特级一级毛片视频免费观看,成人影片亚区免费无码,免费国产污网站在线观看不要卡,国产69精品久久久久妇女,色综合久久中文字幕综合网

毫無(wú)疑問(wèn)，如果讓攻擊者已經(jīng)順利進(jìn)展到了這個(gè)階段，問(wèn)題已經(jīng)很?chē)乐亓�，但是你仍然有機會(huì )�，F在，攻擊者已經(jīng)傳送了附有惡意附件的電子郵件，如果成功的話(huà)，攻擊者將能夠利用你企業(yè)使用的軟件中的漏洞。而如果漏洞利用成功的話(huà)，你的系統將受到感染。然而，攻擊者在攻破你的防御后，可能會(huì )制造一些動(dòng)靜。如果是這樣，關(guān)于他們攻擊方法和攻擊類(lèi)型的證據可能位于網(wǎng)絡(luò )或系統日志中。另外，你的各種安全事件監控器中可能包含攻擊的證據。

如果攻擊者的漏洞利用沒(méi)有被發(fā)現，你的勝算就會(huì )變的更小。據2013年Verizon數據泄漏調查顯示，66%的數據泄漏保持幾個(gè)月甚至更長(cháng)時(shí)間都未被發(fā)現。即使泄漏事故被發(fā)現，也主要是因為無(wú)關(guān)的第三方曝光。

在漏洞利用后，攻擊者需要建立一個(gè)立足點(diǎn)，也就是安裝，也就大多數端點(diǎn)保護的關(guān)注點(diǎn)。攻擊者通常是通過(guò)在感染主機上安裝額外的工具來(lái)獲得立足點(diǎn)。

攻擊者可能從初始切入點(diǎn)進(jìn)入網(wǎng)絡(luò )中的其他系統或服務(wù)器。這種支點(diǎn)攻擊(Pivoting)能夠幫助攻擊者完成其總體目標，并確保他們不被發(fā)現。

通常情況下，支點(diǎn)攻擊的成功是因為對網(wǎng)絡(luò )政策的漏洞利用，讓攻擊者能夠直接訪(fǎng)問(wèn)一些系統，這樣，他們就不需要利用另一個(gè)漏洞或惡意軟件。

事件響應計劃主要用來(lái)攻擊者活動(dòng)的安裝階段。因為防御措施已經(jīng)失敗，所以響應是唯一的選擇了。然而，只有在檢測到攻擊，才可能進(jìn)行事件響應。假設漏洞利用階段沒(méi)有被檢測到，而攻擊者成功安裝惡意軟件后，該怎么辦？如果你幸運的話(huà)，你可以檢測到一些攻擊的證據，并利用它們來(lái)推動(dòng)事件響應過(guò)程。

企業(yè)經(jīng)常忽視感染指標(Indicators of Compromise，IOC)，因為它們通常隱藏在海量日志記錄數據中。沒(méi)有人有時(shí)間讀取數百或數千條數據，這也是為什么經(jīng)常需要幾個(gè)星期或幾個(gè)月檢測到數據泄漏事故的原因。

假設攻擊者瞄準一名員工，并攻擊了企業(yè)系統，為了檢測到這種攻擊，關(guān)鍵是尋找異常情況，尋找似乎格格不入的東西。

另一個(gè)例子是尋找隨機的意想不到的DNS請求。攻擊者往往會(huì )回調以利用其他工具，或者他們的有效載荷會(huì )發(fā)出外部請求。將DNS請求與已知惡意服務(wù)器、名聲不好的IP地址列表進(jìn)行匹配，這樣做通常能夠檢測到攻擊，因為漏洞利用階段是攻擊者可能制造動(dòng)靜的時(shí)期。

那么，對于水坑攻擊呢？什么算是很好的IOC呢？這也將需要讀取大量日志數據，但如果Web服務(wù)器日志充斥著(zhù)500錯誤、權限錯誤或路徑錯誤，問(wèn)題就嚴重了。因為這可能意味著(zhù)SQL注入和跨站腳本攻擊等�；蛘�，500錯誤也可能是良性的。但當它們與數據庫錯誤同時(shí)出現，或者來(lái)自單個(gè)應用程序或資源，則可能意味著(zhù)攻擊。

同樣地，觀(guān)察404錯誤，看看這些錯誤是如何被觸發(fā)。在很多情況下，web漏洞掃描儀或探測應用程序的機器人觸發(fā)了這些事件。最后，如果你發(fā)現 shell腳本(例如r57或c99)，通常是因為你已經(jīng)注意到了日志中的隨機GET或POST請求，這是很明顯的IOC。事實(shí)上，web服務(wù)器上的 shell是最糟糕的發(fā)現，表明已經(jīng)出現數據泄漏。因為shell意味著(zhù)攻擊者已經(jīng)控制著(zhù)一切。

在緩解措施方面，很多簽名提到的保護層仍然適用。事實(shí)上，其中一些保護層很適合于漏洞利用階段。例如，數據執行保護(DEP)可以很好地防止惡意軟件在被感染主機上運行。

雖然攻擊者可能能夠傳送惡意軟件，當受害者嘗試執行它時(shí)，DEP將會(huì )阻止它。然而，還有大量惡意軟件變種和軟件漏洞利用會(huì )瞄準DEP，所以你不能僅僅依靠這種保護。

白名單是另一個(gè)很好的緩解措施，但這種辦法有可能攔截合法(白名單)應用程序，也就是說(shuō)，白名單也不能作為防止漏洞利用的唯一來(lái)源。

反病毒控制(例如針對IP地址和軟件的聲譽(yù)檢查)是很好的防御措施，因為大多數AV軟件提供行為檢測。但AV并不是完美的解決方案，如果漏洞利用階段使用了未知的東西，AV可能會(huì )完全沒(méi)用�；�于主機的IDS同樣是如此，但如果沒(méi)有部署這些技術(shù)，情況會(huì )更糟。

最后，對操作系統和第三方程序保持軟件更新和補丁修復，能夠很好地防止漏洞利用，并且能夠控制權限。最小特權原則是IT內經(jīng)常忽視的工具，但這是個(gè)很好的工具。

　　這些緩解措施的重點(diǎn)是，它們都不能完全阻止漏洞利用和安裝階段，但如果結合使用，防止嚴重攻擊的幾率將會(huì )增加。