ThreatTank簡介–第2集:季度攻擊趨勢
Tom Gorup:歡迎收聽ThreatTank,這是一場涵蓋最新威脅情報的播客。 威脅響應和對全球安全形勢的洞察。 我是您的主持人,Edgio安全服務副總裁Tom Gorup,今天加入我的還有Edgio安全解決方案產品管理高級總監Richard Yew和Edgio平臺工程總監Michael Grimshaw。
Tom Gorup:歡迎,Richard,Michael。
葉文德:感謝我再次光臨。
Tom Gorup:Richard,這可能會成為反復出現的主題。 所以,上次我提出了一個破冰船問題,我覺得我們必須堅持下去,但找到一個問題並不容易,對吧?
因為我想我們上次設定了一個實心的標準。 這是我的破冰者 對於它的價值,我也沒有給時間去考慮。 所以,我會加入這個項目。 但這是一個問題。 我首先要問你,Michael。 我會讓你在現場。 如果您必須在電視節目中被困一個月,整整一個月,您會選擇哪個節目,為什麼?
Michael Grimshaw: 我必須承認,我腦海中第一件事,我甚至還沒有活著,第一次來這可能是吉里根島,因為這個想法是在熱帶島嶼上呆上一個月,即使你必須用教授來弄清楚如何獲得自來水或其他類似的東西。 一個漂亮的熱帶島嶼,住一個月聽起來還不錯
Tom Gorup:答案太棒了。 我喜歡。 不,我很久沒看過吉利根島,我甚至不想大聲說,自從我看了很久以來。 答案很好。 你怎麼樣?
Richard Yew:噢,哇,這很難 你知道,我一直在想,我是說Peppa Pig就像其他電視節目中有豬一樣,我會保持同樣的豬主題,但我想我會停下來。
我想對我來說,就像《權力的遊戲》,我的意思是,我會被困在《權力的遊戲》中,但也許我會得到第一天或最後一天,誰知道? 但是,是的,我的意思是,讓我們繼續吧。
Tom Gorup:就是這樣。 是的。 這是勇敢的。
Yew Richard:是的。 這很勇敢。 是的。 我很大膽
理查德·葉:我可能只是穿上我的黑色外套,站在牆上看看會發生什麼。
Michael Grimshaw:嗯,湯姆,讓我給你一個相反的。 任何《權力的遊戲》和任何殭屍主題的電影節目都會被列入我的名單中。
Tom Gorup:答案很好。 你想要生存,對吧? 這是公平的。
理查德,大膽。 《權力的遊戲》。 因此,不幸的是,上周我生病了。 我有COVID,這很可憐。 但我確實趕上了一些老房子的重修。 所以我想我會選擇House。 我一定想坐下來診斷一下,也許說這不是紅斑。 我至少要說一次。
這不是紅斑狼瘡。 這絕不是紅斑。 這將是我一個月的表演。 我認為這是一個好時機,至少我知道我的生存率與Richard在那裡的選擇相比將相當高。
Tom Gorup:好的。 所以我們不是在這裡談論電視節目。
我們來這裡是為了談談Edgio推出的新趨勢報告,我對此非常興奮。 我將對Q4進行快照,並查看各種趨勢。 這是很長一段時間以來第一次,我想說這是這份報告的一種復活。
我們涵蓋了各種數據點,包括請求方法,隨時間推移的趨勢,MIME類型,各種地理定位等,嗯,我今天帶大家來這裡討論,因為我認為通過這種方式查看數據有很多有趣的見解,我認為有時你可以查看數據集。
你喜歡,好吧,那怎麼樣? 這有什麼關係? 為什麼? 爲什麼我還要看這一點呢? 我們如何看待這些資訊並從中推斷出一些價值? 然後我非常興奮地完成了你們的兩項工作。 見解。 因此,想要了解的是高級主題類別,而您對其中一個主題感興趣的是應用程式架構,對吧?
應用程式架構–您觀察到的重要事項
Tom Gorup:如果我們查看這些報告,請思考我們的架構,我們的應用程式,我們如何利用我們的工具來根據我們的應用程式架構進行正確配置,以及可能還有一些合規性。 我們如何使用這些資訊重新開始以不同的方式思考我們的應用程式。
首先,我認為應用程式架構。 這裏可以找到一個參考框架。 此報告中有兩個數據點。 請查看”心理類型”中的請求方法,還有更多。 我們絕對可以放心地訪問報告。 你可以把你的一切拉到那裡。
但首先,什麼? 為什麼必須考慮? 這類事情如心靈類型中的請求方法。 我的意思是,當我第一次看報告時,它就像98%以上的要求獲得帖子的請求。 什麼? 歡迎使用網際網路,對吧? 例如,為什麼以這種方式看待數據很重要? 你們怎麼看?
Michael Grimshaw:不,我想說的是,我腦海中的一些重大事情是你觀察的事情,你正在觀察的事情。 在這裡,我們可以討論架構和構建,就像新的綠地應用程式一樣,以及所有架構。
但我首先要得到的是這類報告和數據和資訊的力量,顯然是威脅情報。 我堅信圍繞合規性和安全需求來實施體系結構,而非功能性要求實際上是,應用程式的業務邏輯並不是一個小池,但現在您可以只專注於業務邏輯,而有一點是,您必須考慮多個方面,例如如何調整觀察能力,如何採用更高級的基礎設施和平臺方法,如保留和輪換憑證。
我可以談論,我們可以談論幾天,但最重要的是擁有可操作的情報來了解您正在尋找的是什麼。 從應用程式中,你提到的工具,這是我首先要說出的一件事,了解你的位置,你知道什麼是向量。 哪些國家行為者正在利用哪些腳本兒童和中間的每個人都在利用這些資訊來通知你你你正在看什麼你知道你知道的,無論你在做什麼,每季度你知道掃描,希望你做的掃描顯然不僅僅是每季度一次。 根據您的合規性概況,您需要至少每季度完成一次,但希望您將轉向更多的DevSecOps轉變正確模式,即您可以持續掃描或持續監控構建和移動安全性。
所以我要說出的第一件事是這些數據。 必須了解這些資訊。 您需要密切關注的是什麼,需要調整觀察能力堆棧以查找安全觀察能力堆棧,然後在輪班時反比,對吧? 它關注的是您可能在代碼中引入的更多問題和更多潛在漏洞,以確保您不會這樣做。
您必須關注您的地平線。 每當我們進行這些對話時,您都會聽到很多類比,但這有點像是如果您正在跑步,如果您正在馬拉松,或是越野跑步,或是像這樣的事情,您的眼睛會放在地平線上,以便在您必須進行戰術轉移之後。 因為有一個坑洞,你知道一條河流或類似的東西。 您並不會忽視您正在朝著的地平線前進。
李察耀:我的意思是,另一種方式,就像你看這個,對吧?
當談到應用程式架構時,正如Tom所說,當我查看數據時,大多數請求都可以強制執行,但您知道,這是網際網路,對吧? 但我想你要細分的一件事,當你看數據時,比如有多少請求,因為它告訴你,我們所得到的內容的對話是什麼,對吧?
顯然。 如果您執行的應用程式空間很大,您知道,尤其是,假設您有SPA,對吧? 作為您的主要架構,對吧? 你會看到很多帖子。 你會看到很多不同的方法,對吧? 如果您使用了大量用戶生成的內容,您可能會看到許多帖子,並將其發表,對吧? 這是一個很好的分析。 此外,鑑於這是安全數據,這意味著這些數據來自Web應用程式防火牆,對吧? 它確實可以看到我們檢查的有效載荷中有多少實際跳電。
所以在這種情況下,我很多時候都是正確的。 但你也會看到很多這些東西都來自於這個崗位因為那是有效載荷的地方,所以它確實是,它確實講述了一個關於表面的故事。 你攻擊的表面積告訴你,如果你只是看你的請求方法分布,對,任何接收任何端點的東西都是相反的,你會有更大的表面積,因為,你知道,我用一個比喻,人們告訴我這是愚蠢的,它是在房子裡,就像你的垃圾和廁所,你知道,你,你知道,你的,你,你的,你,你的,你,你,你的,你,你,你的,你,你的,你的,
MIME類型
Tom Gorup:我喜歡你說的,只是請求方法之類的事情開始畫一張圖片。 講述應用程式的故事,應用程式的使用方式,受到攻擊的方式,以及可能受到攻擊的地方。 它給您一個很好的視角。 它也直接引向MIME類型。
有一件事我覺得很有趣,我想讓大家對這件事有什麼想法,就是我們看到的這件事是一個,它的數量很大,是那些街區的76%。 同樣,此WAF活動是WAS應用程序JSON MIME類型。 所以有很多預防措施。 JSON請求類型,這告訴我們有關Internet的整體情況,應用程式的開發和架構如何?
李察耀:我的意思是,我從這個開始。 就像它基本上告訴你你的垃圾來自哪裡,對吧? 從某種意義上說,JSON是有意義的,因為與大多數API端點一樣, 嗯,像寧靜,甚至不像GraphQL,你能說的,對吧? 包含類似JSON的有效負載。 嗯,對。 所以這是本課程的標準,在我看來,這對許多組織來說不應該是令人驚訝的,對吧?
顯然,您還會看到像HTML內容類型一樣的有效負載,嗯,您會看到像XML一樣的大量負載,對吧? 所以,當談到設計和安全機制時,您肯定需要一件事,對吧? 你不想只看JSON,而是想,因為我看過某些安全產品,它們只能解析SAH XML。
他們沒有解析JSON的能力。 就像,如果您無法解析JSON,您就無法查看有效負載。 因此,您希望確保您有能力使用JSON。 你必須確保你的解析器是最快的. 我的意思是,猜猜是什麼? 因為大多數情況下都繞過了,WAV就是喜歡利用解析器。
所以他們會以特殊的編碼格式或類似的格式發送有效負載,他們會以類似的格式發送。 甚至有時只是改變。 這是一個JSON,但它將格式更改為多部分,不管怎樣。 Web停止解析它,因為它只是查看標頭。 噢,這不是JSON。 所以我不是在解析它。
這就是如何讓有效載荷滑過的方法。 所以這絕對是你想要做的事情,記下LIKE,WOW,JSON,它是最受歡迎的。 您還想看看哪些是比較模糊的。 我想指出的項目和項目,但我將保存以供稍後使用。
Michael Grimshaw:我認為Richard的觀點很好,就是它只是X,在當今網路開發的時代,沒有任何解析器都無法涵蓋它。 應用程式JSON和JSON的有效負載占了如此大的比例,我並不感到驚訝,因為在現代Web開發中,JSON已在世界各地,而且它甚至不僅僅是Web開發。
舉例來說,有人應該雲端運算。 嗯,無論您是在談論CloudFormation,AWS和其他,都讓我使用,因為AWS是最大的。 這並不是很久以前,四五年,也許是多年前。 我不記得確切的日期,但CloudFormation完全是XML,然後遷移到基於JSON的系統,完全接管了該系統。
這就是Web開發基礎設施,JSON。 是的,你必須能夠用JSON和XML解析,但Richard的觀點甚至更為深奧,而離群的是你必須能夠解析所有數據。
Yew Richard:是的。 說到離群值當我查看數據時,我總是看到較小的數據點,比如1%或0.5%,或者從報告中突出的是我們有0.14個。 因此,0.14%的類似跟蹤數據量。 其他非特徵資訊,對吧? 但聽起來可能很奇怪,但當你談論每月數十億個數據點時,我的意思是,十億的數據點的0.14%,相當多。 而其中一些內容類型則與圖像相似。 JavaScript和其他,就像你以前認為的那樣,這些是靜態內容,就像那些高度可暫存的內容一樣。 為什麼您要將WAV放在您的JPEG面前?
你知道,比如為什麼你有很多圖片,對吧? 你是從事什麼工作? 嗯,讓我告訴您,對吧? 這就是所謂的側向移動安全,對吧? 就像這些JPEG一樣。 例如,除非您將它們放在存儲中,比如邊緣,網路存儲,只有100%的服務,否則任何這些請求都會返回到您的Web層,就像在您的環境中一樣,即使只有0.1%的請求返回到您的源,這意味著攻擊者實際上可以以標題,cookie,cookie,查詢字元串,參數等形式將這些請求從您的內容發送到您的後端,JPEG文件。 所以如果您使用相同的後端,比方說,HTML和JPEG,就像JPEG一樣,對吧?
你可能容易受到橫向移動的影響,因為他們說,嘿,你知道,這只是圖像領域。 比如,您可能不需要保護它。 很多人都喜歡,為什麼我要設定WAF? 浪費我的錢,喜歡把保護措施放在大多數靜止的東西上。 這是值得注意的。
你總是想找到缺點,因為作為防守者,作為一個藍色球隊的人,你必須始終保持正確。 攻擊者只需一次對,對吧? 你知道,誰知道,就像第一個JSON請求中的第一個有效載荷,它恰好被轉發到源站創建了後門。 這可能會發生。
Tom Gorup:是的。 100%,我也喜歡你在哪裡使用這個,首先是關於畫圖片或講述你的應用的故事。 因此,請深入瞭解應用程式的架構。 那麼,您在哪裡應用控制?
因為到你認為最不易受傷害的程度,可能是我們看的那條途徑,嗯,這也是報告中的一部分。 但當我們查看緩解的攻擊類別時,45%的攻擊實際上是訪問控制規則,這意味著可能防止發布請求。
如果您的應用程式不接受帖子,例如限制您的威脅範圍,通過應用訪問控制規則限制攻擊者可以對您的應用程式進行攻擊和攻擊的範圍。 如果您不接受申請,Jason將其阻止。 對。 防止它。 沒有理由讓這種情況發生在第一位。
然後你會帶出一個很好的觀點,看一下應用程式的異常值,小部分。 我喜歡那裏的思維過程。 因此,讓我們繼續稍微介紹一下該線程。 因此,45%是訪問控制規則,我們阻止了37%。 嗯,我們是受管理的規則集。
這就是您所有的威脅情報和跨站點腳本編寫這些稅費。 19%是自定義規則,他們看到了這一點,並考慮了類似層防禦的想法。 這就是我想的那種情況,當請求出現時,他們會通過這些篩選器,你需要考慮,對吧?
分層防禦方法
Tom Gorup:當您在應用程式中部署WAF或安全控件時,您需要了解其架構並調整安全工具以匹配該架構。 要再次限制您的威脅範圍,那麼您還需要層級,對吧?
Michael Grimshaw:你需要多層 我想談談層,但我想談談的是,我們在這裡討論的是,我們真正強調了開發,功能開發人員,SDLC,架構師和安全團隊之間反饋循環的重要性,因為如果您的安全團隊,WAF或SOC或任何盲目飛行,我們知道他們不應該接受JN負載。
我們不會張貼嗎? 我們該怎麼做? 是那個溝通,那個反饋迴路? 您可以節省大量的資金,包括FTE浪費的時間,工具成本,開發人員,架構師和安全團隊之間的緊密反饋環節,使世界上的一切都變得與眾不同。
理查德·葉:談到層,我總是說,不,我將提出一個meta buszword,你知道,像深度防禦一樣。 你知道,比如,我真的認為我們需要,我們必須有一種心態,這種心態真的符合你的條件。 但也許我錯了。
也許有一個單層濾水器,你知道,它們使用的是諸如椰子碳化物之類的花式濾水器,任何你能想到的東西。 對。 但通常來說,當我們看待證券時,對吧? 不能將任何一個圖層假定爲魔術子彈。 舉例來說,只是因為您擁有爬蟲程序管理,並不意味著您希望爬蟲程序管理能夠從應用程式中捕獲一切,例如DDoS和帳戶接管。
每個機制都能協同工作。 你試著把它放在這裡,就像你所知道的那樣。 好的。 盡可能高效。 就像這樣,我們採用的是45 %的超額規則。 我稱之為ACL。 我的意思是,這只是ACL,對吧? ACL通常在我們的第一層上執行。 這背後有一個原因,因為它執行起來很便宜。
這只是一堆像IP,國家,等等。 嗯,ASN,JA3個簽名,對吧? 您背後的原因是,這是一個靜態簽名,任何違反這些簽名的行為都會發生。 馬上就能在第二毫秒內實現未來,您知道,對吧? 它是我們的整個層,複數以亞毫秒的時間運行。
但你知道,就像你想要能夠清除盡可能多的垃圾一樣,對吧? 我曾經有個夥伴在這個行業工作,就像他告訴我的,這就是我們所說的縮小乾草堆的方法。 您想要接受一大堆類似的請求,對吧? 然後你試圖找到攻擊。
就像,您正在嘗試找到一個HTTP請求,該請求承載了錯誤的有效負載並導致了漏洞。 所以你正在尋找一個乾草堆的需求。 因此,能夠快速地將乾草堆串起來,儘量從前層清除這些垃圾,以便最復雜的層能夠處理。
通過額外的數據,又會有很大的幫助,它回到了這樣一個事實:我們不僅僅是在執行外圍防禦,對吧? 只是因為你穿過牆,你就越過牆了。 這並不意味著有瞭望塔,對吧? 事實上,縱深防禦的整個概念是一種軍事戰略,這種戰略來自羅馬人,因為他們將領土擴展到成為帝國的地步。
不可能只是圍堵牆,並確保您只依賴其他邊界來擊敗攻擊。 這就是原因。 我們有分層防禦。
Michael Grimshaw:沒錯。 我想我們可能已經提到了這個,我們在之前的討論中已經講到了,理查德。 我喜歡這裏的免疫學例子如果你的健康依賴於無菌環境,你是一個死人。
你知道,這不是為了避免,也不是為了有一個鎖定的圍牆環境和無菌環境中的一切。 這是關於建築物的免疫力。 唯一的方法就是你能擺脫病原體是你發展對病原體的抗擾性並採取一種分層的防禦性方法來實現這一點。
就像你一樣。 是的,您需要最好的網路防火牆。 你知道,你確實需要一個堅固的邊界。 但猜猜猜怎麼辦? 這將會被破壞。 我的意思是,在國家行為者和整個世界所在的世界中,這是潛在的威脅。 有效地說,您只需規劃邊界將被破壞。
那麼,一旦他們這樣做了,那麼下一層是什麼? 之後的下一層,之後的下一層。 然後,您如何監控並識別這些類型的違規行為,以便了解他們在追求什麼。 是的,這是絕對必要的
分布式體系結構
Tom Gorup:這很有趣,出於某種原因,人們正在思考分布式體系結構如何發揮作用? 因為我可以看到光譜的兩端。 你也許看一下風險,你增加了蔓延,但你也可能。 嗯,看看它,帶來更多的價值。 將工作負載分佈到不同的地區或位置,從而實現更高的可用性。
那麼你們在哪裡看到這場比賽呢?
Michael Grimshaw:沒錯。 我們生活在分布式架構的世界中。 當您擁有全球足跡時, 您知道,全球有300多個流行點。 我們正處於一個大規模分布式並行計算時代,而不僅僅是我們。 我的意思是,嗯,這可以追溯到20多年,但這是web開發的本質。 Web基礎架構。 您必須假定您已被分佈。 您在大規模並行執行,從安全,支援和成本攤位移動到這裡的第一件事是避免雪花,這也與合規性有關,我們將在這裡了解到,如果您大規模並行執行,大規模分布式,您需要盡可能多地分布式基礎設施。 嗯,第一,因為當你與審核員交談時,你可以斷言,你可以證明。
Michael Grimshaw:是的,我們只需要認真研究其中一個,因為這是一個千篇一律的切碎器,你知道,我們必須研究,你的審計員會抽樣。 他們不只是舉一個例子,然後就跑了。 您可以看看我們的任何全球存在點,它們基本上是一個接一個的,有助於安全性的cookie cutter。
所以你的模型基本上和你現在的模型一樣,你在處理你的圖層和展開你的圖層,你也在跟蹤,掃描和觀察。 這將是我要談論的重要問題之一,就分布式體系結構而言,我提到合規性是因為如果您在一個大規模分布式系統中,如果審計員能夠驗證和驗證,並且您可以斷言它們是正確的,那麼您的審計員就不想對每一個系統進行測試和審計。 這兩個體系結構完全相同,它們是彼此的競爭對手。
Tom Gorup:說起來要容易,做起來要容易,對吧? 特別是在我們的方案中談論分布式架構時,對吧? 我們不是在談論部署一整堆EC2個實例,這些實例來自某個位置的黃金映像。
我們談論的是硬體。 對。 在某種意義上。 您如何操作這樣的項目?
Michael Grimshaw:這是一個很棒的地方。 而在這方面,也是多層次的方法。 這不僅僅是您,您的采購和生命週期管理團隊的安全性,您還需要對此保持一致,因為一個很好的例子,讓我獲得Kubernetes的原因就是一個很好的例子。
它是並行分布式的,不是全球分布式的,但您不會在全球執行Kubernetes群集。 但Kubernetes有一個很好的例子就是你在Kubernetes遇到了問題。 如果一大堆伺服器有不同的驅動程式或不同的硬體,你知道,不同的插卡或不同的硬體,你基本上不能執行Kubernetes。
正如我所說的,這就是為什麼與您的生命週期管理和采購團隊合作使您的基礎設施商品化。 這是指矛尖上的槍尖。 您希望使硬體盡可能地彼此相似。 現在,讓我提一下我們最近在COVID期間遇到的一個巨大風險是我們發現的物流問題,全球分銷空間受到的巨大沖擊使您的位置變得如此,即使您在COVID之前執行的是商品化的切片式硬體,配送延遲以及配送,運輸和物流受到的沖擊。
Michael Grimshaw:甚至能夠獲得相同類型的晶片組或類似的任何東西,不僅是您,而且是那些從供應商處購買硬體的人等等 它是一個大曲折,它會帶來第二層,您必須適應這一層,當您進入映像和在其上執行的實際軟體時,首先,例如您的虛擬機管理程序,操作系統或虛擬機管理程序?
這是下一層,即使底層不完全均勻,但您希望盡可能接近的位置。 下一層是在映像和操作系統超級管理程序層中使其儘可能統一。 然後,在應用程式中採用類似的方法。
您希望將此標準化為盡可能安全的成本安全性,原因有很多。
Richard Yew:你知道的,我會告訴你應用程式。 對,你知道,有爭議,我知道它可能與流行的信念相反,這可能有點不直觀,因為我們正在考慮分布良好的架構。
因此,我們從集中式軟伺服器,雲環境中獲得,我們分布在世界各地。 如果我告訴您,擁有分布式體系結構實際上會使您的攻擊面變小,該怎麼辦? 聽起來有點奇怪。 聽起來有點像,但這樣想,對吧?
通過分發,這就是為什麼我認為當您設計應用程式時,尤其是我們討論的是網站時,這一點非常重要,對吧? 你沒有,設計,我發現一個常見的錯誤,這就是邊界安全。 如果我稍微偏離主題,我發現有一個錯誤,那就是我看到了人們,客戶,組織,他們會根據集中的架構設計應用程式,然後嘗試在分布式平臺(如CDN)中執行,那麼你必須創建大量優化,比如,哦,在邏輯之後,你知道,現代的設計,對嗎?
它實際上是在設計應用程式時考慮到分布式體系結構。 例如,您習慣於在一個集中位置處理大量邏輯。 您只需使用CDN暫存JPEG和靜態文件等 但你會如何處理一些邏輯呢?
比如,假設您只是舉一個非常簡單的例子,比如您的重定向,對吧? 就像您原來的集中式基礎架構一樣,您將為客戶重定向。 如果您鍊接了數萬個重定向,該怎麼辦? 對。 嗯,你把這些邏輯轉移到邊緣呢?
你會如何改變這些事情? 通過這樣做,當我說攻擊面時,你是,通過將這些邏輯轉移到邊緣,你正在減少負載,你正在減少集中式(如體系結構)中的故障概率,通過卸載其中的一些,你知道,室外安全就是CIA的作用,對吧?
Richard Yew:我們討論的是可用性部分。 非常重要。 因此,我要通過移動許多機制來說,包括安全機制。 因此,如果您能夠再次進行篩選,縮小外圍的攻擊堆棧,那麼您的集中式雲或類似硬體中的漏洞就更少了,希望不再是這樣了。
Richard Yew:你們2024,你們知道,硬體,但基本上我們稱之為原始基礎設施,這是非常重要的。 我可以告訴你,你可以做很多事情,因為我們顯然處於實施很多技術的邊緣,我會告訴你,就像做分布式計數一樣。
在大約1毫秒的時間內,所有的伺服器,比如,數據,這是一個難題,你知道,當你嘗試在所有基礎設施中同步每秒的請求數時,你會知道,對嗎? 嗯,但我想這是你想利用的。
Richard Yew:所以,所以,不要只有一個中央大腦,比如,邏輯在你的中央架構中。 開始時可能就像人類一樣,人類大腦是技術上分布的體系結構。 你有大腦,你有蜥蜴大腦。 猜猜猜怎麼辦? 因為,當你觸摸熱的東西時,你就沒有時間做出反應。
李察耀:如果這些東西必須通過中央大腦。 你必須在回車前燒焦自己,對吧? 這就是為什麼這麼喜歡,開始思考什麼是新架構設計。 也許您不是在集中進行機器學習和培訓,而是在邊緣進行推斷,然後在集中位置進行培訓。
再說一遍,它又回到了喜歡的地方。 從某種意義上說,您實際上只是稍微減少了漏洞,並從安全角度使整個系統更加穩健。
Michael Grimshaw:是的。 是的,這篇文章完美地說明了我們剛纔談論的分層是因為我們從集中的,嗯,或者我們談論的免疫學,從集中的,嗯,這個,方法。
你,如果你受到攻擊,你確實受到攻擊,你的數據量或,或者你的暴露量非常有限,所以它不是一個完整的布爾值,嗯,我是受保護的還是我不受保護的? 當一切都集中在一起時。 好的。 如果他們進入並且有權訪問數據,他們就可以訪問數據,使數據分散。
好的。 也許是一個區域或一個子集或一個子系統。 嗯,攻擊者可以利用零天或任何時間進入,但他們沒有整個系統。 這也是一種彈性,因為你不會失去整個大腦皮層,一次性的損失。
理查德:順便說一下,林賽機器人只是檢查我的事實,呃,我猜我用了一個不好的比喻。 嗯,人類,我猜,我們沒有大腦和其他地方,但我應該有,我應該說是章魚。 章魚就像大腦和所有的手臂。 是的。 也就是說,這是一個真正的分佈式體系結構。
地理定位–我們在哪裡攔截最多的攻擊?
Tom Gorup:沒錯。 好極了。 因此,遵循分布式架構的路線,或許可以在這裡略微提高合規性。 我想的統計數據之一是。 這對我來說很有趣,至少在紙上看到,我正在查看地理定位。 那麼,我們在哪裡阻止來自前五大國家/地區的攻擊?
好的。 我認為,前五個國家是我們,法國,德國,俄羅斯和車臣。 我認為這裡非常有趣的是,這裡有很多APT在中國外出,這是值得了解的。 他們不在列表上。 不在列表上,當我們考慮地理位置時,我認為這有點有趣。
我想很多人都轉向地理圍欄。 嘿,讓我鎖定我知道可能會受到攻擊的國家,但有26 %。 最討厭的是美國。 比如,這告訴你們什麼? 我還想我也從合規性的角度考慮這一點。 什麼是地理圍欄,你知道,2023,2024,這是我們目前的情況。
李察耀: 我的觀點是,我知道我們每個客戶,你知道,當我們加入時,我們談論出口管制,我們必須,像,用地理圍欄控制,我感覺像一些事情,一些要求需要重新訪問,因為我知道這可能不是每個人都想聽到的,特別是如果你執行GRC,像地理圍欄,我覺得這一切都是對的,但我會讓每個人感到頭痛。 隨時隨地都能輕鬆啟動虛擬機。 就像,我記得去年我們在看Black Hat時,我們看到的是類似ISP的分布,針對匿名的蘇丹DDoS攻擊,對吧?
Richard Yew:他們使用的是託管提供商。 無處不在。 我們知道他們來自哪裡,就像他們來自這個特定國家,東歐,就像這個組織所在的地方一樣,對吧? 但是,攻擊來自任何地方,比如現在。 那麼,你就像是你用Joe擊劍中國來阻擋中國黑客嗎? 現在,這種做法是否有效? 對吧?
Michael Grimshaw:不,但你說得很對。 中國在歷史上是眾所周知的,因為它使用的是非常非常接近的VPN,並且真的混淆了攻擊的來源,很明顯,在俄羅斯,他們使用的是很多本土的,你知道,幾乎是國家,幾乎是鼓勵俄羅斯的個體行動者參與攻擊。
中國的指揮和控制結構不太像我們說的“黑幫”或者,這個,這個,這個,這個,你在俄羅斯或者,或者,或者,或者,或者,柴郡等類似的事情都是分散的。 完全正確。 嗯,好電話。 嗯,但是是的,還有Richard,我絕對認為你是對的。 我們確實需要重新審視這一點,但會有客戶,也會有細分市場。
和具有法規要求的垂直市場。 所以,其中一個你不會混淆的大問題是外國資產控制辦公室,OFAT。 這就是地理圍欄的地方,尤其是金融服務,銀行業,確保你的銀行或金融服務不向北韓,比如伊朗和其他名單上的地方提供。
地理圍欄仍然很重要,尤其是在監管要求方面。 我們需要重新審視這些問題。 而且,我們需要,這個,事實上,這個,最近才在烏克蘭出現,這個,呃,這個,它被稱為,俄羅斯堡壘,同時,(00時39分00分)星鍊接使用地理定位。 為了防止它在俄羅斯被使用,俄羅斯營運著俄羅斯的士兵和操作者正在使用它,呃,從其他國家,在烏克蘭被占領土。
這份清單涉及雙重用途。 兩用材料,例如可用於民用和軍事目的的材料,以及通常是如何從第三方國家/地區采購,這一點在這裡也是一樣的,但仍然存在絕對嚴格的監管界線。 有些客戶必須處理或地理圍欄。
Richard Yew:你是對的。 這只是一場軍備競賽。 我認為重點在於,在我們談論分布式架構時,我們談到了客戶如何使用它來保護我們。 但就像Mike和我所說的那樣,兩個攻擊者都在使用分布式體系結構。
Richard Yew:我的意思是,他們是,好笑的,這是DDoS的全部要點。 對吧? 我的意思是,這就是D的來源。
Tom Gorup:是的,這很好。 我很失望,我們的時間不夠,因為我想我們可能就這個主題再多花20分鐘。
最終想法和建議
Tom Gorup:但既然我們正在執行一段時間,我想聽一下這份報告,想想我們在這裡討論的一些數據點。 從應用程式架構到合規性,地理圍欄,整個遊戲。 我喜歡傾聽您的想法和向觀眾推薦。
比如,我們應該關注什麼? 他們如何更好地保護自己?
Michael Grimshaw:是的,我喜歡這份報告。 我想把它帶回來談談報告。 我們已經討論了很多事情,但其中一件事,也許是因為我要經歷。 現在的PCI審計是我喜歡這份報告的一點,就是我想到的兩件事,這份報告和這些方法在哪些方面有助於您的安全,尤其是您在PCI中的合規性。 PCI的要求之一是建立一個過程,利用有信譽的外部資訊來源來識別安全漏洞安全漏洞,並分配風險等級。 現在,這個報告並沒有提供確切的CVE,但是這又是分層審計方法的一部分,我想,我喜歡編寫一份這樣的報告,其中可能包含操作系統漏洞的細節,或者像在該背景下的漏洞數據庫那樣離開。
Michael Grimshaw:一方面能夠為我們的審計員提供一個完整的資訊,另一方面PCI的另一項要求是確保您和我只是專注於PCI。 ISO與其他許多制度相結合。 但另一件事是,讓員工接受培訓並了解最新的安全形勢以及如何防止這種情況,這一點非常重要。
是的,您每年都要接受培訓。 你知道,你需要在僱用某人時進行培訓。 好的。 每年之後,我都會向每一位員工和整個公司傳達這一資訊,只是為了提高安全意識,幫助他們遵守法規,幫助您保護安全。 我是一個超級粉絲。
Tom Gorup:這是個很好的建議。 我喜歡這個。 Richard,你怎麼樣?
Richard Yew:我肯定會說,你知道,有時候,有能見度是非常重要的。 我會說,讓事情變得更簡單,對吧? 這種對所有應用程式的可見性很好,至少我們談論的是面向公共的應用程式,因為我們不打算在管理上查看所有端點,比如您的筆記型電腦電腦和Mac,但至少我們可以看到正在出現的情況,因為我堅信,您需要一個單一的視圖窗格來查看幾乎所有的內容,比如面向網際網路的內容。
就像我們談論的每個HTTP請求一樣,網路內外的每個外部請求都需要進行編目並保持出色。 例如,如果收集所有這些資訊並能夠在合併視圖下進行報告(如我們在此所述),我認為這也將有助於促進合規性,尤其是在提供證據等方面
SO。 好的。 再說一次,可見性很重要,對吧? 你知道,如果你看一下三個,實際上是五個階段,比如NIST安全框架,對吧? 我的意思是,在最左邊,只有一個像預防的文本,然後你必須做出反應,對吧? 但是,你知道,擁有能見度的能力,檢測是非常重要的。
您無法減輕您所看到的內容。
Tom Gorup:是的。 我總是將安全態勢,可見性,暴露和威脅等同起來。 我無法保護看不到的內容。 我需要了解我的弱點所在,也需要了解我是如何受到攻擊的。 這三個因素真正結合在一起定義您的安全態勢。
和其他公司的人分享這一點也很有趣。 這是我們在報告中進行的深入探討以及目錄遍歷,這實際上是我們看到的第一類攻擊,今天在網際網路上仍然非常突出。
現在我們正在防範這種情況,但這並不意味著應用程式不容易受到攻擊。 確保您的工程師或開發人員了解如何對您使用此攻擊,這是確保您從頭開始構建安全代碼的好方法。 我喜歡我們今天討論的是應用程式架構,不僅是您的應用程式架構,還包括您的業務及其營運方式。
因此,使用它來通知您的安全工具,對吧? 因此,您的應用程式體系結構可以確定我希望看到哪些類型的請求? 哪些類型的MIME類型,以及我的企業能夠在何處操作和應用這些類型,並將這些類型作為控制措施的一部分放入您的安全工具?
所以我認為這是讓我興奮的報告不僅僅是看數據,而且還花時間思考,比如,我如何才能用這些資訊來稍微不同地思考世界,也許可以用這些資訊來告訴我 安全工具 為了實施更多的控制和限制,防止我的業務突然出現。 大家知道,最後,我們要做的就是保護企業,讓IT部門能夠自由地為客戶賺錢,為客戶帶來價值。 很棒的員工 這就是我們今天所擁有的一切。 感謝大家加入ThreatTank。
如果您想要了解Edgio的最新威脅情報,請跳轉到EDG.IO。 這就是EDG DOT IO和訂閱,您知道,英特爾推出後將獲得更多資訊。 Michael,Richard喜歡這次談話。 我覺得我們可以再多走45分鐘。 這以前很好。
Tom Gorup:我非常感謝你們兩個人的時間。
Yew Richard:是的。 是的。 感謝您的光臨。 感謝大家的參與和討論。
Michael Grimshaw:感謝您提供的大量資訊,Tom。 是的。 非常感謝。 和您聊天總是很有趣,Richard。 非常出色
李察烈:同樣,人。 再見。
Tom Gorup:下次再來。