记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

你不知道的威胁狩猎技巧:Windows API 与 Sysmon 事件的映射

“就像我们知道的那样,有一些事情我们是知道的。有一些事情我们知道我们知道,也有些我们不知道我们知道。也就是说我们知道有些事情我们不知道,但是也有些事情是我们不知道我们不知道。” ——唐纳德 · 拉姆斯菲尔德简介从防御的角度来看,我们应用于安全的最危险的事情之一就是假设。 假设是造成不确定性的盲点。 通过在检测过程中枚举和消除尽可能多的假设,我们限制了攻击面和敌人可以逃避我们检测努力的区域。 虽然总会有盲点,但是知道盲点总比不知道盲点好。 如果我们意识到我们的盲点,我们就可以在我们的检测努力中更有准备和更有效率。问题: 我们如何限制盲点和假设的数量?答: 发现攻击面并理解环境中的攻击向量。 有了这样的认识,我们就可以发现
发布时间:2019-11-11 13:10 | 阅读:13561 | 评论:0 | 标签:二进制安全 恶意软件 系统安全 威胁狩猎

​Threat Hunting

0x00 威胁狩猎大纲威胁狩猎的目的是缩短入侵发现的时间,它的价值在于你只需要花费数千美元进行补救而不是花费数百万美元来事后公关处理。然而,许多组织仍然没有专业的hunting Team。 有证据显示38%的入侵行为是由第三方或外部实体曝光而不是由受害组织自己发现。为了降低这个数字,降低安全开销,我们必须假设入侵行为已经发生,并且在发生损害之前寻找证据。一些人认为,威胁搜索可以从威胁情报源中搜索已知指标(IoCs),但是,尽管如此,但这只是在后视镜看到前方的危险,例如,从过去的十年中搜索您所在组织的所有远程访问工具(RAT)并不是threat hunting。 但是,您可以通过查找整个企业系统上可能的持久性位置并测量某
发布时间:2018-06-27 17:20 | 阅读:104893 | 评论:0 | 标签:技术 系统安全 威胁狩猎

「Threat Hunter」进击之路:如何像攻击者一样思考

威胁猎人(Threat Hunter) 威胁猎人(在有些情况下也被翻译为“威胁狩猎”)的定义比较广泛,是一项新发展出来的网络安全概念。 简单地讲,“威胁狩猎”是指采用人工分析和机器辅助的方法迢,针对网络和数据进行主动的和反复的搜索,从而检测出逃避现有的安全防御措施的高级持续性威胁(即APT攻击)。而威胁猎人则是指在企业或组织中处于防守地位的,通过积极的方法来发现攻击和入侵事件的安全人员。 这里有一个基本假设,那就是在任何时刻,网络上至少有一个被攻破的系统,黑客的攻击成功地躲避了组织各项预防性的安全措施。 “与采矿相反,威胁猎人狩猎的行为就像寻宝,没有地图,也没有标准的流程,猎人们可以使用任何觉得正确的方式去捕获攻击者。” 从上述描述可以看出,威胁猎人专注于威胁,而不是脆弱性、具体的漏洞或恶意软件。威胁猎人的任
发布时间:2017-09-27 04:00 | 阅读:117945 | 评论:0 | 标签:安全报告 Threat Hunter 威胁狩猎 威胁猎人 网络攻防

SOC的进击:“网络威胁狩猎”

概况 许多组织已经灵敏的意识到,网络威胁狩猎“ cyber threat hunting”是现代SOC演变的下一个层级,用以打击日益复杂的攻击威胁。 “威胁狩猎”是指采用人工分析和机器辅助的方法迢,针对网络和数据进行主动的和反复的搜索,从而检测出逃避现有的安全防御措施的高级持续性威胁(即APT攻击)。 “威胁狩猎”是一个新兴的概念,目前国外已有一些公司和相关产品推向市场。 威胁狩猎的熟悉程度 sqlrl公司在2017年的一份调查报告中显示,60%的人对该话题有一定的了解/非常了解,25%的人知道“威胁狩猎”的概念。 目前SOCs面临的挑战主要有:无法检测到高级威胁(隐藏的、未知的、新兴的)、缺乏安全专家来减轻这类威胁、响应缓慢。 针对调查结果进行统计,发现几乎一半的威胁(占比44%)没有被自动化安全工具检测到
发布时间:2017-06-04 15:55 | 阅读:136194 | 评论:0 | 标签:观点 SOCs 威胁狩猎 漏洞扫描与分析

威胁模式的进化的五步曲

背景 当前,我们正处在一个敏捷开发和数字化转型的时代,任何应用都需要持续的改进和完善。事实上,软件工程是一个复杂的过程,它由多个相互依存的任务组成,为了达到软件质量和业务发展目前,组织结构内的团队具有不同的专业性质,多个职能团队分担各自的责任。 采用结构化的方法来开发和维护重要的威胁模式,绝对是寻找许多攻击者的动机的关键。为此从软件开发生命周期(SDLC)的角度,来设计和维护一个安全平台的威胁模型,概括性的分为5个阶段:分析、设计、实现、测试和进化。 分析:深入了解上下文 了解组织的具体场景,可以帮助定义模式,有助于降低模型输出结果的误报率,这一阶段主要工作包括:对威胁模型的监测对象进行分级(高、低),评估剩余风险。需要考虑以下几个问题: 资产的数据流、组件和访问接口的情况? 需要定义哪些正常用例和非正常用例
发布时间:2017-06-04 15:55 | 阅读:127112 | 评论:0 | 标签:观点 分析模式 威胁模式 威胁狩猎

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云