Sponsored: How Thinkst stays on top of attack trends
2024/5/5
Risky Business News
M
Marco Slaviero
T
Tom Uren
Tom Uren: 本访谈探讨了 Thinkst 如何利用 honeypot 技术以及 DFIR 报告来检测和应对现代攻击趋势,并强调了关注真实世界攻击而非仅限于红队演练的重要性。Thinkst 通过分析真实攻击案例,改进其 honeypot 产品,以更好地检测和响应攻击。
Marco Slaviero: Thinkst 的 honeypot 技术能够有效检测各种攻击,包括使用 Cobalt Strike beacon、网络共享浏览和 SharpHound 等工具的攻击。Thinkst 关注的是攻击者在网络中的行为,而不是攻击的初始入口点。通过分析 DFIR 报告,Thinkst 发现大多数组织面临的威胁是常见的攻击方式,例如钓鱼和使用现成工具,而不是零日漏洞攻击。Thinkst 的产品能够检测到这些攻击行为,并帮助组织在攻击发生后快速发现和响应。Thinkst 正在开发“面包屑”功能,以提高 honeypot 的可见性,但该功能并非核心功能。Thinkst 致力于保护客户数据隐私,尽量减少数据收集。
Marco Slaviero: Thinkst 的 honeypot 技术旨在检测攻击者在网络中的活动,而不是阻止初始入侵。即使是像 XZ 供应链攻击这样的事件,Thinkst 的技术也能在攻击者进入网络后检测到其行为。Thinkst 认为,在初始入侵后检测攻击者是整体安全策略的一部分,因为没有任何安全措施能够保证完全防止所有攻击。Thinkst 的 honeypot 产品可以通过设置诱饵文件(例如 password.txt)来吸引攻击者,并通过分析攻击者的行为来改进其产品。Thinkst 正在开发“面包屑”功能,以提高 honeypot 的可见性,但该功能并非核心功能。Thinkst 为了保护客户数据隐私,尽量减少数据收集。
Deep Dive
Thinkst regularly reviews DFIR reports to understand current attack methods and ensure their canaries are effective against real-world attackers, rather than just red teamers.
Shownotes Transcript