如果你们关注的是如何抓住普通的小骇客(无纪律、无意识),我可能没那个耐心回答,但如果你们想知道关于职业骇客(高意识、严格纪律、资源丰富)的看法,我还是可以给出一些论点的。
一、安全对抗 了解你的敌人(Know Your Enemy) 每个职业骇客通过常年的攻击行为、经验,累积了关于各种体系的知识,然后组合出各种攻击模式,而每种攻击模式都少不了流程化、自动化。
你都不知道骇客想干嘛,在干嘛,防御你妹呀? 现在大多数公司内部系统管理员与安全人员,他们因为没有来自行业与内部的竞争压力,为企业做的安全防御选择的都是“常规模式”,外加生搬硬套国外的标准做安全管理,日久天长就会变得工作效率低下、不负责任。
如果技术人员都不知道什么叫0day,都不知如何处理rootkit,你叫他们怎么会有意识在各种骇客的关键路径设立传感器捕捉日志、保护日志? 一名优秀的骇客同时也是一名优秀的网络管理员、系统管理员 骇客知道哪里会留下自己的操作记录、各类日志,他们会去篡改,甚至模拟出和真正管理员一模一样的行为。
所以想要抓住骇客,就要时刻知道那些日渐趋变的攻击模式,找到攻击者的攻击路径,再去有目的的防御,Keep It Simple, Stupid,KISS原则。
有纪律的骇客,一般都会用最少的操作行为、最少的系统功能,来达成自己的目的; 面对海量的攻击日志,是很难确定攻击者到底在哪里的; 在一个没有录像监控系统的网吧,拨了三层VPN+TOR的职业级宅男骇客(常年不出门),要抓到他?你们他妈的别做梦了!(这一句是对那些一天到晚不切实际谈论安全的专家们的吐槽) 二、80%的隐患来自内部 待补充 题外话: 现在已经没有骇客会在服务器上留后门、添加账号了,他们直接通过各种手法,窃取到管理员的真实密码,甚至直接入侵系统管理员的工作机(把管理员记录所有服务器信息的密码表、网络拓扑表拿到手)。
256679 
61987 
65428
