否有关于本单位泄露的敏感文件、账号等。

信息泄露的清理:所有内部文档服务器上(含OA、邮件系统、jira、wiki、知识库等)敏感信息清理或限制访问权限,不要有:网络拓扑、安全防护方案和部署位置、各类密码;安全运营部门应定期对企业关键字进行监控搜索,排查是否有敏感信息泄露在外网。

资产管理平台上:蜜罐不要叫蜜罐、安全设备IP要隐藏;

 

从外到内、从内到内,从内到外纵深防御

纵深防御理论就很适用于网络防守。互联网端防护、内外部访问控制(安全域间甚至每台机器之间)、主机层防护、重点集权系统防护、无线网络防护、外部网络接入防护甚至物理层面的防护,都需要考虑进去。通过层层防护,尽量拖慢攻击者扩大战果的时间,将损失降至最小。

安全监测须尽量做到全面覆盖,在网络边界、内网区域、应用系统、主机系统等方面全面布局安全监测手段,同时,除了IDS、WAF等传统安全监测手段外,尽量多使用全流量威胁检测、网络分析系统、蜜罐、主机加固等手段。

 

安全隔离:

网络层访问控制属于基础架构安全,这是最有效最重要的,整个安全防护的基础。别小看基础设施ACL访问控制,这是对抗应用和系统漏洞的最低成本和最有效措施。

互联网作为防护单位最外部的接口,是重点防护区域。互联网端的防护工作可通过部署网络防护设备和开展攻击检测两方面开展。需部署的网络防护设备包括:下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF(云WAF)、IPS等。攻击检测方面。如果有条件,可以事先对互联网系统进行一次完整的渗透测试,检测互联网系统安全状况,查找存在的漏洞。

从内网去互联网的访问:办公终端、办公服务器、生产网。办公终端除个别协议无法限制目的IP外,其他协议全部限制。有特殊需求需要开通的时候,快速开通,专人跟踪,快速关闭。终端不要直接访问互联网,需要访问互联网的两种解决方案:另外分配一台上网终端、虚拟浏览器:将有风险的互联网浏览活动重定向到隔离的云托管浏览器。

互联网及内部系统、网段和主机的访问控制措施,是阻止攻击者打点、内部横向渗透的最简单有效的防护手段。防守者应依照“必须原则”,只给必须使用的用户开放访问权限,按此原则梳理访问控制策略,禁止私自开放服务或者内部全通的情况出现,通过合理的访问控制措施尽可能地为攻击者制造障碍。

企业在互联网上的冠名网站、接口、VPN等对外服务必然会成为攻击者的首要目标。一旦一个点突破后,攻击者会迅速进行横向突破,争取控制更多的主机,同时试图建立多条隐蔽隧道,巩固成果,使防守者顾此失彼。

 

从内到内:横向渗透

攻击者的横向渗透

 

横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,特别是在高级持续威胁(Advanced Persistent Threats,APT)中更加热衷于使用这种攻击方法。攻击者可以利用这些技术,以被攻陷的系统为跳板,访问其他主机,获取包括邮箱、共享文件夹或者凭证信息在内的敏感资源。攻击者可以利用这些敏感信息,进一步控制其他系统、提升权限或窃取更多有价值的凭证。借助此类攻击,攻击者最终可能获取域控的访问权限,完全控制基于Windows系统的基础设施或与业务相关的关键账户。

进入内网后,红队专家一般会在本机以及内部网络开展进一步信息收集和情报刺探工作。包括收集当前计算机的网络连接、进程列表、命令执行历史记录、数据库信息、当前用户信息、管理员登录信息、总结密码规律、补丁更新频率等信息;同时对内网的其他计算机或服务器的IP、主机名、开放端口、开放服务、开放应用等情况进行情报刺探。再利用内网计算机、服务器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。

对于含有域的内网,红队专家会在扩大战果的同时去寻找域管理员登录的蛛丝马迹。一旦发现某台服务器有域管理员登录,就可以利用Mimikatz等工具去尝试获得登录账号密码明文,或者Hashdump工具去导出NTLM哈希,继而实现对域控服务器的渗透控制。

外网防护因某个脆弱点被攻击者成功利用并在监控毫无发现的情况下进入内容,这就需要同时加强对内网的监控防护能力,以尽可能发现攻击者。

这就是为什么我之前多篇文章都有写日志监控,企业的日志监控防护尤为重要。

例:攻击者的攻击行为会存在某些异常特征。例如,如果某个域管账户(如my-admin)只能在某台特定的工作站中使用,那么在其他工作站中使用这个域管账户就显得非常可疑,意味着域环境中可能存在横向渗透攻击。

因此,我们有可能能通过监控Windows事件检测横向渗透攻击。

我们用来检测攻击的主要法则为:

“如果检测到用户账户来自于不正常或非授权系统,或者在不正常或非授权系统中使用,我们判断这种情况下存在横向渗透攻击”。

我们需要注意以下几点:

1、这条法则并不能覆盖所有的横向渗透攻击(某些特权账户的使用检测起来比较困难)。因此,我们需要维护一张包含合法的“用户/工作站/IP地址”三元组的列表,检测不在此表中的账户使用情况。此外,单独使用三元组列表并不能检测所有的攻击场景(比如,攻击者发起的来自合法的用户/工作站的资源访问请求)。

2、这些法则能否有效应用,主要由已有的策略、活动目录结构以及网络隔离机制共同决定。我们需要制定策略,监控专用主机(如专用OU、管理员工作站)上账户的使用情况。我们手头上必须维护一份包含这类工作站的清单。如果这些账户和工作站所使用的策略非常明确,那么我们在检测横向渗透攻击时的效率也会越高,也能避免误报。网络隔离机制将有助于识别横向渗透攻击,特别是对于Kerberos而言,这种隔离机制更加有效,因为Kerberos并没有在相关日志事件中提供具体的主机名信息。

3、为了检测使用本地账户(如本地管理员)的横向渗透攻击,我们需要收集所有可能成为目标的工作站中的日志(4624/4625事件),在某些情况下这个任务很难完成。但这对域账户来说不成问题,因为主要的Windows事件都存储在域控上。微软引入了两个SID,通过设置GPO(Group Policy Object,组策略对象)规则,可以限制本地管理员账户在横向渗透攻击中的使用。

 

例:检测NTLM横向渗透攻击

我们在检测NTLM型横向渗透攻击时,需要在各个主机中收集的事件,以及所需要关心的具体值。我们需要重点关注域控(DC)上的4776事件,其他关键系统中的4624(登录成功)以及4625(登录失败)事件也值得关注。

从攻击者角度解读防护思路

注意:不要忽视工作站事件日志的重要性,特别是与敏感账户或者特权账户有关的那些事件日志。


例: 检测Kerberos横向渗透攻击(PtT)

我们在检测PtT型横向渗透攻击时,需要在各个主机中收集的事件,以及需要关心的具体值。

我们需要重点关注域控(DC)上的4769以及4768事件。需要注意的是,这一次我们只能检查其中的IP地址信息,因为Kerberos事件中并没有提供具体的主机名。在启用DHCP的环境中,这个限制条件给我们带来了不小的挑战,如果DHCP租用时间较短,我们面临的将会是一个动态变化的网络环境。

 

关键系统中的4624事件以及4625(登录失败)事件也值得我们关注。

从攻击者角度解读防护思路

我们使用这种方法可能会检测出假阳性结果:

比如某个管理员(例如help desk)正在打开远程主机上的应用(例如,在远程访问中,通过cmd.exe运行”runas administrator”命令),这种情况下有可能会生成4768事件。

 

当前很难在网络中探测攻击者横向渗透,其中原因有很难获取必要的日志和区别正常与恶意行为。这就需要企业安全防护人员需要具备一定的日志分析能力并熟悉攻击者的攻击思路以及常用工具。

对系统和软件的日志监控同样必不可少。日志信息是帮助防守者分析攻击路径的一种有效手段。攻击者攻击成功后,打扫战场的首要任务就是删除日志,或者切断主机日志的外发,以防止防守者追踪。防守者应建立一套独立的日志分析和存储机制,重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为监控分析。

 

从内到外:安全感知和数据外传检测

当红队专家找到合适的口子后,便可以把这个点作为从外网进入内网的根据地。通过frp、ewsocks、reGeorg等工具在这个点上建立隧道,形成从外网到内网的跳板,将它作为实施内网渗透的坚实据点。

若权限不足以建立跳板,红队专家通常会利用系统、程序或服务漏洞进行提权操作,以获得更高权限;若据点是非稳定的PC机,则会进行持久化操作,保证PC机重启后,据点依然可以在线。

“从内到外”主要检验企业对于安全威胁感知能力和信息数据外传泄露的检测能力等;这部分的攻击方法会涉及隐藏的反弹Shell(绕过防火墙)、隐蔽隧道数据传输等。

任何攻击都会留下痕迹。攻击者会尽量隐藏痕迹、防止被发现;而防守者恰好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器。

1)全流量网络监控

任何攻击都要通过网络,并产生网络流量。攻击数据和正常数据肯定是不同的,通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。蓝队或防守者通过全流量安全监控设备,结合安全人员的分析,可快速发现攻击行为,并提前做出针对性防守动作。

2)主机监控

任何攻击最终都会落到主机(服务器或终端)上。通过部署合理的主机安全软件,结合网络全流量监控措施,可以更清晰、准确、快速地找到攻击者的真实目标主机。

3)日志监控

对系统和软件的日志监控同样必不可少。日志信息是帮助防守者分析攻击路径的一种有效手段。攻击者攻击成功后,打扫战场的首要任务就是删除日志,或者切断主机日志的外发,以防止防守者追踪。防守者应建立一套独立的日志分析和存储机制,重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为监控分析。

4)内部人员专业性

内部有专门的安全技术人员、运维安全技术人员,专业的日志分析能力,能快速发现、分析并确认攻击行为。

 


闭环的安全运营

日常安全工作较差的单位,大多都会暴露出如下问题:很多基础性工作没有开展,缺少相应的技术保障措施,自身防护能力欠缺;日常安全运维不到位,流程紊乱,各部门人员配合难度大。这些问题导致攻击行为不能被及时监测,攻击者来去自由;即便是好不容易发现了入侵行为,也往往会因资产归属不清、人员配合不顺畅等因素,造成处置工作进度缓慢。这就给了攻击者大量的可乘之机,最后的结果往往是目标系统轻而易举地被攻陷。

通过内部威胁预测、外部威胁情报共享、定期开展暴露资产发现、安全检查等工作,实现攻击预测,提前预防的目的;

通过开展安全策略优化、安全基线评估加固、系统上线安全检查、安全产品运行维护等工作,建立威胁防护能力;

通过全流量风险分析、应用失陷检测、渗透测试、蜜罐诱导等手段,对安全事件能进行持续检测,减少威胁停留时间;

通过开展实战攻防演习、安全事件研判分析、规范安全事件处置流程,对安全事件及时进行控制,降低危害影响,形成快速处置和响应机制。

闭环安全运营体系非常重视人的作用。配备专门的人员来完成监控、分析、响应、处置等重要环节的工作,在日常工作中让所有参与人员能够熟悉工作流程、协同作战,使得团队能不断得到强化锻炼,这样在实战时中才能从容面对各类挑战。

“九层之台起于垒土”,安全防护体系的建设也需要一个过程,既考验甲方的安全规划和安全运营能力,也挑战乙方的产品能力和服务能力。相信随着国内网络安全产业不断地向前发展,我们整体的安全防护水平也会不断提升到新的高度。

 

一如既往的学习,一如既往的整理,一如即往的分享。感谢支持从攻击者角度解读防护思路


从攻击者角度解读防护思路


从攻击者角度解读防护思路

2020hw系列文章

HW攻防演练总结:安全数据分析

红蓝对抗中的近源渗透

红蓝对抗之攻击溯源

渗透测试干货 | 横向渗透的常见方法



扫描关注LemonSec

从攻击者角度解读防护思路


从攻击者角度解读防护思路




扫描关注LemonSec

从攻击者角度解读防护思路


从攻击者角度解读防护思路


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: