ThreatTank簡介–第2集:季度攻擊趨勢
Tom Gorup: 歡迎使用ThreatTank,這是一個播客,介紹最新的威脅情報。 威脅響應和對全球安全形勢的見解。 我是您的主持人,Edgio安全服務副總裁Tom Gorup,今天與我一起的還有Edgio安全解決方案高級產品管理總監Richard Yew和Edgio平臺工程總監Michael Grimshaw。
Tom Gorup: 歡迎,Richard,Michael。
理查德·尤: 感謝讓我再次來到這裏。
湯姆·戈魯普: 這可能成爲一個反覆出現的主題,理查德。 所以,上次我提出了一個破冰天荒的問題,我覺得我們必須堅持下去,但找到一個並不容易,對吧?
因爲我認爲我們上次設定了一個堅實的標準。 所以,這是我的破冰球。 而對於它的價值,我也沒有給時間思考。 所以,我會加入這個。 但這是一個問題。 我要先問你,Michael。 我要把你放在現場。 如果你不得不被困在一個完整的一個月的電視節目,你會選擇什麼節目,爲什麼?
Michael Grimshaw: 我不得不承認,第一件事是我腦海中浮現的,我甚至在第一次跑步時都沒有活着,這可能是吉里根島,因爲在熱帶島嶼上花上整整一個月的時間。 即使你不得不用教授來找出如何獲得自來水或其他類似的東西。 一個很好的熱帶島嶼,一個月聽起來不太糟糕
湯姆·戈魯普: 答案是多麼的好。 我喜歡它。 不,我很長一段時間沒有見過吉里根島,我甚至不會大聲說,自從我看了很長一段時間。 這是一個很好的答案。 你呢?
Richard Yew: 哇,這是一件艱難的事情。 你知道,我一直在思考,我的意思是我說,像其他有豬的電視節目一樣,我知道我會保持同樣的豬主題,但我想我會停止這種表演。
我想對我來說,像《權力的手遊戲》,像,我的意思是,我會被困在《權力的遊戲》裏,但也許我會得到第一天或最後一天,誰知道? 但我的意思是,讓我們來處理這個問題。
湯姆·戈魯普: 那是這樣。 是的。 這是勇敢的。
李察尤: 是的。 這是非常勇敢的。 是的。 我很大膽,男人。
理查德·尤: 我可能只穿着黑色的衣服,站在牆上看會發生什麼。
邁克爾·格里姆肖: 湯姆,讓我也給你一個反。 任何權力的遊戲和任何殭屍主題的電影節目都將是我的名單的一部分。
湯姆·戈魯普: 這是一個很好的答案。 你想活下去,對吧? 這是公平的。
理查德,男人,大膽。 權力的遊戲。 所以,我上週生病了,不幸的是。 我有COVID,這是悲慘的。 但我確實趕上了一些老房子重新執行。 所以我想我會選擇House。 我絕對想坐在一些診斷,可能說它不是狼瘡。 我只需要說一次。
這並不是盧普斯。 它從來沒有流蘇。 這將是我一個月的表演。 我認爲這是一個好時機,至少我知道我的生存率會比理查德在那裏的選擇高得多。
湯姆·戈魯普: 好的。 所以我們在這裏不是要談論電視節目。
我們來這裏討論Edgio即將推出的一份新趨勢報告,我對此感到非常興奮。 我正在拍攝第4季度的快照,並關注各種趨勢。 這是很長一段時間以來第一次,我想說,這是一種復興的報告。
我們涵蓋了各種數據點,包括請求方法,隨時間變化的趨勢,MIME類型,各種地理定位, 我今天帶你們來這裏討論一下,因爲我認爲從這種方式來看數據有很多有趣的見解,我認爲有時你可以看數據集。
你喜歡,那麼,什麼? 怎麼了? 爲什麼? 爲什麼我甚至在看這件事呢? 我們如何查看這些資訊並從中推斷出一些價值? 然後我非常興奮地得到你的兩個工作. 見解。 那麼,我們想到的是一些高級主題類別,這些主題會再次對您對應用程式體系結構的看法感興趣,對吧?
應用程式架構–您觀察到的重要內容
Tom Gorup: 如果我們看這些,這份報告將考慮我們,我們的架構,我們的應用程式 我們如何利用我們的工具,根據我們的應用程式架構以及某些合規性正確配置。 我們如何使用這些資訊以不同的方式重新思考我們的應用程式。
首先,我認爲應用程式架構。 在這裏得到一個參考框架。 此報告中有兩個數據點。 查看請求方法的思維類型,還有更多. 我們絕對可以自由地,你們知道,你們看到了報告可以訪問。 你可以拉你在那裏的任何東西。
但首先,什麼? 爲什麼重要的要看? 這些類型的東西,如請求方法在頭腦類型. 我的意思是,當我第一次看報告時,就像90%以上的要求獲得帖子的請求。 什麼? 歡迎使用網際網路,對吧? 例如,爲什麼以這種方式查看數據很重要? “你說什麼?
邁克爾·格里姆肖: 不,我會指出,我腦海中出現的一些重要的事情是你觀察到的事情,你看的事情。 因此,我們可以在一邊討論架構和構建類似新的Greenfield應用程式和所有有關的架構。
但我首先會得到的是這類報告和類似數據和資訊的力量,顯然威脅情報。 我非常相信您的架構是圍繞您的合規性,安全性需求和非功能性需求來執行的,您知道,您的應用程式的業務邏輯不是一個小池, 但是,您只需專注於業務邏輯的時代已經過去,而一件事就是,您必須關注多個方面,例如如何調整您的觀察能力,如何採用更先進的基礎設施和平臺方法,如重新保存和輪換憑證。
我可以說,我們可以談論幾天,但它的最大的事情是擁有可操作的情報,以知道你正在尋找什麼. 所以從應用程式,從你提到的工具,這是我首先要提到的事情之一,瞭解你在哪裏,你知道什麼是矢量。 什麼狀態演員利用什麼腳本兒童和中間的每個人都在利用,需要通知你你你正在看什麼你知道,無論你在做什麼,每季度,你知道掃描,希望你做的比只是每季度的掃描顯然更多。 根據您的合規性配置文件,您需要至少每季度執行一次,但希望您轉向更多的DevOps轉移正確模型,在這種模型中,您可以持續掃描或不斷監控構建和移動性的安全性。
所以我要指出的第一件事就是這一數據。 此資訊非常重要。 您需要仔細觀察什麼,需要調整您的可觀察性堆棧以查找您的安全可觀察性堆棧,然後在輪班時反向觀察,對吧? 它關注您可以在代碼中引入的更多內容和更多潛在漏洞,以確保您不會這樣做。
你必須對你的地平線有一隻眼睛。 只要我們有其中一次談話,你就會聽到很多類似的聲音, 但是如果你正在跑步,如果你正在進行馬拉松,或者你正在進行越野跑步,或者像這樣的事情,你會把目光放在地平線上,這樣你就必須在戰術上轉移之後。 因爲一個坑洞,你知道一條河流或類似的東西。 你不會忘記你正在走向的地平線。
李察尤: 我的意思是,另一種方式,就像你看這個,對吧?
同樣,當涉及到應用程式架構時,你知道,當我看數據時,就像Tom說的,大多數的請求都可以被強制實施,但你知道,這是網際網路,對嗎? 但我認爲,你要分解的一個問題是,當你看數據時,比如有多少請求,因爲它告訴你這樣的故事,我們得到的內容的對話是什麼,對吧?
顯然。 如果您正在執行大量應用程式空間,您就知道,尤其是,假設您有一個水療中心,對吧? 作爲您的主要架構,對吧? 你會看到很多帖子。 你會看到很多不同的方法,對嗎? 如果你拿了很多用戶生成的內容,你可能會看到很多的帖子,並說,對嗎? 所以,這是一個很好的明細。 而且,鑑於這是安全數據,這意味着這些數據來自Web應用程式防火牆,對嗎? 它確實能看到我們檢查的有效負載中有多少實際跳電。
所以在這種情況下,我很多次得到正確的答案。 但你也看到了大量的這些東西來自帖子因爲這是有效載荷的地方,所以它是非常的,它真正地講述了一個關於表面的故事。 攻擊的表面積,它告訴你,如果你只是看看你的請求方法分佈,對,任何接收任何端點的東西,對,你會有一個更大的表面積,因爲你知道,帖子就像 我用一個比喻,人們告訴我這是愚蠢的,它是在房子裏,就像是你的垃圾和廁所,你知道,你的,你的,你的,你的,你的,你的,你的,你的, 有人,就像給你一個有效載荷,你知道我在說什麼?
MIME類型
湯姆·戈魯普: 我喜歡你說的,雖然,像只是請求方法開始畫一張圖片。 請講述您的應用程式,應用程式的使用方式,攻擊方式以及可能易受攻擊的地方的故事。 它給你一個很好的視角。 它也會引領到MIME類型。
我認爲其中一件事很有趣,我很想讓你們的人對此有想法,我們看到的是,這是一個很大的部分,其中76%是這樣的。 同樣,此WAF活動是應用程式JSON MIME類型。 所以,有很多的預防措施。 JSON請求類型,它告訴我們整個網際網路,應用程式的開發和構建如何?
李察尤: 我的意思是,我先從這開始。 就像它基本上告訴你垃圾來自哪裏,對嗎? 從某種意義上講,JSON是有道理的,因爲像大多數API端點一樣, 嗯,就像休閒,甚至不是休閒,像GraphQL,你叫它,對吧? 包含類似JSON有效負載。 嗯,對。 所以這是與課程相同的,在我看來,對於很多組織來說,這不應該是令人驚訝的,對吧?
顯然,您也會看到類似HTML內容類型的有效負載,呃,您會看到類似XML的大量負載,對吧? 那麼,當涉及到設計和安全機制時,您肯定想要一件事,對吧? 您不想只是看JSON,但您只想看一下,因爲我看過某些安全產品,他們只能解析說XML。
他們無法解析JSON。 就像,如果無法解析JSON,就無法查看有效負載。 所以你想要確保你擁有JSON的能力。 你必須確保你的解析器達到最快的速度。 我是說什麼? 因爲大多數被繞過,對WAV是喜歡利用解析器。
因此他們通過特殊編碼格式或喜歡發送有效負載,他們會以類似的格式發送。 即使只是有時只是改變. 這是一個JSON,但它將格式更改爲多部分,無論什麼。 Web停止了分析,因爲它只是看着標題。 哦,這不是JSON。 所以我不是在解析它。
那麼這就是如何讓有效負載滑過的方式。 所以這絕對是你想要的東西,做筆記,哇, JSON ,它是最受歡迎的。 你也想看看哪些是更模糊的。 我想指出的那些和項目,但我將保存它以備將來使用。
邁克爾·格里姆肖: 我認爲理查德提出了一個偉大的觀點,它只是一個X和沒有解析器不涵蓋它在現代的網路開發時代。 我並不驚訝應用程式JSON和JSON有效負載代表如此大的百分比,因爲在現代Web開發中,JSON是世界上的,你知道,它甚至不僅僅是Web開發。
例如,您看一下有人應該雲端運算。 嗯,無論您在談論CloudFormation,AWS和其他人,您都知道,讓我使用AWS,因爲AWS是最大的。 這不是很久以前,四到五年,也許更多的年前。 我不記得確切的日期,但CloudFormation完全是XML,然後移至以JSON爲基礎,完全接管。
這就是Web開發基礎設施JSON。 是的,你必須能夠在JSON和XML中進行解析,但理查德的觀點甚至更爲深奧,離羣值是你必須能夠解析所有數據。
李察尤: 是的。 談到離羣值時,我總是看較小的數據點,例如1%或0.5%,或者報告中突出的是我們有0.14。 因此0.14%的類似跟蹤數據量。 其他非特徵資訊,對嗎? 但聽起來可能很奇怪,但當你談論的是每月數十億個數據點,我的意思是,佔十億數據點的0.14%,這是相當多的。 其中一些內容類型就像圖片一樣。 JavaScript和其他人,就像你過去認爲,哦,這些是靜態內容,你知道,這些內容是高度暫存的。 爲什麼要將WAV放在您的JPEG前?
你知道,爲什麼你有很多圖像,對嗎? 你是從事什麼工作? 好吧,讓我告訴你,對吧? 有這樣的東西叫做安全的橫向移動,對嗎? 就像是這些JPEG。 例如,除非您將它們放在存儲中,例如邊緣,正確的網路存儲,並且只有100%的服務,否則這些請求中的任何請求都會返回到您的Web層,就像在您的環境中一樣, 即使只有0.1%的請求返回到您的源站,這意味着攻擊者可以以標題,cookie,cookie,查詢字元串,參數, 等等,從請求到JPEG文件,然後將這些內容發送到後端。 如果您使用的是相同的後端,例如,您的,您的HTML和JPEG,如JPEG,對吧?
你可能很容易側向移動,因爲他們說,嘿,你知道,這只是圖像域。 比如,也許您不需要保護。 很多人都喜歡,爲什麼我會使用WAF? “你知道,你是我的女人,你知道嗎?” 再一次,這是值得注意的。
你總是想找到缺陷,因爲作爲一個防守者,作爲一個藍色的團隊,你必須始終正確。 攻擊者只需要一次正確,對嗎? 你知道,誰知道,就像第一個JSON請求中的第一個有效負載,碰巧被轉發到源創建後門. 這可能會發生。
湯姆·戈魯普: 是的。 100%我喜歡的是,你要在哪裏,也就是,它首先談到繪畫圖片或講述一個關於你的應用的故事。 因此,充分了解您的應用的架構。 然後,您在哪裏應用控件?
因爲您認爲最不易受攻擊的地方可能是當我們看到這種方法時,這也是報告中的一種方法。 但是,當我們看一下已緩解的攻擊類別時,45%實際上是訪問控制規則,這意味着可能會防止POST請求。
如果您的應用不接受發佈,例如限制威脅環境,通過應用訪問控制規則,限制攻擊者可以在您的應用程式中戳和生產的位置。 如果您不接受申請,Jason,請將其封鎖。 對。 防止它。 沒有理由允許這種情況在第一位發生。
然後你帶了一個很好的相似點,看看離羣值的類型,應用程式的較小部分。 我喜歡那裏的思考過程。 因此,讓我們沿着這些線程繼續拉一點。 因此,45%是訪問控制規則,我們阻止了37%。 嗯,我們是受管理的規則集。
這就是您所有的威脅情報和跨站點腳本的稅務。 然後19%是自定義規則,看到了這一點,並考慮到了類似的層防禦。 這就是我在這裏所想的,當請求進入時,他們會經過你需要考慮的篩選器,對吧?
分層防禦方法
Tom Gorup: 當您在應用程式中部署WAF或安全控件時,您需要了解其架構並調整安全工具以滿足這一要求。 爲了再次限制您的威脅環境,但您還需要層,對吧?
Michael Grimshaw: 您需要層。 我想做的事情之一,讓我們來談談分層, 但我認爲這就是我們在這裏所談論的,只是讓我們清楚地瞭解了您的開發,功能開發人員,SDLC,架構師之間反饋循環的重要性。 而您的安全團隊,因爲如果您的安全團隊,WAF,SOC或任何飛行盲點,他們不知道,好吧,我們是否應該在這裏接受JSON有效負載?
我們不發佈帖子嗎? 我們做什麼? 那就是那個溝通,那個反饋循環嗎? 您可以節省資金,因爲FTE浪費時間,節省工具成本,只需在開發人員,架構師和您的以及您的安全團隊之間建立緊密的反饋循環,就能在世界上帶來不同的體驗。
理查德·尤: 當涉及到層面時,我總是說,不,我要提出元流行詞,你知道,像縱深防禦。 你知道,我真的認爲我們需要,我們必須有一種心態,它真的有秩序爲你的條款。 但也許我錯了。
也許有一個單層濾水器,你知道,他們正在使用花哨像椰子碳,無論什麼,你叫它。 對。 但通常情況下,當我們看證券時,對嗎? 沒有一層可以被認爲是魔法子彈。 例如,就因爲您擁有爬蟲程序管理並不意味着您希望爬蟲程序管理能夠捕獲應用程式中的所有內容,例如DDoS和帳戶接管。
每個機制都能一起工作。 和你試圖把它放在一起的方式,就像你知道的那樣。 好的。 儘可能高效。 就像,所以我們採用了45%的超額規則。 我喜歡把它稱爲ACL。 我的意思是,這只是ACL,對吧? ACL通常在我們的第一層執行。 這背後有一個原因,因爲它的執行成本很低。
這只是一堆像IP的人,國家,無論什麼. 呃,ASN,JA3簽名,對吧? 你把它們放在身後,因爲它是一個靜態簽名,任何違反這些簽名的東西。 你知道,我們馬上就會離開,就像我們是第二次次次毫秒,對吧? 它是我們的整個層,複數在亞毫秒內執行。
但你知道,就像你想擺脫它的垃圾,對嗎? 我曾經有一個夥伴在這個行業工作,就像他會告訴我的,對,這就是我們所謂的收縮的海斯塔克。 你想要接受一大堆類似的請求,對嗎? 然後你試圖找到攻擊。
這就像你試圖找到一個帶有該錯誤有效負載的HTTP請求,從而導致漏洞。 所以你正在尋找一個需要一個混蛋. 因此,能夠快速串連haystack,儘可能多地從前層清除這些垃圾,以便最複雜的層可以處理。
通過附加數據,什麼會再次非常有用,這可以追溯到我們不僅僅是在執行外圍防禦,對吧? 這只是因爲你過了,你就破了牆。 這並不意味着有,你應該有瞭望塔,對嗎? 事實上,整個縱深防禦的概念是一種軍事戰略,來自羅馬人,因爲他們擴大了他們的領土,使它成爲一個帝國。
不可能只是圍在牆上,並確保你只依靠其他邊界來擊敗攻擊。 這就是爲什麼。 我們有分層防禦。
邁克爾·格里姆肖: 絕對的。 我想我們可能已經提到了這一點,我們在之前的討論中討論過這一點,Richard 我喜歡這裏的免疫學示例是如果你的健康依賴於無菌環境,你是一個死人。
你知道,這不是爲了避免,它不是爲了有一個鎖定的牆壁環境和它的一切在其無菌. 這是關於建立抗擾性。 唯一的方法就是你擺脫病原體的方法就是你培養他們的免疫力,而這需要一個分層的防禦分層方法。
就像你一樣。 是的,您需要最好的網路防火牆。 你知道,你確實需要一個強大的邊界。 但猜猜猜什麼? 這將被違反。 我的意思是,在國家行爲者的世界和整個世界所在的地方,可能是一種威脅。 有效地,您只需規劃一下邊界將被破壞。
所以一旦他們這樣做,下一層是什麼? 然後是下一層,然後是下一層。 然後,您如何監控這些類型的違規行爲,從而知道它們要發生什麼。 是的,這是必要的
分佈式體系結構
Tom Gorup: 這很有趣,出於某種原因,我們會思考分佈式架構如何發揮這種作用? 因爲我可以在這裏看到光譜的兩端。 你可能會看看它和風險,你正在增加蔓延,但你也可能. 呃,看看它,呃,帶來更多的價值。 將工作負載分佈到各個區域或位置,從而獲得更高的可用性。
“你說什麼?
邁克爾·格里姆肖: 絕對的。 我們生活在分佈式架構的世界中。 如果您擁有全球足跡,那麼。 你知道, 300多個點的存在在世界各地。 我們正處在大規模分佈式並行計算時代,而不僅僅是我們。 我的意思是,嗯,這可以追溯到20多年,但這是網路開發的本質。 Web基礎結構。 你必須假設你是分佈在一起的。 您正在並行執行,並在哪裏執行,讓針從安全,支援和成本站移動到這裏的第一件事是避免雪花,這也與合規性有關, 在這裏,我們將瞭解到,如果您執行的是大規模並行,大規模分佈式的,那麼您的基礎架構需要儘可能相似,並且在分佈式,分佈式的體系結構中存在儘可能多的差異。 嗯,嗯,一個,因爲當你與審計員交談時,你可以斷言,你可以證明。
邁克爾·格里姆肖: 是的,我們只需要真正的研究其中一個,因爲這是每一個cookie工具,你知道,我們必須看,你知道,你的審計員會對它進行抽樣。 他們不只是舉一個例子來執行。 你可以看看我們的任何全球存在點,他們基本上是完全相同的cookie切割器,一個接一個有助於安全.
因此,你的模型基本上與你的模型相同,你的圖層和你的圖層都在工作,並推出你的圖層,同時你的跟蹤,掃描和觀察也在工作。 就分佈式體系結構而言,這是我要談論的一件大事,我之所以提到,是因爲如果您身處大規模分佈式系統, 如果審計員能夠驗證和驗證,並且您可以斷言它們是正確的,則您的審計員不會希望對每一位審計員進行測試和審計。 完全相同的架構,它們是彼此的競爭對手。
湯姆·戈魯普: 說起來比做起來容易,對吧? 特別是在我們的方案中談論分佈式架構時,對嗎? 我們不是在談論部署來自某個位置的黃金映像的一大堆EC2實例。
我們談論的是硬體。 對。 在某種意義上。 您如何操作類似的內容?
邁克爾·格里姆肖: 這是一個很好的,很好的地方。 在這方面,它也採用多層方法來實現這一點。 不僅僅是安全性來自於您,您的採購和生命週期管理團隊,您還需要對此進行調整,因爲一個好例子,讓我獲得Kubernetes的原因就是一個很好的例子。
它是並行分佈的,不是全球分佈的,但您不會在全球執行Kubernetes羣集。 但是Kubernetes得到一個很好的例子就是你遇到問題在Kubernetes。 如果你有一大堆伺服器有不同的驅動程式或不同的,你知道,不同的Nick卡或不同的硬體,你基本上不能執行Kubernetes。
這就是爲什麼像我所說的那樣,與您的生命週期管理和採購團隊合作,使您的基礎設施商品化。 這是矛在矛尖上的尖上的尖。 您希望使您的硬體儘可能相似。 現在,讓我指出,我們最近在COVID期間遇到的一個巨大風險是我們發現的物流問題,全球分銷空間受到的巨大衝擊也使您所處的位置, 即使您在COVID之前執行商品化的cookie切割器硬體,但由於運輸,運輸和物流的衝擊而導致運輸延遲。
邁克爾·格里姆肖: 甚至能夠獲得相同類型的晶片組或類似的任何東西,它不僅僅是你,它是人,你從他們的供應商購買硬體,等等.. 這是一種巨大的變化,因此,第二層是您必須適應的,當您開始執行映像和在其上執行的實際軟體時,首先是您的虛擬機管理程序,操作系統或虛擬機管理程序?
這是下一層,即使它不是完全一致的下一層,但你想要儘可能接近那裏。 下一層是在映像和操作系統管理程序層中使其儘可能地切割和統一。 然後,使用類似的應用程式方法。
由於許多原因,您想要儘可能地使其標準化,以確保成本的安全性。
Richard Yew: 你知道,當涉及應用程式時,我會告訴你喜歡的。 對,你知道,有爭議,我知道這可能與流行的觀點相反,這可能有點反直覺,因爲我們正在考慮分佈良好的體系結構。
因此,我們從集中式軟伺服器,雲環境中獲取資訊,並且分佈在世界各地。 如果我告訴您分佈式架構實際上會使您的攻擊面更小,該怎麼辦? 聽起來有點奇怪。 這聽起來有點像,但想想這種方式,對嗎?
這就是爲什麼在您設計應用程式時非常重要的原因,尤其是我們談論的網站,對吧? 你不,設計和我發現一個常見的錯誤,這是邊界安全. 因此,如果我略爲偏離主題,我發現我看到了一些人,客戶,組織的錯誤,他們會根據集中式架構設計應用程式,然後嘗試在分佈式平臺(例如,CDN, 然後你必須創造很多優化,但就像,哦,什麼需要發運,你知道,事實後的邏輯,但你知道,現代,它被稱爲現代設計,對嗎?
它實際上是在設計應用程式時考慮到分佈式體系結構。 例如,您習慣於在集中位置處理大量邏輯。 您只需使用CDN來暫存JPEG和靜態文件等 但你如何運送一些邏輯?
比如,假設您只是舉一個非常簡單的例子,比如您的重定向,對吧? 您就像原來的集中式基礎架構將爲客戶重定向一樣。 如果您鏈接了數萬個重定向,該怎麼辦? 對。 嗯,你把這些邏輯移到邊緣怎麼樣?
你如何轉移這些東西? 通過這樣做,正確的,當我說攻擊面,對的,你是通過將這些邏輯轉移到邊緣來減少負載,你是通過減輕一些集中式(如體系結構)中的故障概率,你知道, 戶外安全是什麼CIA,對嗎?
Richard Yew: 我們談論的是可用性部分。 非常重要。 因此,我想說,通過移動其中的許多,包括安全機制。 因此,如果您能夠再次過濾,縮小邊界外邊緣的攻擊的震耳欲聾,那麼您就容易受到影響,集中化的安全漏洞較小,您知道,雲或類似的硬體,希望不會再存在了。
Richard Yew: 你們知道,2024年,但是硬體,但基本上我們稱之爲起源基礎設施,這非常重要。 我可以告訴你,你可以做的事情太多了,因爲我們顯然處於實施大量技術的邊緣,我會告訴你,男人,就像做分佈式計數一樣。
在1毫秒內,所有的伺服器,例如,數據, 您知道,當您嘗試在所有基礎設施中同步每秒請求數時,這是一個難題,呃,在一個流行的過程中,對吧? 我想,我想,你要做什麼?”
Richard Yew: 所以,所以,不要只是在集中式架構中有一個中央大腦,就像邏輯一樣。 開始也許就像人類一樣把它分割開來,人類大腦是技術上分佈的架構。 你有你的大腦,你有你的蜥蜴的大腦。 猜猜猜什麼? 因爲,當你觸摸一些熱的東西,你不會有時間做出反應。
理查德·尤: 如果這些東西必須通過中央大腦。 你必須先燒掉自己,然後再拉回來,對吧? 這就是爲什麼這樣,開始思考什麼是新的架構設計。 也許您不是在集中進行機器學習和培訓以及所有內容,而是在邊緣進行推理,然後在集中位置進行培訓。
再一次,它回到喜歡。 從某種意義上講,您實際上是在減少漏洞,並從安全的角度來看使整個系統更加強大。
邁克爾·格里姆肖: 是的。 是的,這些東西很好地說明了我們剛纔所說的分層是因爲從集中化的,嗯,嗯,或者我們在免疫學中所說的,從集中化的,嗯,嗯。
你,如果你受到攻擊,你確實被抓獲,嗯,,數據量,或者,或者,你的曝光是非常有限的,所以它不是一個完整的,完全的布爾,嗯,我是受到保護還是我不是嗎? 當一切都集中在一起時。 好的。 如果他們在中並且有權訪問數據,他們將有權訪問數據,使其分佈。
好的。 也許是一個區域或一個子集或一個子系統。 嗯,嗯,攻擊者可以利用零天或任何時間進入,但他們沒有整個系統。 這也是一件恢復力的事情,因爲你不會失去你的整個大腦皮層一次下降。
Richard Yew: 順便說一句,Lindsay bot只是事實檢查了我,呃,我想我用了一個壞的比喻。 嗯,我想,人是,我想我們,我們沒有大腦和其他地方,但我應該有,我應該說是章魚。 章魚有像大腦和所有的手臂。 是的。 也就是說,這是一個真正的分佈式體系結構。
地理位置–我們在哪裏阻止最多的攻擊?
湯姆·戈魯普: 是的,這是公平的。 好極了。 因此,保持分佈式體系結構的路線,也許在這裏會有一點合規性。 我以爲是其中一個統計數據。 這對我來說是相當有趣的,至少在紙上看到,我正在看地理定位。 那麼,我們在哪裏阻止來自五大國家/地區的攻擊?
好的。 我得到了這五個前五個國家是我們,法國,德國,俄羅斯和車臣。 我認爲這裏超級有趣的是,它值得知道有很多APT在中國用完. 他們不在名單上。 我認爲這是一種有趣的,當我們考慮到地理定位。
我認爲很多人轉向地理圍欄。 嘿,讓我鎖定在我知道可能會受到攻擊的國家,但26%。 那裏的第一討厭者來自美國。 喜歡,這告訴你的傢伙什麼? 我還認爲我也從合規性的角度考慮這一點。 地理圍欄是怎樣的,你知道,2023年,2024年,這就是我們現在所處的位置。
YRichard: 我的意思是,我的觀點,對,我知道我們有,像每個客戶一樣,當我們上機時,我們談論出口管制,我們必須像,做,喜歡,喜歡, 比如地理圍欄,我覺得有些東西,有些要求需要重新審視,因爲我知道這可能不是每個人都想聽到的東西,特別是如果你執行GRC,如果我給你頭痛,我會提前道歉。 但我認爲我們現在正處於一個日日日日日日日日夜夜,每個人都可以使用VPN和所有東西,對吧? 輕鬆地在任何地方啓動虛擬機。 就像,我記得去年我們在研究黑帽時,我們在研究類似ISP的匿名蘇丹DDoS攻擊的發佈,對吧?
Richard Yew: 他們使用的是託管提供商。 無處不在。 我們知道他們來自哪裏,就像他們來自這個特定國家,東歐,你知道,就像這是組織的所在地,對嗎? 但是,那麼攻擊來自任何地方,像現在一樣。 這就像是,你然後用Joe擊劍中國來阻止一個中國黑客嗎? 這種做法在今天是否有效? 對嗎?
邁克爾·格里姆肖: 不,但你是絕對正確的。 而且,中國在歷史上以使用非常非常接近VPN而聞名, 而且真的混淆了攻擊的起源,這顯然是俄羅斯,他們使用了如此多的本土,你知道,幾乎是國家,幾乎鼓勵俄羅斯的個別演員參與其中。
中國的指揮和控制結構相當少,我們應該說暴徒,或者,或者,嗯,定向,你看到像俄羅斯,或,或,柴郡和類似的事情是分散的。 完全正確。 嗯,好電話。 嗯,但是的,和理查德,我絕對認爲你是正確的。 我們確實需要重新審視這一點,但會有客戶,也會有細分市場。
以及確實有法規要求的垂直市場。 因此,您不會遇到的最大問題之一是外國資產控制辦公室,OFAT。 這就是地理圍欄的地方,特別是任何金融服務,銀行業,嗯,要確保,你知道, 確保您的銀行或金融服務不適用於北韓,伊朗和列表上的其他地方。
地理圍欄仍然很重要,特別是在監管要求方面。 我們需要重新討論這些問題。 而且,我們需要,事實上, 這剛剛出現在烏克蘭,嗯,嗯,它被稱爲,俄羅斯堡壘,而[00:39:00] Starlink使用地理定位。 爲了防止它在俄羅斯被使用,俄羅斯營運俄羅斯士兵和營運者正在利用它,呃,來自其他國家,在被佔領的烏克蘭領土。
該列表很長一段關於雙重用途。 雙重用途材料,例如可用於民用和軍事目的的材料,以及如何經常從第三方國家/地區採購的材料,這種情況在這裏也是一樣的,但仍然存在着絕對嚴格的監管線路。 有些客戶不得不處理或地理圍欄非常多。
Richard Yew: 你是對的。 這只是一場軍備競賽。 我認爲重點是,在我們談論分佈式架構時,我們討論了客戶使用分佈式架構來保護我們的重要性。 但就像Mike和我所說的那樣,兩個攻擊者都在使用分佈式架構。
Richard Yew: 我的意思是,他們是,嗯,我的意思是,這有點有趣,這是DDoS的整個要點。 對嗎? 我的意思是,這就是D的來源。
湯姆·戈魯普: 是的,這是好的。 你知道,我很失望,我們的時間不夠,因爲我認爲我們可以花至少20分鐘單獨討論這個話題。
最後的想法和建議
Tom Gorup: 但是,由於我們正在執行一段時間,我很想聽到這樣的消息,你知道,我想着這份報告,思考我們在這裏討論的一些數據點。 從應用程式架構到合規性,地理圍欄,整個遊戲。 我喜歡聽你的想法和建議聽衆.
比如,我們應該看什麼? 他們如何更好地保護自己?
邁克爾·格里姆肖: 是的,我喜歡這篇報道。 我想把它帶回來,談談報告。 我們已經談論了很多事情,但其中一個事情,也許這是因爲我正在經歷. 我喜歡這份報告的其中一件事就是我剛纔想到的兩件事,即本報告和這些方法有助於您的安全性,尤其是您的合規性地位在PCI中。 PCI的其中一項要求是建立一個程序,使用信譽良好的外部資訊來源識別安全漏洞,並指定風險等級。 現在,這份報告並沒有提供確切的CVE,但這也是對您的審覈方法進行分層的一部分,您知道,我很喜歡這樣的報告,其中可能包含操作系統漏洞的詳細資訊,或是在該背景中像漏洞數據庫那樣移位。
Michael Grimshaw: 一方面能夠爲我們的審計員整理一張完整的照片,另一方面,PCI的另一項要求是確保您和我都專注於PCI。 ISO襪子到了一大堆其他制度。 但另一件事是,讓您的員工接受培訓並瞭解安全形勢以及如何防止這種情況非常重要。
是的,您每年都要進行培訓。 你知道,你需要做培訓當有人被僱用. 好的。 每年之後,但這樣的報告,我絕對會通過每一位員工和整個公司來提高安全意識,幫助他們遵守法規,幫助您提高安全性。 我是一個很大的粉絲。
湯姆·戈魯普: 這是很好的建議。 我喜歡這個。 “那你呢?
Richard Yew: 我一定會說,有時候有能見度是非常重要的。 我想說讓事情變得更容易,對吧? 如果能夠對所有應用程式(至少我們所說的面向公共應用程式)進行這種可見性,這是件好事,因爲我們不會在管理層中查看您的所有端點,例如您的筆記型電腦電腦和Mac, 但至少我們可以看到什麼是內外,因爲我堅信,你需要有一個單一的視圖,基本上所有的東西,如網際網路面對這裏進來和離開這裏.
就像我們談論的每個HTTP請求一樣,每個外部請求,無論是網路內外,都需要進行編目,並且做得很好。 就像,如果所有這些資訊都收集起來,並且能夠像我們在這裏所討論的那樣在合併視圖下進行報告,我認爲這也將有助於促進您的合規性,尤其是在提供證據等方面
So. 好的。 同樣,可見性很重要,對吧? 你知道,如果你看看三個階段,實際上是像NIST安全框架的五個階段,對吧? 我的意思是,在最左邊,只有一個文本像preventions ,然後你必須作出反應,對嗎? 但是,您知道,具有可見性的能力,檢測是非常重要的。
您無法緩解所看到的內容。
Tom Gorup: 是的。 我總是將安全態勢,可見性,暴露和威脅等同起來。 我無法保護我看不到的東西。 我需要了解我的弱點在哪裏,我需要了解我是如何受到攻擊的。 其中三個是真正的聯合起來定義您的安全態勢。
與企業中的其他人分享這一點也很有趣。 我們在報告中所做的深入研究之一,以及深入瞭解目錄遍歷,這實際上是我們今天在網際網路上仍然非常突出的第一類攻擊。
現在我們正在防範這種情況,但這並不意味着應用程式不易受到這種情況的影響。 確保您的工程師或開發人員瞭解如何利用此攻擊來攻擊您,這是確保您從頭開始構建安全代碼的好方法。 我喜歡今天談論的是應用程式架構,不僅是您的應用程式架構,還包括您的業務以及它的營運方式。
那麼,使用這些工具來通知您的安全工具,對吧? 因此,您的應用程式體系結構具有我希望看到的請求類型? 哪些類型的MIME類型,以及我的企業在哪裏能夠營運和應用這些類型,並將這些作爲控件的一部分納入安全工具?
因此,我認爲,這是讓我興奮的不僅僅是看數據, 但也要花時間思考,例如如何使用這些資訊來稍微不同地思考世界,或許可以利用這些資訊來通知我的安全工具,以實施更多的控制,限制,防止我的業務被捲入。 您知道,在一天結束時,我們在這裏要做的就是保護企業,讓它有自由的活動,爲選民賺錢併爲我們的客戶帶來價值。 很棒的東西 這就是我們今天所擁有的一切。 感謝大家加入ThreatTank。
如果您想要隨時掌握來自Edgio的最新威脅情報,請跳轉至EDG.IO。 這就是EDG DOT IO,您知道,當推出時,您將獲得更多Intel。 邁克爾,理查德喜歡對話。 我覺得我們可以再走45分鐘。 這太棒了。
湯姆·戈魯普: 我真的很欣賞你的兩個時間。
李察尤: 是的。 是的。 感謝您的光臨。 感謝您的參與和討論。
邁克爾·格里姆肖: 感謝偉大的資訊,湯姆。 是的。 很感激。 和你聊天總是很有趣,理查德。 傑出的酒店
李察尤: 同樣,人。 再見。
湯姆·戈魯普: 直到下一次。