技术多元化推动物联网增长

溯源切入详细分析

从安全运营的角度上切入，用户最想要的是，通过安全系统的分析，能捕捉到整个攻击链事件。知道攻击路径和攻击手段。攻击阶段一般定义为：攻击入口、载荷投放、权限提升、逃逸检测、权限未知、横向移动、远程公职、数据泄露、痕迹清楚、影响破坏。

首先聊聊攻击入口，ATT&CK其实也定义的非常明晰，针对服务器端攻击，最常用的方式：

@1、T1190、公开漏洞攻击&0day攻击 (自定义扫描脚本，比如这次HW用的比较多的fastjson漏洞等)

@2、T1133、外部远程服务攻击(暴力破解)

@3、T1078、合法账号攻击(弱口令/社工库)

检测手段：

@1、通过WAF感知到漏洞入侵，或者通过主机安全发现漏洞利用程序运行事件，发送告警事件到安全运营中心综合分析。

@2、通过主机安全产品感知，暴力破解成功(SSH/RDP)、Redis执行异常指令、Java应用执行异常指令、Postgres导出功能被误用写入可疑UDF库文件、Mysql导出功能误用写入可疑文件、Redis入侵后修改Crontab、Linux可疑命令序列、访问敏感文件，发送告警事件到安全运营中心综合分析。

@3、异地登录、异常IP、异常时间登陆、弱口令账户登录，发送告警事件到安全运营中心综合分析。

处置手段：

@1、当安全运营中心通过综合分析，发现主机层面存在相关的漏洞，并且进程正在运行，并且有网路层数据已经触达到主机，可调用WAF阻断该IP的访问。

@2、主机层暴力破解阻断，这个目前主机安全软件都有。

@3、禁用账号，还有一些攻击切入点主要是通过入侵客户端，然后进入数据中心的曲线救国方法，也就是我们常说的APT攻击。

T1189、水坑攻击

T1093、附件钓鱼攻击、T1092链接钓鱼攻击、T1094、服务钓鱼攻击

T1095、供应链攻击

T1200、硬件添加攻击

T1199、利用可靠关系

检测手段：需要通过OA网络中的终端安全产品来完成。需要同时把这部分告警日志接入到安全运营中心分析。

处置手段：隔离终端电脑

真实的海莲花(APT32)攻击事件，攻击链分析：T1093(附件钓鱼攻击)- > T1037(安装木马) - > T1563(横向移动) - >T1189(水坑攻击) - > T1567(通过web服务泄漏数据)

由于篇幅有限，先分析到这。其他攻击技术都可以按照以上的方法分析。

产品解决方案

要想实现攻击链分析展示，我们需要组成攻击链的ATT&CK告警事件;要想得到ATT&CK告警事件就需要图分析、时序分析、统计分析等多种计算形式组合;同时也需要安全运营人员的手工编写规则的加持;要想自动或者人工的规则有更好的效果，我们需要提供有价值的基础数据。那么整个产品解决方案可通过架构图展示：
 

13.要注重技术实现原理而不是语法

这是个大问题! 他们喜欢学习基础知识大于注重语法。这可以帮助他们更有效的发现问题，也可以帮助他们更明白的google问题。

14.让谷歌成为你的好朋友

他们是Googling的专家，能更好的找到解决问题的方法。因为上面提到他们更专注于基础知识而不是语法，所以他们知道该搜索哪些谷歌术语，如果你执着于学习语法，这是很难做到的!

15.先实现功能再优化

一些初级开发人员，似乎一开始就花了很多时间让编写的代码看起来很漂亮，这样如果最后发现它们无法正常工作就陷入尴尬。优秀的开发人员会在早些时候只实现功能，这样把细节处理好之前可以尽早的发现问题，有利于保证项目更加顺利的进行。

16.风险管理和解决问题

高级开发人员可以把控风险，通过设计模式的应用提炼出复杂的问题，并且根据过去的经验，可以独立解决不同的问题。

17.多问

优秀的开发人员想了解的多一点。即使听起来很简单，他们也不介意提出问题。这些可能是与技术或业务相关的问题。了解业务需求有助于他们编写更好的代码!他们对自己的能力充满信心，因此不怕问问题。

18.尽可能地将逻辑从数据库中分离出来

这一点要看你构建的应用类型，只有在不会影响性能的情况下才可以。

他们知道要把数据库查询控制在简单的CRUD操作中。

Create, read (aka retrieve), update, and delete

然后，业务逻辑层应该将这些内容整合在一起。这有助于开发人员知道在哪里寻找业务逻辑。如果在数据库查询和代码中有逻辑，这很快就会变得混乱。

19.保持代码简洁

他们知道保持代码简单是最好的方法。即使这意味着有时要多写代码。您将看到许多初级开发人员编写如下所示的代码：

（编辑：鹰潭站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!