ThreatTank简介–第2集:季度攻击趋势
Tom Gorup: 欢迎使用ThreatTank,这是一个涵盖最新威胁情报的播客。 威胁响应和有关全球安全形势的见解。 我是主持人,Edgio安全服务副总裁Tom Gorup,今天与我一起的还有Edgio安全解决方案产品管理高级总监Richard Yew和Edgio平台工程总监Michael Grimshaw。
Tom Gorup: Welcome,Richard,Michael。
Richard Yew: 谢谢让我再次来到这里。
Tom Gorup: 这可能会成为一个反复出现的主题,Richard。 所以,上一次我提出了一个破冰的问题,我觉得我们必须继续这样做,但找到一个问题并不容易,对吗?
因为我认为我们上次设定了一个坚实的标准。 这是我的破冰船 就其价值而言,我也没有给时间去思考。 所以,我会加入这一个. 但这是一个问题。 我要先问你,Michael。 我要把你放在现场。 如果你不得不被困在一个电视节目一个月,一个完整的一个月,你会选择什么节目,为什么?
Michael Grimshaw: 我不得不承认,我脑海中的第一件事是,我甚至在第一次运行时还没有活着,这可能是吉利根岛,因为在一个热带岛屿上花整整一个月的想法, 即使你必须使用教授来弄清楚如何获得自来水或其他类似的东西。 一个漂亮的热带岛屿,一个月的时间并不听起来太糟糕。
汤姆·戈鲁普: 这是一个多么好的答案。 我喜欢它。 “不会的,我不会的,我真的不会骗你的,我真的不会骗你的,我真的不会骗你的,我真的不会骗你的。” 这是一个很好的答案。 “那你呢?
Richard Yew: 哦,哇,这是一个艰难的。 你知道,我一直在思考,我的意思是,我说一个小猪像有猪的任何其他电视节目,你知道我将保持相同的猪主题,但我想我会停止这样做。
我想对我来说,就像《权力的游戏》,就像,我的意思是,我会被困在《权力的游戏》里面,但也许我会得到第一天或最后一天,谁知道? 但是,我的意思是,让我们去做这个。
Tom Gorup: 就是这样。 是的。 太勇敢了。
Richard Yew: 是的。 这很勇敢。 是的。 我很大胆,男人。
Richard Yew: 我可能只是穿上我的黑色衣服,站在墙上看看会发生什么。
Michael Grimshaw: 嗯,汤姆,让我也给你反过来。 任何权力的游戏和任何僵尸为主题的电影节目将是我不是一个名单的一部分。
Tom Gorup: 这是一个很好的答案。 你想活下去,对吧? 这是公平的。
理查,男人,大胆。 权力的游戏。 所以,我上星期生病了,不幸的。 我有冠状病毒病,这是悲惨的。 但我确实赶上了一些老房子重新运行。 所以我想我会选择房子。 我肯定想坐在一些诊断,可能说它不是狼疮。 我只需要至少说一次。
这不是狼疮。 它永远不是狼疮。 这将是我一个月的表演。 我认为这是一个好时机,至少我知道我的生存率将是相当高的比理查德的选择那里.
Tom Gorup: 好的。 所以我们不是在这里谈论电视节目。
我们在这里谈论的是Edgio即将发布的一份新的趋势报告,我对此感到非常兴奋。 我将拍摄Q4的快照并查看各种趋势。 这是很长一段时间以来的第一次,我想说这是一种对这份报告的复兴。
我们涵盖了请求方法中的所有数据点,随时间变化的趋势,MIME类型,各种地理定位, 好的,我今天带你们大家来这里讨论一下,因为我认为用这种方式看数据有很多有趣的见解,我想有时你可以看数据集。
“嗯,好的,那我走了。” 这有什么关系? 为什么? 我为什么还要看这个? 我们如何看待这些信息并从中推断出一些价值? 然后我非常兴奋地得到你的工作。 见解。 所以,对于一些高级主题类别,想到了这些类别,您会再次对应用程序架构感兴趣,对吧?
应用程序体系结构–您观察到的内容至关重要
Tom Gorup: 如果我们要查看这些报告,请考虑我们的体系结构,应用程序, 我们如何利用我们的工具根据我们的应用程序架构进行正确配置,也可能是一些合规性。 我们如何使用这些信息以不同的方式重新思考我们的应用程序。
首先,我想应用程序架构。 所以在这里得到一个参考框架。 报告中有两个数据点。 在思维模式中查看请求方法,还有更多内容。 我们绝对可以放心,你们知道,你们已经看到报告可以访问。 你可以拉任何你在那里。
但首先,什么? 为什么重要的是要看? 这些类型的事情,如请求方法中的思维类型。 我的意思是,当我第一次看这份报告的时候,我发现有超过98%的请求是为了获得帖子。 什么? 欢迎使用互联网,对吧? 例如,为什么以这种方式查看这些数据很重要? “你说什么?
Michael Grimshaw: 不,我想说的是,我脑海中出现的一些重要的事情是你观察到的事情,你正在看的事情。 在这里,我们可以讨论架构和构建,比如新的绿地应用程序,以及所有关于这一点的架构。
但我首先得到的是像这样的报告以及像这样的数据和信息的力量,显然是威胁情报。 我非常相信您的体系结构是围绕合规性,安全需求以及非功能性要求而构建的,您知道,您的应用程序的业务逻辑不是一个小池, 但是,您只需关注业务逻辑的时代已经一去不复返了。有一点,您必须关注多个维度,例如如何调整您的可观察性,如何采用更高级的基础设施和平台方法(例如重新保存和轮换凭据)。
我可以说,我们可以谈论几天,但重要的是,它可以归结为具有可操作的智能来知道你正在寻找什么. 从一个应用程序中,从你提到的工具中,这是我首先要说的事情之一,了解你在哪里,你知道,矢量是什么。 国家行动者利用脚本小子和中间的每个人都利用它来告诉你你所了解的内容,无论你在做什么,每季度,你知道扫描,希望你做的扫描不仅仅是每季度一次。 根据您的合规性配置文件,您至少需要在每个季度内完成这些操作,但希望您将迁移到更多DevSecOps转换模型,在该模型中,您将持续扫描或持续监控构建和移动的安全性。
所以我首先要指出的是这些数据。 必须了解此信息。 您需要密切关注哪些方面,需要调整可观察性堆栈以查找您的安全可观察性堆栈,然后转变为相反,对吗? 它关注的是您可能在代码中引入的更多内容和更多潜在漏洞,以确保您不会这样做。
你必须关注你的地平线。 每当我们有一个这样的对话,你会听到很多类比, 但如果你正在跑马拉松,或者你正在进行越野跑,或者你的视线在地平线上,所以你必须在战术上改变。 因为一个坑洞,你知道一条河或类似的东西。 你不会忽视你正在走向的视野。
Richard Yew: 我的意思是,另一种方式,就像你看这个,对吗?
当涉及到应用程序体系结构时,当我查看数据时,就像Tom所说的,大多数请求都可以被强加,但你知道,它是互联网,对吗? 但我认为其中一件事是你分解的,当你查看数据的时候,比如有多少个请求,因为它告诉你一些故事,比如我们正在获得的内容的对话是什么,对吧?
显然。 如果您正在运行大量应用程序空间,您知道,尤其是,假设您拥有水疗中心,对吗? 作为您的主要架构,对吧? 你会看到很多帖子。 你会看到很多不同的方法,对吧? 如果你用了很多用户生成的内容,你可能会看到很多帖子,并把,对吗? 所以,这是一个很好的分解看到. 而且,鉴于这是安全数据,这意味着这些数据来自Web应用程序防火墙,对吧? 它确实可以看到我们所检查的有效载荷中有多少实际上跳闸了很多。
所以在这种情况下,我经常会说对。 但你也可以看到大量的这些东西来自这个岗位,因为这是有效载荷的地方,所以它是非常的,它真的讲述了一个关于表面的故事。 攻击的表面区域,它告诉你,如果你只看你的请求方法分布,是的,任何接收端点的东西,而不是相反,你会有一个更大的表面区域,因为,你知道,帖子是这样的, 我用一个比喻,人们告诉我,这是愚蠢的,它在房子里,就像邮寄请求,就像你的垃圾和厕所,你知道,你的,你的公众,呃, 有人,就像给你发一个有效载荷,你知道我在说什么吗?
MIME类型
汤姆·戈鲁普: 我喜欢你说的,但是,像请求方法这样的东西开始画一张图片。 讲述有关您的应用程序,应用程序的使用方式,应用程序受到的攻击方式以及应用程序易受攻击的位置的故事。 它给你一个很好的视角。 它也会导致MIME类型的出现。
我觉得很有趣,我很想让你们的人知道这个问题,我们看到的是,这是一个很大的数量,占这些块的76%。 同样,此WAF活动是应用程序JSON MIME类型。 所以有很多预防措施。 JSON请求类型,这说明了整个Internet,应用程序是如何开发和架构的?
Richard Yew: 我的意思是,我将从这个开始。 就像它基本上告诉你你的垃圾来自哪里,对吧? 从某种意义上说,JSON是有意义的,因为,就像大多数API端点一样。 嗯,就像宁静,甚至不是宁静,就像GraphQL,你能说出它的名字,对吗? 包含类似JSON有效负载的内容。 嗯,对。 因此,我认为这与课程相当,对许多组织来说,这不应该是什么令人惊讶的事情,对吗?
很明显,您也会看到有效负载来自HTML内容类型,嗯,您会看到一堆类似XML的内容,对吗? 所以,当涉及到设计和安全机制时,您肯定需要一件事,对吗? 您不想只查看JSON,但您只想查看,因为我看到了某些安全产品,它们只能解析Say XML。
他们无法解析JSON。 就像,如果你不能解析JSON,你就不能查看有效负载。 所以,你想确保你有能力JSON。 你必须确保你的解析器是最新的。 我的意思是,猜猜是什么? 因为大多数绕过了,所以对WAV就像利用解析器一样。
所以他们通过特殊的编码格式或类似的方式发送有效负载,他们会以类似的格式发送有效负载。 甚至只是有时只是改变。 这是一个JSON,但它将格式更改为多部分,无论什么。 网络停止解析它,因为它只是看着标头。 哦,这不是JSON。 所以我不是解析它。
这就是你如何让有效负载滑过的方式。 所以这绝对是你想要能够做到的,做类似的笔记,哇,JSON,它是最受欢迎的。 你还想看看什么是一些比较模糊的。 我想指出的内容和项目,但我将保存以供稍后使用。
Michael Grimshaw: 我认为Richard提出了一个很好的观点,那就是它只是一个X,没有解析器不涵盖它在现代的Web开发时代。 我不觉得奇怪的是,应用程序JSON和JSON有效负载代表了如此大的百分比,因为在现代Web开发中,JSON是在世界上,你知道,它甚至不只是Web开发。
你看,例如,有人应该云. 嗯,无论您是在谈论CloudFormation,AWS还是其他产品,都可以让我使用,因为AWS是其中的一个大问题。 这不是很久以前,四五年前,也许多了一些年前。 我不记得确切的日期,但CloudFormation完全是XML的,然后转移到基于JSON的,这完全接管了。
这就是Web开发基础设施,JSON。 是的,你必须能够在JSON和XML中进行解析,但Richard的观点甚至更深奥,离群值是你必须能够解析所有数据。
Richard Yew: 是的。 说到离群值,当我看数据时,我总是看较小的数据点,比如1%或0.5%,或者从报告中脱颖而出的东西是我们有0.14。 因此,大约有0.14%的跟踪数据量。 其他非特征性信息,对吗? 但听起来可能很奇怪,但当你谈论一个月数十亿个数据点时,我的意思是,十亿中的0.14%,这是相当多的。 其中一些内容类型与图像类似。 JavaScript和其他的,就像你过去认为,哦,这些是静态内容,你知道,就像那些高度可缓存的内容一样。 为什么要将WAV放在JPEG前?
你知道,就像为什么你有很多的图像,对吧? 你是从事什么工作? 好吧,让我告诉你,对吧? 这就是所谓的安全横向运动,对吧? 就像这些JPEG一样。 例如,除非您将它们放置在存储中,例如边缘,右侧,网络存储,并且仅提供100%服务,否则这些请求中的任何请求都将返回到您的Web层,就像在您的环境中一样, 即使只有0.1%的请求返回到您的源站,这意味着攻击者实际上可以以报头,cookie,cookie,查询字符串,参数, 等等,从请求到JPEG文件,然后将这些内容发送到您的后端。 所以,如果你使用的是相同的后端,比如说,你的HTML和JPEG,比如JPEG,对吧?
你可能很容易受到横向运动的影响,因为他们说,嘿,你知道,这只是图像领域。 比如,也许你不需要保护它。 很多人都喜欢,我为什么要设置WAF? 你知道,浪费我的钱,喜欢把保护措施放在一个静态的东西上。 这也是一个值得注意的问题。
你总是想找出缺点,因为作为一个防守者,作为一个蓝队的人,你必须始终是正确的。 攻击者只需要一次正确,对吗? 你知道,谁知道,就像第一个JSON请求中的第一个有效负载,碰巧被转发到源站创建后门。 它可能会发生。
Tom Gorup: 是的。 100%我喜欢的是,你要去的地方也是,它首先谈到的是画一张图片或者讲述一个关于你的应用的故事。 因此,充分了解您的应用的架构。 那么,您将控制措施应用在哪里?
因为您认为最不容易受到攻击的地方可能是我们在查看时所采用的方法,这个也在报告中。 但是,当我们考虑抵御的攻击类别时,45%实际上是访问控制规则,这意味着可以防止发布请求。
如果您的应用不接受帖子,例如限制您的威胁环境,请通过应用访问控制规则来限制攻击者对您的应用程序进行攻击和刺激的位置。 如果您不接受应用程序,Jason,请阻止它。 对。 防止它。 没有理由允许这种情况发生在第一位。
然后,你会带来一个很好的相似点,看看离群值的类型,应用程序的较小部分。 我喜欢那里的思想过程。 因此,让我们沿着这条线继续努力。 因此,45%是访问控制规则,我们阻止了37%的访问控制规则。 嗯,我们是托管规则集。
这就是您的所有威胁情报和跨站点脚本编写的税收。 然后19%的自定义规则看到了这一点并考虑了层防御。 这就是我在这里所想的,当请求进来时,它们会经过这些过滤器,你需要考虑这些过滤器,对吗?
分层防御方法
Tom Gorup: 当您在应用程序中部署WAF或安全控制时,您需要了解其架构并调整安全工具以匹配该架构。 再次限制您的威胁环境,但您还需要分层,对吗?
Michael Grimshaw: 你需要层。 其中一件我想做的事情是,让我们与层讨论, 但我认为我们在这里所讨论的是,这确实凸显了您的开发,功能开发人员,SDLC,架构师之间反馈回路的重要性, 以及您的安全团队,因为如果您的安全团队,您的WAF,您的SOC或任何东西盲目飞行,他们不知道,好的,我们是否应该在这里接受JSON有效负载?
我们不发布吗? “你说什么? 这是沟通,反馈循环吗? 您可以节省成本,因为FTE浪费时间,节省工具方面的资金,只是开发人员,架构师和您的安全团队之间的紧密反馈回路会让世界变得与众不同。
Richard Yew: 当谈到层时,我总是说,不,我要提出元流行语,你知道,就像深入防御。 你知道,我真的认为我们需要,我们必须有一种心态,它真的有秩序为你的条款。 也许我错了。
也许有一个单层水过滤器,你知道,他们使用的是像椰子碳,不管什么,像,你所说的。 对。 但通常情况下,当我们审视证券时,对吧? 不能假定单个图层是一个神奇的项目符号。 例如,您拥有爬虫程序管理并不意味着您希望爬虫程序管理从应用程序中捕获所有内容,如DDoS帐户接管。
每种机制都能协同工作。 和你试图把它放在哪里的方式,就像,你知道,就像。 好的。 尽可能高效。 比如,我们采用了45%的超额规则。 我喜欢称之为ACL。 我的意思是,这只是ACL,对吧? ACL通常在我们的第一层上运行。 这背后有一个原因,因为它运行起来很便宜。
这只是一堆像IP,国家,什么. 嗯,ASN,JA3签名,对吧? 你把它们抛在后面,因为它是一个静态的标志,任何违反这些. 我们马上就会离开未来,就像我们是次毫秒,对吧? 这是我们的整个层,复数以亚毫秒为单位运行。
但你知道,就像你想摆脱尽可能多的垃圾,对吗? 我曾经有一个在这个行业工作的伙伴,就像他告诉我的那样,这就是我们所说的一种正在萎缩的大海捞针。 “你想让妈给你怀胎?” 你试图找到攻击。
这有点像,嗯,你试图找到一个HTTP请求,它承载了那个坏的有效负载,并导致了漏洞。 所以你正在寻找一个大海捞针的需求。 因此,能够快速地将大海捞针串起来,尽可能多地从顶层移除这些垃圾,以便最复杂的层可以处理。
通过额外的数据,哪些内容会再次非常有用,这可以追溯到我们不仅仅是在运行外围防御,对吗? 这只是因为你穿过,你打破了墙。 这并不意味着有,你应该有瞭望塔,对吧? 事实上,整个纵深防御的概念是一个军事战略,来自罗马人,因为他们扩大了他们的领土,它成为一个帝国。
仅仅围绕墙壁并确保仅依靠其他边界来击败攻击是不可行的。 这就是为什么。 我们有分层防御。
Michael Grimshaw: 绝对的。 我想我们可能已经提到过这一点,我们在之前的讨论中谈到了这一点,Richard。 我喜欢这里的免疫学例子如果你的健康依赖于一个无菌的环境,你是一个死人。
你知道,这不是要避免,这不是要有一个封闭的封闭的封闭环境和一切在它的无菌。 这是关于建立免疫力。 唯一的方法就是你能摆脱病原体,那就是培养对病原体的免疫力,为此需要分层的防御性分层方法。
就像你一样。 是的,您需要最好的网络防火墙。 你知道,你需要一个强大的边界。 “什么? 这将会被违反。 我的意思是,在国家行为者的世界,在整个世界,是潜在的威胁。 实际上,您只需要计划您的边界将被突破。
那么,一旦他们这样做,下一层是什么呢? 然后是下一层,接着是下一层。 然后,您如何监控这种情况并识别这些类型的违规行为,以便您了解他们的后续行动。 是的,这是必须的
分布式体系结构
Tom Gorup: 这很有趣,出于某种原因,我们在思考分布式架构如何发挥作用? 因为我可以在这里看到光谱的两端。 你可能会看着它和风险,你在增加蔓延,但你也可能。 嗯,看看它,带来更多的价值。 将工作负载分布到不同的区域或位置,从而提高可用性。
“你说什么?”
Michael Grimshaw: 绝对的。 我们生活在分布式架构的世界中。 如果您的业务遍及全球,那么。 你知道,全世界有300多个流行的存在点。 我们正处在一个大规模分布式并行计算时代,这不仅仅是我们。 我的意思是,这个可以追溯到20年前,但这是网络开发的本质。 Web基础结构。 你必须假设你是分布式的。 您正在大规模地并行运行,从安全,支持和成本台移动指针是我要强调的第一件事是避免雪花,这也与合规性有关, 我们将在这里简要介绍一下,如果您运行的是大规模并行,大规模分布式的,您需要您的基础设施尽可能相似,并且在该分布式,分布式架构中有尽可能多的差异。 嗯,一个,因为当你和你的审计师交谈时,你可以断言,你可以证明。
Michael Grimshaw: 是的,我们只需要看看其中的一个,因为这是每一个,你知道的,我们必须看看,你知道的,你的审计人员将样品. 他们不会只是举一个例子,然后运行该示例。 您可以查看我们的任何全球存在点,它们基本上是一个又一个完全相同的cookie工具,有助于安全。
所以你基本上有一个和你现在一样的模型,当你处理你的图层,把你的图层滚出一个图层的时候,当你跟踪,扫描和观察的时候。 就分布式体系结构而言,这将是我要谈论的一件大事,我之所以提到合规性,是因为如果您使用的是大型分布式系统, 如果您的审计人员可以验证和验证,并且您可以断言他们是正确的,那么他们就不想对每一项进行测试和审计。 完全相同的体系结构,它们是彼此的竞争对手。
Tom Gorup: 说起来容易做起来难,对吧? 尤其是在我们的方案中谈到分布式架构时,对吗? 我们不是在谈论部署一堆EC2实例,这些实例来自某个位置的黄金映像。
我们谈论的是硬件。 对。 在某种意义上。 你是如何运作这样的东西的?
Michael Grimshaw: 这是一个非常好的观点。 如果涉及到这一点,它也是一种多层次的方法。 不仅仅是安全性,您,您的采购和生命周期管理团队都需要在这方面保持一致,因为一个很好的例子,让我来看看Kubernetes的原因就是一个很好的例子。
它是并行分布式的,而不是全球分布式的,但您不会在全球运行Kubernetes群集。 但Kubernetes有一个很好的例子,那就是您在Kubernetes中遇到了问题。 如果你有一堆服务器,有不同的驱动程序或不同的硬件,你知道,不同的nick卡或不同的硬件,你基本上不能运行Kubernetes。
正如我所说,这就是为什么与您的生命周期管理人员和采购团队合作,使您的基础设施商品化的原因。 这是矛尖上的矛尖上的矛尖。 您希望获得尽可能相似的硬件。 现在,让我来谈谈我们最近在COR期间遇到的一个巨大风险,那就是我们在物流方面遇到的问题,以及全球分销空间受到的巨大冲击, 即使您在CO之前运行商品化的cookie-cutter硬件,但由于运输,运输和物流受到冲击,导致运输延迟。
Michael Grimshaw: 获得甚至能够获得相同类型的芯片组或其他类似的东西,这不仅仅是你,它是你从他们的供应商购买硬件的人,等等 这是一个大的弯管,因此,当您开始映像和在其上运行的实际软件(首先,如您的超级管理程序,操作系统或超级管理程序)时,会出现您必须适应的第二层。
这是下一层的位置,即使它不是完全统一的下面,但你想得到尽可能接近那里。 下一层是在映像和操作系统超级管理程序层中使其尽可能多地保持一致。 然后从那里,一个类似的方法与应用程序。
出于各种原因,您希望将其标准化为成本的可能安全措施。
Richard Yew: 你知道,我会告诉你,当涉及到应用程序. 是的,你知道,有争议,我知道这可能与流行的观点相反,这可能有点违背直觉,因为我们在考虑分布式良好的架构。
因此,我们从集中式软服务器,云环境中受益,并且分布在全球各地。 如果我告诉您,拥有分布式体系结构实际上会使您的攻击面更小,该怎么办? 听起来有点奇怪。 这听起来有点像,但是,想想这种方式,对吧?
通过分发,这就是为什么我认为在设计应用程序时它非常重要,尤其是我们谈论的是网站,对吗? 你不知道,设计和我发现一个常见的错误,这是边界安全. 因此,如果我稍微偏离主题,我会发现有一个错误,即我看到过人员,客户和组织,他们将基于集中式体系结构设计应用程序,然后尝试在分布式平台(如CDN)中运行应用程序, 然后你必须创造很多优化,但是,哦,需要运输什么,你知道,在逻辑之后,但你知道,现代,它被称为现代设计,对吗?
它实际上是在设计应用程序时考虑到分布式体系结构。 例如,您习惯于在一个集中位置处理大量逻辑。 您只需使用CDN缓存您的JPEG和静态文件等 但你如何运送一些逻辑?
比如,假设你举一个非常简单的例子,比如你的重定向,对吧? 您就像原来的集中式基础设施将为客户重定向一样。 如果你有成千上万的重定向链接会怎么样? 对。 嗯,你把这些逻辑转移到边缘呢?
你如何改变这些事情呢? 通过这样做,对,当我说攻击面时,你是,通过将这些逻辑转移到边缘,你是在减少负载,你是在降低集中式(如架构)中的故障概率,通过卸载其中的一部分,你知道, 室外安全是什么CIA,对吗?
Richard Yew: 我们谈论的是可用性部分。 非常重要。 因此,我想说的是,移动了很多这些,包括安全机制。 因此,如果您能够再次进行过滤,减少外围边缘的攻击大堆,那么您就容易受到攻击,集中式云或类似硬件中的漏洞更少,希望不再是这样。
Richard Yew: 你们是2024年的硬件,但基本上我们称之为Origins基础设施,这是非常重要的。 我可以告诉大家,你还有很多事情可以做,因为我们显然处在我们正在实施的许多技术的边缘,我告诉大家,就像做分布式计数一样。
在大约1毫秒内,所有的服务器,就像数据一样, 当您尝试在所有基础设施中同步每秒的请求数时,这是一个难题,呃,在流行情况下,对吧? “我想,我想,你一定会有办法让我帮你的。”
Richard Yew:所以,在您的集中式体系结构中, 不是只有一个中央大脑,比如逻辑学。 开始的时候可能会像人类一样把它拆分,人类的大脑是技术上分布的架构。 你有你的大脑,你有你的蜥蜴大脑。 猜猜猜是什么? 因为,因为当你触摸一些热点,你就没有时间作出反应。
Richard Yew: 如果这些东西必须通过一个中央大脑。 你必须在你拉回之前燃烧自己,对吧? 这就是为什么这样,开始思考什么是新的架构设计。 也许您不是在中央进行机器学习和培训,而是在边缘进行推理,然后在中央位置进行培训。
再次,它回到喜欢。 从某种意义上说,从安全角度看,您实际上是在减少一些漏洞,并使整个系统更加强大。
Michael Grimshaw: 是的。 是的,这些东西很好地说明了我们所说的分层是因为我们从一个集中的,这个,或者我们所说的免疫学,从一个集中的,这个,这个。
你,如果,当你受到攻击,你受到攻击,嗯,数据量,或,或,或你拥有的曝光是非常有限的,所以它不是一个完整的布尔,嗯,我是保护还是我不? 当一切都集中起来时。 好的。 如果他们在中并且可以访问数据,他们就可以访问数据,使其分布式。
好的。 也许是一个区域,一个子集或一个子系统。 嗯,攻击者可以利用零天或任何时间进入,但他们没有您的整个系统。 这也是一个弹性的东西,因为你不会失去你的整个大脑皮层都在一个跌跌跌。
Richard Yew: 顺便说一句,Lindsay bot只是对我进行了事实检查,呃,我想我用了一个不好的比喻。 呃,人是,我猜,我猜我们没有大脑和其他地方,但我应该有,我应该说是章鱼。 章鱼有像大脑和所有的手臂。 是的。 这是一个真正的分布式体系结构。
地理位置–我们在哪里能够阻止最多的攻击?
Tom Gorup: 是的,这是公平的。 这很好。 因此,沿着分布式体系结构的路线前进,也许在这一点上会使合规性有所提高。 我以为是其中一个。 这对我来说是相当有趣的,至少在纸上看到,我正在看地理定位。 那么,我们在哪里阻止来自前五个国家/地区的攻击?
好的。 我得到的前五个国家是我们,法国,德国,俄罗斯和车臣。 我认为是超级有趣的是,这是值得知道,有很多APT运行在中国. 他们不在名单上。 不在名单上,我认为这是一种有趣的,当我们考虑地理位置。
我认为很多人转向地理围栏。 嘿,让我锁定我知道可能会受到攻击的国家/地区,但只有26%。 那里的第一个hater是从美国。 “那你打算怎么办?” 我还认为我也从合规性的角度考虑这一点。 地理围栏在2,023,2024年是怎样的,这就是我们现在的样子。
Richard Yew: 我的意思是,我的观点是,我知道我们有,像,每一个客户,你知道,当我们加入进来时,我们谈论出口管制,我们必须像,做,像,像,那些控制, 例如地理围栏,我觉得有些事情需要重新考虑,因为我知道这可能不是每个人都想听到的,尤其是如果您运行GRC,如果我让您头痛,我会提前道歉, 但我认为我们现在正处在这样一个时代,每个人都可以使用VPN和任何东西,对吧? 轻松地在任何地方启动虚拟机。 例如,我记得去年我们在观看Black Hat时,我们在查看匿名苏丹DDoS攻击的ISP分发版,对吗?
Richard Yew: 他们使用的是托管提供商。 无处不在。 我们知道他们来自哪里,就像他们来自这个特定的国家,东欧,你知道,这就是组织所在的地方,对吗? 但是,然后攻击来自任何地方,像今天。 就像,是不是,然后你用Joe围击中国来阻止一个中国黑客? 现在这种做法是否可行? 对吗?
Michael Grimshaw: 不,但你是绝对正确的。 而且,中国在历史上因使用这种非常接近的VPN而闻名, 真的很模糊攻击的起源,显然,在俄罗斯,他们使用了这么多的本土,你知道,几乎是国家,几乎鼓励俄罗斯的个人行动者参与其中。
中国的指挥和控制结构是相当少的,我们应该说暴民或,或者,嗯,嗯,你看到在像俄罗斯,或,或Cheshire和类似的东西是分散的。 完全正确。 嗯,好电话。 嗯,是的,Richard,我绝对认为你是对的。 我们确实需要重新审视这一点,但会有客户,也会有细分市场。
和具有法规要求的垂直市场。 所以,你不会搞砸的一个大问题是海外资产控制办公室(OFAT)。 这就是地理围栏的位置,与任何一个金融服务,银行业一样,要确保,你知道, 确保您的银行业务或金融服务不向朝鲜(例如,伊朗)和名单上的其他地方提供。
地理围栏仍然很重要,特别是在法规要求方面。 我们需要重新讨论这些问题。 我们需要这个,事实上, 这个最近在乌克兰出现了,这个,呃,有人说,俄罗斯要塞,而星链使用地理定位。 为了防止在俄罗斯使用它,俄罗斯操作的俄罗斯士兵和操作人员正在使用它,呃,从其他国家采购,呃,在被占领的乌克兰领土上。
关于双重用途的清单很长。 两用材料,例如可以用于民用和军事目的的材料,以及这些材料通常是从第三方国家采购的,这在这里也是同样的情况,但仍然存在着绝对严格的监管线。 一些客户不得不处理或地理围栏非常多。
Richard Yew: 你是对的。 这只是一场军备竞赛。 我认为重点是,当我们谈论分布式架构时,我们谈到了客户使用它来保护我们的重要性。 但正如Mike和我所说,两个攻击者都在使用分布式架构。
Richard Yew: 我的意思是,他们是,嗯,我的意思是,这是一种有趣的,那是DDoS的整个点。 对吗? 我的意思是,这就是D的来源。
汤姆·戈鲁普: 是的,这很好。 你知道,我很失望,我们没有时间了,因为我认为我们可能至少可以再花20分钟来讨论这个话题。
最后的想法和建议
Tom Gorup: 但是,由于我们正在运行一段时间,我很想听到一些,你知道,关于这个报告,思考我们在这里讨论的一些数据点。 从应用程序架构到(您知道的)合规性,地理围栏,整个游戏区。 我喜欢听你的想法,并向观众推荐。
比如,我们应该关注什么? 他们如何才能更好地保护自己?
Michael Grimshaw: 是的,我喜欢这个报告。 你知道,我想把它带回并谈谈报告。 我们已经讲了很多事情,但其中一件事情,也许这是因为我正在经历。 现在的PCI审计是我喜欢这份报告的两件事,这两件事让我想起了,这份报告和这些方法有助于您的安全,特别是您的合规性水平在PCI中。 PCI的其中一个要求是建立一个流程,使用信誉良好的外部信息来源来识别安全漏洞安全漏洞,并分配风险等级。 现在,这份报告并没有给出确切的CVE,但这又是分层审核方法的一部分,我喜欢这样的报告,其中可能包含操作系统漏洞或在该背景下左移漏洞数据库的细节。
Michael Grimshaw: 一方面能够为我们的审计人员提供一个完整的图片,另一方面PCI的另一个要求是确保您和我只关注PCI。 ISO袜子到一堆其他制度。 但另一件事是,让您的员工接受培训并了解最新的安全形势以及如何防止这种情况,这一点非常重要。
是的,您每年都要进行一次培训。 你知道,你需要做的培训,当某人被聘用. 好的。 之后的每一年,但像这样的报告,这绝对是我会得到我的每一个员工和整个公司只是为了提高安全意识,帮助他们的合规性,帮助您的安全. 我是一个大粉丝。
Tom Gorup: 这是很好的建议。 我喜欢这个。 “那你呢?
Richard Yew: 我肯定会说,喜欢,你知道,有时有能见度是非常重要的。 我会说让事情变得更容易,对吧? 在所有应用程序(至少是我们所讨论的面向公众的应用程序)中拥有这种可见性是很好的,因为我们不会在管理中查看您的所有端点,例如您的笔记本电脑和Mac, 但至少我们可以看到正在发生的事情,因为我坚信,你需要有一个单一的视图,基本上所有的东西,比如互联网,进出这里。
就像我们所谈论的每一个HTTP请求一样,每一个外部请求(网络内外)都需要编目,并且要出色。 就像,如果他们都被收集,并能够在一个统一的视图下报告,像我们在这里谈到的,我认为这也将有助于促进您的合规性,特别是当涉及到提供证据,等等
因此, 好的。 同样,可见性很重要,对吧? 你知道,如果你看一下这三个阶段,实际上是像NIST安全框架那样的五个阶段,对吗? 我的意思是,在最左边,只有一个文本,比如预防,然后你必须做出回应,对吧? 但是,你知道,有能力有可见性,检测是非常重要的。
您无法缓解所看到的内容。
Tom Gorup: 是的。 我始终将安全态势,可见性,暴露和威胁等同起来。 我不能保护我看不到的东西。 我需要了解我的弱点在哪里,我需要了解我是如何被攻击的。 这三个因素共同定义了您的安全态势。
和其他公司的人分享这一点也很有趣。 我们在报告中所做的深入研究之一,以及对目录遍历的深入研究,这实际上是我们今天在互联网上仍然非常突出的第一类攻击。
现在,我们正在防范它,但这并不意味着应用程序不容易受到它的攻击。 确保您的工程师或开发人员了解如何对您使用此攻击,是确保您从头开始构建安全代码的好方法。 今天我最喜欢的是思考应用程序体系结构,不仅仅是您的应用程序体系结构,还包括您的业务及其运行方式。
因此,在使用这些信息来通知您的安全工具时,对吧? 因此,您的应用程序体系结构可以确定我希望看到哪些类型的请求? 什么类型的MIME类型,但我的企业可以在哪里操作和应用这些,并将这些作为控制的一部分纳入您的安全工具?
因此,我认为让我兴奋的是,报告不仅仅是查看数据, 但也要花时间去思考,比如,我如何使用这些信息来稍微改变一下世界,也许用这些信息来通知我的安全工具,以实施更多的控制,限制,防止我的业务突然出现。 最后,我们要做的就是保护企业,让企业能够自由机动地为选民赚钱,为客户创造价值。 很好的员工 这就是我们今天所拥有的一切。 感谢大家加入ThreatTank。
如果您想了解Edgio的最新威胁情报,请跳转到EDG.IO。 这就是EDG DOT IO,订阅后,您将获得更多的英特尔产品。 迈克尔,理查德喜欢的谈话。 我再次感到,我们本可以至少再走45分钟。 这太棒了。
Tom Gorup: 我真的很感谢你们两个人的时间。
Richard Yew: 是的。 是的。 感谢您的光临。 感谢大家的积极参与和讨论。
迈克尔·格里姆肖: 感谢伟大的信息,汤姆。 是的。 欣赏它。 和你聊天总是很有趣,理查德。 非常出色
理查德·尤: 同样,男人。 再见。
汤姆·戈鲁普: 直到下一次。