LOnils's Blog

Article and Resource

🐼Info

  目前通过知识星球【绝对防御】进行资源分享,主要分享一些入侵检测、红蓝对抗、应急响应、容器及容器编排安全方向的内容。一来是为了给自己做知识标记,以备不时之需,顺便也想创建一个能够在安全领域中目前可能比较小众方向的社群,提供进行交流探讨的环境,也主要分享一些这方面的参考文章资源,通过标签进行记录保留,以便在研究相关方向时提供重要参考。

  对于安全领域来说,其实是没有绝对的防御,绝对防御是一种目标,期望尽可能的覆盖并达到优秀的防御手段。
  想做最好的防御自然要检测最强的攻击,能否检测APT级别的威胁则是目前评判防御的最好标准之一。
  理想中的“绝对防御”应该是能够发现APT级别的威胁。
  但目前除了头部互联网公司能够触碰甚至达到“绝对防御”的领域,大部分甲方安全建设还是比较捉襟见肘,无论是由于业务侧重点导致安全的重视支持程度各异,还是开发支持能力不足,当然这都是需要安全负责人意识到并担当带领起来的,沉迷于攻防渗透并不会对安全水位有着实质的提升。
  扯远了,无论如何,对于检测防御来说目前业界还是存在很大提升的空间,由于大部分检测手法比较容易绕过外,相关知识领域并无体系化,也存在比较相对闭塞信息互通的原因。

  聊聊实际攻防领域,在攻击者利用漏洞进行权限获取之后,通常会进行如下的行为包括但不限于:

  • webshell
  • 命令执行
  • 反弹shell/C2
  • 权限提升
  • 驻留恶意程序
  • 后门及rootkit
  • 横向移动

  而以上的每一个后渗透行为,都是入侵检测需要检测监控的点,这些具体检测点无论是攻击手法还是检测手段都是可以深挖到能出论文的研究项目,而涉及到真正的红蓝对抗也是其中最迷人的安全领域。
  [星球目前不收费,私聊我即可,有老板请杯咖啡也可😉]