O conhecimento do seu ambiente é o primeiro passo para protegê-lo: conhecer os sistemas, aprender sobre as linguagens e a versão do sistema operacional, saber como os servidores interagem e os controles de proteção já implementados, entender que tipo de organização você está tentando para proteger.
Depois de obter esse conhecimento, as técnicas de ataque são fundamentais, pois permitem que você audite esses sistemas na produção e antes que eles cheguem lá, além de ajudar a expor as suposições sobre como seus sistemas são executados. Suposição: Nosso firewall está funcionando bem. Realidade: O nmap acaba de retornar uma lista de sistemas que possuem portas vulneráveis expostas à internet, vamos dar uma olhada mais de perto nas nossas regras de firewall.
Mas há um perigo, uma vez que você tenha visto todos os ataques que saem de BH / defcon todos os anos, você pode ficar mais focado nos novos ataques e sentir falta de outros fundamentos essenciais. por exemplo. Você corre e desabilitou a virtualização baseada em BIOS porque leu tudo sobre os rootkits da Blue Pill, mas os sistemas não são corrigidos ou rastreados por um firewall e ainda são adquiridos por uma unidade por download.
Acho que a minha pergunta mais importante não é "o que um atacante poderia fazer contra o meu sistema?" mas em vez disso "O que a maioria dos invasores está fazendo agora contra pessoas que executam sistemas como o meu?"