ThreatTank简介–第2集:季度攻击趋势
Tom Gorup:欢迎使用ThreatTank,这是一个涵盖最新威胁情报的播客。 威胁响应和有关全球安全形势的见解。 我是主持人,Edgio安全服务副总裁Tom Gorup,今天和我一起参加的还有Edgio安全解决方案产品管理高级总监Richard Yew和Edgio平台工程总监Michael Grimshaw。
汤姆·戈鲁普:欢迎,理查德,迈克尔。
Richard Yew:谢谢你让我再次来到这里。
Tom Gorup:这可能会成为一个反复出现的主题,理查德。 所以,上次我打开了一个破冰的问题,我觉得我们必须继续这样做,但找到一个是不容易的,对吗?
因为我想我们上次设定了一个坚实的标准。 这是我的破冰船。 我也没有给时间去思考。 所以,我将与大家一起讨论这个问题。 但这里有一个问题。 我先问你,Michael。 我要把你带到现场。 如果你不得不被困在电视节目一个月,整整一个月,你会选择什么节目,为什么?
Michael Grimshaw: 我不得不承认,我想到的第一件事,我甚至还没有活着,在第一次运行的时候,可能是吉利根岛,因为在热带岛屿上度过一个月的想法,即使你必须用教授来弄清楚如何获得自来水或其他类似的东西。 一个美丽的热带岛屿住一个月听起来不是太糟糕。
汤姆·戈鲁普:什么答案。 我喜欢它。 “不是,我已经很长时间没见过吉利根岛了,我甚至不会大声说,因为我已经看了很久了。 这是一个很好的答案。 “那怎么办?
Richard Yew:哦,哇,这是一个艰难的问题。 你知道,我一直在思考,我的意思是我说过一个Peppa Pig就像其他电视节目里有猪一样,你知道我将继续保持同样的猪主题,但我想我将会停止这一节目。
我猜对我来说,就像《权力的游戏》,我的意思是,我会被困在《权力的游戏》里面,但也许我会得到第一天或最后一天,谁知道? 但是,我的意思是,让我们来看看。
Tom Gorup:就是这样。 是的。 太勇敢了。
Richard Yew:是的。 这是非常勇敢的。 是的。 我很大胆,男人。
Richard Yew:我可能只是穿上我的黑色斗篷,站在墙上看看会发生什么。
Michael Grimshaw:嗯,汤姆,让我也给你相反的。 任何权力的游戏和任何僵尸主题的电影节目都将在我不是列表的一部分。
Tom Gorup:这是一个很好的答案。 你想生存下去,对吧? 没关系。
理查德,男人,大胆。 权力的游戏。 所以,不幸的是,上周我生病了。 我有COVID,这是可悲的。 但我确实赶上了一些老房子的重跑。 所以我想我会选择房子。 我绝对想坐在一些诊断,可能说这不是狼疮。 我只需要说一遍。
这不是狼疮。 它永远不会是狼疮。 这将是我的表演一个月。 我认为这是一个好时机,至少我知道我的生存率将是相当高的与理查德的选择在那里。
汤姆·戈鲁普:好的。 所以我们在这里不是谈论电视节目。
我们在这里谈谈Edgio即将推出的一份新的趋势报告,我对此感到非常兴奋。 我快照第4季度,了解各种趋势。 这是很长一段时间以来,多年来,我想说这是这份报告的一种复兴。
我们涵盖了各种数据点,从请求方法到随时间变化的趋势,嗯,MIME类型,各种地理位置,嗯,嗯,今天我带你们来这里讨论一下,因为我认为通过这种方式查看数据有很多有趣的见解,我想有时候你们可以查看数据集。
你喜欢,那么,那么,什么? 这有什么关系? 为什么? 我为什么要看这个呢? 我们如何看待这些信息并从中推断出一些价值? 然后我很兴奋地得到你们的两个工作。 洞察力。 因此,想到一些高级别的主题类别,这些主题会再次对您对应用程序架构的看法感兴趣,对吧?
应用程序体系结构–您观察到的内容非常重要
Tom Gorup:如果我们查看这些内容,本报告将思考我们的架构,我们的应用程序,我们如何利用我们的工具根据我们的应用程序的架构以及某些合规性进行正确配置。 我们如何利用这些信息开始以不同的方式思考我们的应用程序。
首先,我想应用程序架构。 在这里可以找到一个参考框架。 此报告中有两个数据点。 从心中的类型来看请求方法,还有更多。 您知道,我们一定可以随时访问报告。 你可以在那里拉任何你有的东西。
但首先,什么? 为什么重要的是看? 这些类型的东西,如心中的请求方法类型。 我的意思是,当我第一次看这份报告时,有98%的请求要求获得帖子。 什么? 欢迎来到互联网,对吧? 例如,为什么以这种方式看待这些数据很重要? “那你想怎么样?
Michael Grimshaw:不,我想说的是,我想到的一些重大事情就是你观察到的事情,你看的事情。 在这里,我们可以像新的绿地应用程序一样讨论架构和建筑,以及所有关于这一点的架构。
但我首先要得到的是像这样的报告以及像这样的数据和信息的力量,显然威胁情报。 我坚信围绕您的合规性,安全需求和非功能性要求来构建您的体系结构是,您知道,您的应用程序的业务逻辑不是一个小池,但您只能专注于业务逻辑的日子已经一去不复返,您必须关注多个维度,例如如何调整可观察性,如何采用更高级的基础设施和平台方法,例如重新撰写和轮换凭据。
我可以说,我们可以谈论几天,但最重要的是拥有可操作的情报来了解你在寻找什么。 所以从应用程序中,从你提到的工具中,这是我首先要指出的事情之一,了解你在哪里,你知道,矢量是什么。 国家演员正在利用什么脚本小孩和中间的每个人都在利用什么来告诉你你正在看什么你知道,无论你在做什么,季度,你知道扫描,希望你做的不仅仅是季度扫描。 根据您的合规性配置文件,您需要至少每季度执行一次,但希望您将转向更多DevSecOps偏移正确模式,在这种模式中,您将持续扫描或持续监控构建和移动性的安全性。
所以我首先要指出的是这些数据。 此信息非常重要。 您需要更密切地关注什么,需要调整观察性堆栈以查找安全观察性堆栈,然后在值班时反向调整,对吗? 它会关注您可以在代码中引入的更多内容和更多潜在漏洞,以确保您不会这样做。
你必须关注你的地平线。 每当我们进行这些谈话时,你都会听到很多类比,但这就像是你在跑步,如果你是在马拉松,或者你正在越野跑步,或者像这样的事情,你会把眼睛放在地平线上,这样你就必须在战术上改变。 因为有一个坑,你知道一条河流或者类似的东西。 你不会忘记你正在跑步的地平线。
Richard Yew:我的意思是,相反,就像你看这个,对吧?
当谈到应用程序架构时,你知道,当我查看数据时,就像Tom说的那样,大多数请求都可以被强制执行,但你知道,这是互联网,对吧? 但我认为其中一个问题是你分析数据的时候,比如有多少请求,因为它告诉你像这样的故事,我们得到的内容的对话是什么,对吗?
显然。 如果您运行的是大量的应用程序空间,您知道,尤其喜欢,假设您有一个SPA,对吗? 作为您的主要架构,对吧? 你会看到很多帖子。 你会看到很多不同的方法,对吧? 如果您需要大量用户生成的内容,您可能会看到很多帖子并放置,对吧? 所以,这是一个很好的分解。 此外,鉴于这是安全数据,这意味着这些数据来自Web应用程序防火墙,对吧? 它确实可以看到我们检查的实际跳闸次数有多大的有效负载。
所以在这种情况下,我很多时候都是对的。 但你也会看到相当多的这些东西来自帖子,因为这是有效负载的位置,所以它真的讲述了一个关于表面的故事。 攻击的表面积告诉你,如果你只是看你的请求方法分布,是的,任何接收到任何端点的东西,是的,你会有更大的表面积,因为,你知道,POST就像,我用一个类比,人们告诉我,它是愚蠢的,它是在房子里,像POST请求,它就像你的垃圾和厕所,你的公众,呃,任何人,就像发送一个有效载荷,你知道我说的?
MIME类型
汤姆·戈鲁普:我喜欢你说的,不过,像请求方法这样的事情开始绘制一张图片。 讲述有关您的应用程序的故事,应用程序的使用情况,应用程序如何受到攻击以及在哪里可能容易受到攻击。 它给你一个好的视角。 它还引入了MIME类型。
有一点我认为很有趣,我很想让你们的同事对此有个想法,那就是我们看到的这是一个很大的数量,占这些块的76%。 同样,此WAF活动是,WAS应用程序JSON MIME类型。 所以周围有很多预防措施。 JSON请求类型,这告诉我们互联网作为一个整体是如何开发和构建应用程序的?
Richard Yew:我的意思是,我先从那开始。 喜欢它基本上告诉你你的垃圾来自哪里,对吗? 从某种意义上说,JSON是有意义的,因为就像大多数API端点一样。 嗯,像宁静的,甚至不像GraphQL那样宁静,你能说出来,对吧? 包含类似JSON有效负载的内容。 嗯,对。 因此,这与课程相符,在我看来,对于许多组织来说,这不应该是令人惊讶的事情,对吧?
显然,您还会看到来自HTML内容类型之类的有效负载,您会看到来自XML的大量负载,对吗? 所以,当涉及到设计和安全机制时,您肯定想要一件事,对吗? 你不想只看JSON,但你只想看,因为我见过某些安全产品,它们只能解析说XML。
他们无法解析JSON。 就像如果你无法解析JSON,你就无法查看有效负载。 所以你想确保你有能力使用JSON。 您必须确保解析器速度快。 我的意思是,猜猜猜怎么办? 因为它的大部分都绕过了,对于WAV来说,就像利用解析器一样。
因此,他们通过特殊的编码格式或类似的格式发送有效负载,他们会以类似的格式发送有效负载。 即使只是有时候只是改变。 这是一个JSON,但它将格式更改为多部分,不管怎样。 Web停止了解析,因为它只是看了头。 哦,这不是JSON。 所以我不是解析它。
这就是如何使有效载荷滑动。 所以这绝对是你想做笔记的东西,比如,哇,JSON,这是最受欢迎的。 您还想看看哪些是比较模糊的。 我想指出的那些和项目,但我会将其保存以备以后使用。
Michael Grimshaw:我认为理查德提出了一个很好的观点,就是它只是一个X,没有解析器在Web开发的现代时代无法涵盖它。 我不觉得奇怪的是,应用程序JSON和JSON有效负载所占的比例如此之大,因为在现代Web开发中,JSON在世界上存在,你知道,它甚至不仅仅是Web开发。
例如,您会看到,有人应该云。 嗯,无论您是在谈论CloudFormation,AWS和其他人,让我使用,因为AWS是一个巨大的解决方案。 不久前,四,五年前,或许再多一点。 我不记得确切的日期,但CloudFormation完全是XML,然后迁移到基于JSON的,完全接管了。
这就是Web开发基础设施,JSON。 是的,你必须能够解析JSON和XML ,但理查德的观点甚至更深奥,离群值是你必须能够解析所有的数据。
Richard Yew:是的。 说到离群值,当我查看数据时,我总是看较小的数据点,比如1%或0.5%,或者从报告中突出的一点是我们有0.14。 所以0.14%的同类跟踪数据量。 其他非特征信息,对吧? 但这听起来可能有点奇怪,但是当你谈论每月数十亿个数据点时,我的意思是,占十亿个数据点的0.14%,这是相当多的。 其中一些内容类型被证明是像图像。 JavaScript和其他人,就像你以往认为的那样,这些都是静态内容,你知道的,就像那些高度可缓存的内容。 为什么要将WAV放在JPEG的前面?
你知道,为什么你有很多的图片,对吧? 你是从事什么工作? 好了,让我告诉你,对吧? 这就是所谓的安全横向运动,对吧? 就像那些JPEG。 例如,除非您将它们放入存储中,如边缘,正确的网络存储,以及仅100%服务的位置,否则任何这些请求都会返回到您的Web层,就像在您的环境中一样,即使只有0.1%的请求返回到您的源站,这意味着攻击者实际上可以将有效负载(无论是标头,Cookie,Cookie,查询字符串,参数等)从请求发送到JPEG文件并将这些内容发送到您的后端。 所以如果您将相同的后端用于HTML和JPEG (如JPEG),对吧?
你可能容易受到横向运动的影响,因为他们说,嘿,你知道,这只是图像域。 就像,也许你不需要保护它。 很多人都喜欢,我为什么要设置WAF? 浪费我的钱,你知道,喜欢把保护措施放在一个大多是静态的东西上。 再说一次,这是值得注意的。
你总是想找出缺陷,因为作为一名防守球员,作为蓝色球队的人,你必须时刻保持对。 攻击者只需要一次正确,对吧? 你知道,谁知道,就像第一个JSON请求中的第一个有效负载恰好转发到源站创建了后门。 这是可能发生的。
汤姆·葛鲁普:是的。 100%,我喜欢的是,你也喜欢它,它首先谈到绘制一张图片或讲述一个关于你的应用程序的故事。 因此,您可以很好地了解您的应用的架构。 那么,您在哪里应用您的控制措施?
因为你认为最不容易受到攻击的地方可能是当我们看到这个方法的时候,这个方法也在报告里面。 但是,当我们查看被缓解的攻击类别时,45%的攻击实际上是访问控制规则,这意味着可能会阻止POST请求。
如果您的应用不接受帖子(如限制威胁形势),请通过应用访问控制规则来限制攻击者攻击您的应用程序的位置。 如果您不接受申请,Jason,请阻止它。 对。 防止它。 没有理由允许这种情况在第一位发生。
然后你会看到一个很好的点,看着离群值的类型,应用程序的较小部分。 我喜欢那里的思维过程。 沿着这些路线,让我们继续稍微介绍一下该线程。 因此,45%的访问控制规则是我们阻止了37%的访问控制规则。 我们是托管规则集。
这就是您的所有威胁情报和跨站点脚本执行的那种税收。 然后19%的人是自定义规则,看到了这一点,就像层防御一样思考。 这就是我在这里所想的,当请求进入时,他们会经过这些过滤器,你需要考虑一下,对吧?
分层防御方法
Tom Gorup:在应用程序中部署WAF或安全控制时,您需要了解其架构并调整安全工具以匹配。 再次限制威胁形势,但您还需要层次,对吗?
迈克尔·格里姆肖:你需要层次。 我想与各层谈谈其中一件事,但我认为这正是我们在这里谈论的内容,它确实凸显了您的开发人员,功能开发人员,SDLC,架构师和安全团队之间反馈环路的重要性,因为如果您的安全团队,WAF或SOC或任何盲目飞行的东西,他们不知道,我们应该在这里接受JSON有效负载吗?
我们不会发布吗? 我们该怎么办? 这是沟通,反馈环路吗? 您可以节省资金,因为FTE浪费了时间,节省了工具成本,开发人员,架构师和安全团队之间的紧密反馈环路让您的世界与众不同。
理查德·尤:当谈到层次时,我总是说,不,我要提出元流行词,就像深度防御一样。 你知道,就像,我真的认为我们需要,我们必须有一种心态,那就是,它真的符合你的条件。 但也许我错了。
也许有一个单层滤水器,你知道,他们使用的是像椰子碳一样的花式滤水器,不管什么,比如,你能说什么。 对。 但通常情况下,当我们看证券时,对吧? 任何一层都不能被认为是一个神奇的子弹。 例如,仅仅因为您拥有爬虫程序管理并不意味着您希望爬虫程序管理能够捕捉从应用程序到帐户接管的所有内容,例如DDoS。
每个机制协同工作。 和你尝试用的方式来表达它,就像你知道的,喜欢。 好的。 尽可能高效。 例如,我们采用了45%的超额规则。 我喜欢称之为ACL。 我的意思是,这只是ACL,对吧? ACL通常在我们的第一层上运行。 这背后有一个原因,因为它运行起来很便宜。
这只是一堆IP,国家或地区,不管怎样。 嗯,ASN,JA3签名,对吧? 你把它们抛在后面,因为它是一个静态签名,任何违反这些. 马上就会离开未来,就好像是第二亚毫秒,对吧? 这是我们的整个层,复数运行在亚毫秒内。
但你知道,就像你想摆脱尽可能多的垃圾一样,对吧? 我曾经有一个在这个行业工作的伙伴就像他会告诉我的,对,这就是我们所谓的缩小干草堆。 你想把一大堆类似的请求带进来,对吧? 然后你试图找到攻击。
这就像是,你试图找到一个HTTP请求,它承载了坏的有效负载,并导致了漏洞。 所以你正在寻找一个干草堆的需求。 因此,能够快速地将大量垃圾从前面层清除,以便最复杂的层可以处理。
通过额外的数据,什么会再次非常有用,它可以追溯到这样一个事实,即我们不只是在运行外围防御,对吧? 只是因为你越过了墙,你就越过了墙。 这并不意味着你应该有瞭望塔,对吧? 事实上,纵深防御的整个概念是一个军事战略,它来自罗马人扩大他们的领土,使其成为一个帝国。
仅仅围墙,确保只依靠其他边界来击败攻击是不可行的。 这就是为什么。 我们有分层防御。
Michael Grimshaw:绝对。 我想我们可能已经提到过这一点,我们在之前的讨论中已经讨论过了,理查德。 我喜欢这里的免疫学例子是,如果你的健康依赖于无菌环境,你就是一个死人。
你知道,这不是为了避免,它不是为了有一个封闭的环境和一切在它的无菌. 这是关于建立免疫力。 只有这样,你才能摆脱病原体的唯一途径就是培养对病原体的免疫力,需要一种分层的防御性分层的方法。
就像你一样。 是的,您需要最好的网络防火墙。 你知道,你确实需要一个强大的边界。 但猜猜猜怎么办? 这将会被破坏。 我的意思是,在国家行为者的世界和整个世界,是潜在的威胁。 实际上,您只需计划边界是否会被破坏。
那么一旦他们这样做了,那么下一层是什么呢? 接下来的下一层,以及之后的下一层。 然后,您如何监控这些类型的违规行为并对其进行指纹识别,以便了解他们将要追求什么。 是的,这是当务之急
分布式体系结构
Tom Gorup:这很有趣,出于某种原因,我们在思考分布式架构如何发挥作用? 因为我可以在这里看到光谱的两端。 你或许可以看看它,看看风险,你在增加蔓延,但然后你也可能. 看看它,就会带来更多的价值。 将工作负载分布在不同的区域或位置,从而提高可用性。
那么,你们在哪里看到这种游戏?
Michael Grimshaw:绝对。 我们生活在分布式建筑的世界。 当你有一个全球性的足迹,嗯。 您知道,在全球有300多个在线点。 我们正处在一个大规模分布式并行计算时代,这不仅仅是我们。 我的意思是,嗯,这可以追溯到20多年前,但这是Web开发的本质。 Web基础设施。 你必须假设你是分布式的。 您正在大规模并行运行,从安全,支持和成本角度出发,我要指出的第一件事是避免雪花,这也与合规性相关,我们将稍微介绍一下,如果您正在运行大规模并行,大规模分布式架构,您需要您的基础架构尽可能相似,并在分布式分布式架构中存在尽可能多的差异。 嗯,嗯,一个,因为当你和你的审计员交谈时,你可以断言,你可以证明。
Michael Grimshaw:是的,我们只需要真正研究一下其中的一个,因为这是一个饼干切割器,你知道,我们必须看看,你知道,你的审计员会对它进行样品。 他们不仅仅是举一个例子来运行。 您可以查看我们的任何全球网络接入点,它们基本上是一个又一个的相同的cookie切割器,有助于提高安全性。
因此,你的模型基本上和你的模型是一样的,因为你正在处理你的层,展开你的层一,但你也在跟踪,扫描和观察。 就分布式体系结构而言,这将是我要谈论的重要问题之一,我提到合规性的原因是因为如果您处于一个大规模分布式系统中,如果审计员可以验证和验证每一个系统,并且您可以断言它们是正确的,那么您的审计员不会想对每一个系统进行笔试和审计。 完全相同的体系结构,它们是彼此的竞争对手。
汤姆·戈鲁普:说起来容易做起来难,对吧? 特别是在我们的场景中谈论分布式体系结构时,对吧? 我们不是在谈论部署一整套EC2实例,这些实例来自某个位置的黄金映像。
我们谈论的是硬件。 对。 在某种意义上。 您如何实现类似的操作?
Michael Grimshaw:这是一个极好的,极好的观点。 在这种情况下,它也是多层次的方法。 这不仅来自您,您的采购和生命周期管理团队,您还需要在这方面保持一致,因为一个很好的例子,让我获得Kubernetes的原因就是一个很好的例子。
它是并行分布式的,不是全球分布式的,但您不会在全球范围内运行Kubernetes群集。 但Kubernetes的一个很好的例子就是您在Kubernetes中遇到了问题。 如果您有一整套服务器,它们具有不同的驱动程序或不同的硬件,不同的插卡或硬件,那么您基本上无法运行Kubernetes。
正如我所说,这就是为什么与您的生命周期管理人员和采购团队合作,使您的基础设施商品化的原因。 这是长矛尖上的长矛尖。 您希望硬件彼此尽可能相似。 现在,让我指出,我们最近在COVID期间遇到的一个巨大风险是,我们发现物流问题,全球分销空间受到巨大冲击,即使您在COVID之前运行商品化的cookie-cutter硬件,但发货延迟对运输,运输和物流造成冲击。
Michael Grimshaw:获得甚至能够得到相同类型的芯片组或其他类似的东西,它不仅仅是你,你是从他们的供应商那里购买硬件的人,等等.. 这是一个很大的弯曲球,这样就会出现第二层,你必须调整它,当你到达映像和运行它的实际软件时,这是打开的,首先,像你的超级管理程序,你的操作系统或超级管理程序?
这是下一层,即使它不是完全均匀的下方,但你想尽可能接近那里。 下一层是使其在映像和操作系统虚拟机管理程序层中尽可能多的cookie切割器和统一。 接下来是一种与应用程序类似的方法。
出于各种原因,您希望尽可能以安全的方式将其标准化。
Richard Yew:你知道的,我会告诉你,当谈到应用程序的时候。 是的,你知道的,有争议的,我知道它可能与流行的信念相反,这可能有点违背直觉,因为我们考虑的是分布式架构。
因此,我们从集中式软服务器,云环境中获取,并且我们分布在全球各地。 如果我告诉您,分布式架构实际上会使攻击面变小,该怎么办? 听起来有点奇怪。 听起来有点像,但这样想想,对吧?
通过分发,这就是为什么我认为当您设计应用程序时,尤其是我们谈论的网站时,这一点非常重要,对吧? 你不,设计和我发现的一个常见的错误,这是边界安全。 如果我稍微偏离这个话题,我会发现有一个错误,我看到人,客户,组织,他们会设计基于集中式架构的应用程序,然后尝试在分布式平台上运行它,例如CDN,然后你必须创建大量的优化,但你知道,在逻辑之后,需要提供什么,但你知道,现代,它被称为现代设计,对吧?
它实际上是在设计应用程序时考虑到分布式体系结构。 例如,您习惯于在一个集中的位置处理大量的逻辑。 您只需使用CDN缓存JPEG和静态文件等 但您如何运送一些逻辑呢?
比如说,您只需举一个非常简单的例子,比如您的重定向,对吧? 您就像原来的集中式基础设施将为客户执行重定向一样。 如果您链接了数以万计的重定向,该怎么办? 对。 嗯,您如何将这些逻辑转移到边缘?
你怎么会改变这些东西? 通过这样做,对吧,当我说攻击面,对吧,你是,通过将这些逻辑转移到边缘,你是在减少负载,你是在一个集中化的,像体系结构,通过卸载其中的一些,你知道,室外安全是CIA的,对吧?
Richard Yew:我们谈论的是其中的可用性部分。 非常重要。 因此,我想通过移动其中的许多方面来说,包括安全机制。 因此,如果您能够再次过滤,在外围边缘缩小攻击的大片,那么您就容易受到攻击,在您的集中式(云或类似硬件)中脆弱性较小,希望不再存在。
理查德·尤:你们2024年,但是硬件,但基本上我们称之为源站基础设施,这非常重要。 我可以告诉你,你可以做的事情太多了,因为我们显然处在我们实施许多技术的边缘,我会告诉你,男人,就像做分布式计数一样。
在1毫秒之内,拥有所有的服务器,比如数据,这是一种痛苦,你知道,当你尝试在所有基础设施中同步每秒的请求数时,在一个流行的过程中,对吗? 嗯,我想,我想你想利用它的东西。
Richard Yew:所以,不要只拥有一个中央大脑,比如,在您的集中式体系结构中的逻辑。 开始的时候可能就像人类一样把它分开,人类的大脑是技术上分布式的架构。 你有你的大脑,你有你的蜥蜴大脑。 猜猜猜什么? 因为当你触摸到热的东西时,你就没有时间做出反应。
Richard Yew:如果这些事情必须经过一个中央大脑。 你必须在你拉回之前烧伤自己,对吧? 这就是为什么开始思考什么是新的架构设计。 也许您不是在集中式进行机器学习和培训,而是在边缘进行推理,然后在集中式地点进行培训。
再说一次,它回到了喜欢。 从某种意义上说,您实际上是在减少漏洞,并从安全角度使整个系统更加强大。
Michael Grimshaw:是的。 是的,这件事很好地说明了我们刚才谈论的分层是因为我们从集中式的,嗯,或者我们谈论的免疫学,而从集中式的方法,嗯,嗯,
你,如果当你受到攻击,你确实被当铺了,那么,数据量,或者,或者,或者你的曝光量是非常有限的,所以它不是一个完整的,完整的布尔值,嗯,我是受保护的还是我不受保护的? 当一切都集中起来时。 好的。 如果他们在中并且能够访问数据,他们将能够访问数据,使其分布。
好的。 也许是一个区域,一个子集或一个子系统。 嗯,攻击者可以利用零天或任何时间进入,但他们没有您的整个系统。 这也是一个弹性的东西因为你不会失去你的整个大脑皮层在一个瞬间。
Richard Yew:顺便说一句,Lindsay bot只是检查我的事实,嗯,我猜我用了一个不好的比喻。 嗯,我猜人类是,我猜我们没有大脑和其他地方,但我应该有,我应该说是章鱼。 章鱼就像大脑和所有的手臂一样。 是的。 也就是说,这是一个真正的分布式体系结构。
地理定位–我们在哪里拦截最多的攻击?
Tom Gorup:没错,没错。 好极了。 因此,沿着分布式体系结构的路线前进,可能会在这里稍微提高合规性。 其中一个我以为是的统计数据。 这对我来说很有趣,至少在纸上看到,我在看地理位置。 那么,我们在哪里阻止来自前五大国家/地区的攻击?
好的。 我得到了前五名的国家是我们,法国,德国,俄罗斯和车臣。 我认为这里非常有趣的是,值得知道的是,有很多APT已经用完了中国。 他们不在名单上。 不在名单上,当我们考虑地理位置时,我认为这是一个有趣的地方。
我想很多人都转向地理围栏。 嘿,让我锁定在我知道可能受到攻击的国家/地区,但占26%。 头号讨厌的是来自美国。 “那你说什么?” 我还认为我也从合规性的角度考虑这一点。 2023年,2024年,地理围栏是怎样的,这就是我们目前所处的位置。
Richard Yew: 我的意思是,我知道我们有,喜欢每一位客户,当我们加入公司时,我们谈论出口管制,我们必须,喜欢,做,喜欢,喜欢那些控制,比如地理围栏,我觉得有些事情,一些要求需要重新审视,因为我知道这可能不是每个人都想听到的,特别是如果你运行GRC,如果我给你头痛,我会提前道歉,但我认为我们现在已经处于一个时代,每个人都需要使用VPN和一切,对吗? 随时随地启动虚拟机非常简单。 就像,我记得去年我们看到Black Hat时,我们看到的是ISP之类的分发版,用于匿名苏丹DDoS攻击,对吧?
Richard Yew:他们使用的是托管提供商。 无处不在。 我们知道他们来自哪里,就像他们来自这个特定的国家,东欧,你知道,这就是组织所在的地方,对吧? 但是,攻击来自任何地方,就像现在一样。 那么,你会不会用Joe Fencing China来阻止一个中国黑客? 这是现在的工作吗? 对吗?
Michael Grimshaw:不,但你是绝对正确的。 而且,中国历史上是众所周知的使用这种非常非常接近的VPN的方法,而且真的混淆了攻击的起源,嗯,很明显,在俄罗斯,他们使用了这么多本土的东西,你知道,几乎是国家,几乎鼓励俄罗斯的个体行动者参与其中。
中国的指挥和控制结构比我们说暴徒,或者,这个,这个,这个,你看到像俄罗斯,或者柴郡这样的东西是分散的。 恰恰如此。 嗯,电话好。 “嗯,是的,还有理查德,我绝对认为你是对的。 我们确实需要重新审视这一点,但会有客户,也会有细分市场。
和具有监管要求的垂直市场。 所以,其中一个你不会弄错的是国外资产控制办公室, OFAT。 这就是地理围栏的地方,特别是与任何一个金融服务业,银行业一样,确保你的银行业务或金融服务不适用于朝鲜,比如伊朗和名单上的其他地方。
地理围栏仍然很重要,特别是在法规要求方面。 我们需要重新审视这些问题。 我们需要,嗯,事实上,这个,最近在乌克兰发现的,嗯,嗯,呃,呃,有人说,俄罗斯堡垒,而[00:39:00]星际链接使用地理定位。 为了防止它在俄罗斯被使用,俄罗斯的士兵和操作员都在使用它,呃,从其他国家采购,在乌克兰被占领土上。
这份清单是关于双重用途的很长一段时间。 双重用途材料,这类材料可以用于民用和军事用途,以及这类材料通常是如何从第三方国家采购的,这里的情况也是一样的,但仍然存在着绝对严格的监管规定。 有些客户必须处理或地理围栏。
Richard Yew:你是对的。 这只是一场军备竞赛。 我认为问题在于,当我们讨论分布式架构时,我们讨论了客户使用分布式架构保护我们的重要性。 但就像Mike和我所说的那样,攻击者都在使用分布式体系结构。
Richard Yew:我的意思是,他们很有趣,这是DDoS的全部要点。 对吗? 我的意思是,这就是D的来源。
Tom Gorup:是的,这是好的。 你知道,我很失望,我们的时间已经用完了,因为我认为我们可能至少可以再花20分钟来讨论这个话题。
最终想法和建议
汤姆·戈鲁普:但既然我们正在跑一段时间,我很想听到关于这份报告的想法,想想我们在这里谈论的一些数据点。 从应用程序架构到合规性,地理围栏,整个游戏范围。 我喜欢听到你们的想法,并向观众推荐。
比如,我们应该关注什么? 他们如何才能更好地保护自己?
Michael Grimshaw:是的,我喜欢这份报告。 你知道,我想把它带回来,谈谈报告。 我们已经谈论了很多事情,但其中一件事,也许这是因为我在经历。 现在PCI审计是我最喜欢这份报告的其中一件事,就是我刚刚想到的两件事,这个报告和这些方法有助于提高您的安全性,特别是PCI的合规性。 PCI的其中一项要求是建立一个流程,使用可靠的外部信息来源来识别安全漏洞安全漏洞,并分配风险等级。 这份报告没有给出完全的CVE,但这又是对审核方法进行分层的一部分。我想,我喜欢这样的报告,其中可能包括操作系统漏洞的细节,或者像在后台的漏洞数据库一样左移。
Michael Grimshaw:一方面能够为我们的审计员提供一个整体情况,另一方面,PCI的另一个要求是确保您和我只专注于PCI。 ISO SOCK到一堆其他制度。 但另一件事是,让您的员工接受培训并了解最新的安全形势以及如何防止这种情况非常重要。
是的,您每年都会进行培训。 你知道,你需要做的培训当某人被雇佣。 好的。 在那之后的每一年,但像这样的报告,我绝对会通过我的每一个员工和整个公司来提高安全意识,帮助他们遵守法规,帮助保护您的安全。 我是一个大粉丝。
汤姆·戈鲁普:这是一个很好的建议。 我喜欢那个。 “怎么样?
理查德·尤:我肯定会说,有时候能见度是非常重要的。 我会说让事情变得更简单,对吧? 在所有应用程序中拥有这种可见性是很好的,至少我们谈论的是面向公众的应用程序,因为我们不会查看管理上的所有端点,比如笔记本电脑和Mac,但至少我们可以看到进出的情况,因为我坚信,对于进出的所有东西,比如面向互联网的一切,您需要有一个单一的视图窗格。
就像我们讨论的每一个HTTP请求一样,每个外部请求,包括网络内外的请求都需要编目,并且很好。 例如,如果它们都被收集起来,并且能够在我们这里谈到的统一观点下进行报告,我认为这也将有助于促进您的合规性,尤其是在提供证据等方面
So. 好的。 再说一次,可见性很重要,对吧? 你知道,如果你看看像NIST安全框架这样的三个,实际上是五个阶段,对吧? 我的意思是,在最左边,只有一个像预防这样的文本,然后你必须回应,对吧? 但是,你知道,有能力有可见性,检测是非常重要的。
您无法缓解所看到的内容。
汤姆·葛鲁普:是的。 我总是将安全态势,可见性,暴露和威胁等同起来。 我无法保护我看不到的东西。 我需要了解我的弱点在哪里,我需要了解我是如何受到攻击的。 这是三个真正汇集在一起来定义您的安全态势的方法。
和其他公司的人分享这件事也有点有趣。 我们在报告中深入探讨了目录遍历,这实际上几乎是当今在互联网上仍然非常突出的头号攻击类型。
现在我们正在防范它,但这并不意味着应用程序不容易受到它的攻击。 确保您的工程师或开发人员了解如何对您使用此攻击是确保您从头开始构建安全代码的绝佳方法。 我喜欢我们今天讨论的是应用程序架构,不仅仅是您的应用程序架构,还包括您的业务及其运作方式。
因此,在使用这些信息通知您的安全工具时,对吧? 那么,您的应用程序体系结构中我希望看到哪些类型的请求? 哪些类型的MIME类型,但我的企业能够在哪里操作和应用这些类型,并将所有这些作为控制措施的一部分放入您的安全工具?
所以我想这份报告让我感到兴奋的不仅仅是看数据,还需要花时间思考,比如,我如何用这些信息来思考这个世界,只是稍微不同一点,也许用这些信息来告诉我 安全工具 为了实施更多的控制,限制,防止我的业务爆发。 您知道,最后,我们要做的就是保护业务,让其自由地为客户赚钱并为客户带来价值。 很好的员工 这就是我们今天所拥有的一切。 感谢大家加入ThreatTank。
如果您想随时掌握Edgio的最新威胁情报,请跳转到EDG.io。 这就是EDG DOT IO和订阅,您知道,您将获得更多的英特尔产品。 他说着,伸出手儿抓住我渗着黏液的鸡巴。 我再次觉得,我们至少可以再走45分钟。 真棒。
汤姆·戈鲁普:我真的很感激你们两人的时间。
Richard Yew:是的。 是的。 感谢您的邀请。 感谢您的积极参与和讨论。
Michael Grimshaw:谢谢您的宝贵信息,Tom。 是的。 欣赏它。 和你聊天总是很有趣,理查德。 杰出
Richard Yew:同样,男人。 你们再见。
汤姆·戈鲁普:到下一次。