第15天 — 如何应对持续的妥协 (Hawk's Path)
发布: (2025年12月16日 GMT+8 01:07)
3 min read
原文: Dev.to
Source: Dev.to
故事
雪在脚下嘎吱作响,Gord 和 Rothütle 来到 Falkensteig 上方的破碎小径。树间出现石头废墟——古老的墙壁、倒塌的塔楼,半被苔藓和冰层吞噬。
“这里是人们停下来的地方,” Rothütle 低声说。 “连走私者也会避开这里。”
“他们应该的,” Gord 回答。 “这地方对他们来说很危险……”
Gord 靠近废墟,掀开披风露出胸前的徽记。徽记在微光中闪烁。她等着石头作出反应。什么也没发生。她抬头望向前方的破碎拱门,然后检查四周。
“怎么了?” Rothütle 问。
“门打不开,” Gord 说。 “这本是通往 Schattenburg 的隐藏通道。”
Rothütle 皱眉。“还有别的入口吗?”
“有,穿过我们的防御,” Gord 严肃地回答。
“所以,我们现在是红队了,” Rothütle 说。
随后他们继续向城堡废墟进发。
今日提示
被攻陷的系统会使密钥失效。攻击者一旦进入内部,就可以把你挡在外面。当攻击者已经在你的系统内部时,局面就完全不同了。此时你需要更加警惕、慎重和小心,因为任何仓促的行动都可能让情况更糟。
响应步骤
首先遏制
- 隔离受影响的系统、账户和网络。
- 阻止横向移动。
使访问路径失效
- 在隔离之后 再轮换凭证。
- 否则,攻击者会复用新的凭证。
假设自动化已被攻破
- CI/CD、包发布、cron 任务、启动脚本——全部检查。
寻找持久化手段
- 新增用户、修改的配置、隐藏进程、被投毒的依赖。
重建而非清理
- 将系统视为敌对环境。
- 只从已验证的、事前备份的来源恢复。
延伸阅读
想了解遗留系统如何影响现代容器安全,以及如何安全地实现现代化,请查看《Docker and Kubernetes Security》一书,现正 40 % 折扣。
🔗
💬 Code: BLACKFOREST25