侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

深信服這本“攻防兵法”,助您守住實(shí)戰(zhàn)攻防的安全大門(mén)

2022-06-15 13:45
來(lái)源: 粵訊

隨著數(shù)字化轉(zhuǎn)型的深入,資產(chǎn)數(shù)字化導(dǎo)致了各組織單位的暴露面不斷擴(kuò)大,加之愈發(fā)密集的網(wǎng)絡(luò)攻擊,頻繁發(fā)生的安全事件促使網(wǎng)絡(luò)安全從合規(guī)走向了實(shí)戰(zhàn)對(duì)抗的新階段。

但在大部分組織的防守策略一成不變的同時(shí),攻擊方的“武器”配備卻逐漸完善,社交網(wǎng)絡(luò)釣魚(yú)、0Day、Nday、無(wú)文件攻擊等新型手法層出不窮。不僅如此,攻擊方的攻擊路徑也更為刁鉆,開(kāi)始針對(duì)遠(yuǎn)程辦公、云原生場(chǎng)景、軟件供應(yīng)鏈等防守“空白區(qū)”發(fā)起攻擊。

攻擊者可以失誤無(wú)數(shù)次,但防守方卻只能失誤一次。面對(duì)種種攻防之間的實(shí)力差距,您真的擁有了與攻擊者實(shí)時(shí)對(duì)抗的能力嗎?又該如何在實(shí)戰(zhàn)對(duì)抗中做到“0失誤”?

今天,深信服為您帶來(lái)一本“攻防兵法”,通過(guò)“攻防五計(jì)”助您補(bǔ)齊防守能力,守好實(shí)戰(zhàn)攻防的大門(mén)。

“攻防兵法”第一計(jì):知彼知己

如今,收集資產(chǎn)信息已經(jīng)成為所有攻擊方默認(rèn)的第一步。但很多政企單位對(duì)自身的脆弱性和暴露面不了解,影子資產(chǎn)、數(shù)據(jù)泄露事件給了攻擊方大量可利用入口。

所謂“知彼”,政企單位需要掌握攻擊方的方法變化,通常可以利用紅隊(duì)檢測(cè)模擬出攻擊方可能開(kāi)展的攻擊路徑,進(jìn)行相應(yīng)的防守部署。

所謂“知己”,政企單位需要在資產(chǎn)梳理的基礎(chǔ)上進(jìn)行互聯(lián)網(wǎng)敏感信息排查、識(shí)別脆弱性、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等動(dòng)作,洞悉內(nèi)外部風(fēng)險(xiǎn)點(diǎn)。

在“知彼知己”的基礎(chǔ)上,想要“百戰(zhàn)不殆”,還需要一個(gè)關(guān)鍵動(dòng)作——查漏補(bǔ)缺,防守方需針對(duì)人、端、網(wǎng)、云、應(yīng)用五個(gè)層面優(yōu)化訪問(wèn)策略、安全基線、漏洞補(bǔ)丁等現(xiàn)有安全防護(hù),補(bǔ)齊安全監(jiān)測(cè)分析、云平臺(tái)防護(hù)、誘捕攻擊等缺失的防護(hù)能力,打牢實(shí)戰(zhàn)對(duì)抗的防守“基本功”。

“攻防兵法”第二計(jì):重點(diǎn)防護(hù)

總結(jié)往年多次實(shí)戰(zhàn)對(duì)抗的經(jīng)驗(yàn),攻擊方和防守方在主機(jī)安全側(cè)存在嚴(yán)重的能力不對(duì)等。

一方面,防守方以往的安全建設(shè)方式側(cè)重于邊界安全,往往輕視了主機(jī)的安全防護(hù)。另一方面,攻擊方敏銳地察覺(jué)到了主機(jī)安全的防護(hù)缺失,開(kāi)始大肆利用新型攻擊手段來(lái)繞過(guò)邊界,突破服務(wù)器、終端,以此進(jìn)入內(nèi)網(wǎng)和核心系統(tǒng)。

因此,防守方需針對(duì)主機(jī)安全進(jìn)行“事前、事中、事后”的全面重點(diǎn)防護(hù),除去主機(jī)殺毒軟件的事后處置,防守方也需要利用CWPP、EDR等軟件做好事前風(fēng)險(xiǎn)排查、異常行為實(shí)時(shí)監(jiān)測(cè)的全流程管控,補(bǔ)齊針對(duì)新型攻擊的動(dòng)態(tài)防守能力:

1. 持續(xù)排查

動(dòng)態(tài)梳理攻擊面,持續(xù)發(fā)現(xiàn)主機(jī)側(cè)的系統(tǒng)、應(yīng)用、中間件、數(shù)據(jù)庫(kù)等資產(chǎn)的漏洞、弱口令、配置缺陷,有針對(duì)性進(jìn)行安全加固,避免被攻擊者利用。

2.實(shí)時(shí)監(jiān)測(cè)

通過(guò)CWPP等軟件的多行為關(guān)聯(lián)分析引擎對(duì)終端行為的不間斷監(jiān)測(cè),實(shí)時(shí)發(fā)現(xiàn)惡意行為和高級(jí)威脅,阻斷諸如加密、0Day、無(wú)文件等采用新型技術(shù)的攻擊。

3.溯源處置

針對(duì)已經(jīng)發(fā)生的攻擊,做好主機(jī)內(nèi)威脅自動(dòng)取證及攻擊行為關(guān)聯(lián)聚合,通過(guò)可視化研判系統(tǒng)提供的攻擊故事線還原能力,完整還原攻擊入侵全過(guò)程,從而快速定位攻擊入口、全面篩查受感染面、精準(zhǔn)隔離威脅源頭,深度保護(hù)業(yè)務(wù)資產(chǎn)安全。

“攻防兵法”第三計(jì):精準(zhǔn)管控

訪問(wèn)人員復(fù)雜、弱密碼問(wèn)題嚴(yán)重、用戶權(quán)限固化、可疑行為難追溯、異常訪問(wèn)難發(fā)現(xiàn)……由于大部分政企單位的訪問(wèn)控制管理存在以上問(wèn)題。利用弱口令爆破、釣魚(yú)郵件、水坑攻擊等手段竊取合法身份,利用用戶權(quán)限入侵至重要系統(tǒng),也成了近年攻擊方普遍使用的方法之一。

從攻防對(duì)抗的視角出發(fā),針對(duì)所有員工所使用的終端、連接的網(wǎng)絡(luò)、訪問(wèn)的應(yīng)用系統(tǒng)和數(shù)據(jù)建立零信任控制機(jī)制,設(shè)立層層識(shí)別的用戶訪問(wèn)系統(tǒng)和動(dòng)態(tài)管理的訪問(wèn)控制權(quán)限,做好訪問(wèn)權(quán)限的精準(zhǔn)管控,可以極大程度上阻止此類攻擊事件的發(fā)生:

1.做好基于統(tǒng)一身份憑據(jù)的訪問(wèn)控制,收縮業(yè)務(wù)、網(wǎng)絡(luò)暴露面,隱藏業(yè)務(wù)網(wǎng)絡(luò)拓?fù)洌_保授信終才能訪問(wèn)。

2.基于統(tǒng)一“鑒白”分析與持續(xù)信任評(píng)估,實(shí)現(xiàn)認(rèn)證、訪問(wèn)、外聯(lián)等環(huán)節(jié)的風(fēng)險(xiǎn)可控。

3.通過(guò)跨多類訪問(wèn)場(chǎng)景的統(tǒng)一策略控制,持續(xù)調(diào)優(yōu)防火墻、代理網(wǎng)關(guān)、終端等場(chǎng)景環(huán)節(jié)的訪問(wèn)控制策略。

4.通過(guò)流量鏡像將全部用戶認(rèn)證和訪問(wèn)業(yè)務(wù)的流量傳輸給NDR,由NDR進(jìn)行分析和檢測(cè),發(fā)現(xiàn)風(fēng)險(xiǎn),及時(shí)處置,防止攻擊入侵。

“攻防兵法”第四計(jì):溯源反制

在做好防守、監(jiān)測(cè)、響應(yīng)等工作后,防守方還可以選擇“主動(dòng)出擊”,誘捕攻擊進(jìn)行溯源。但大部分攻擊誘捕設(shè)備需要獨(dú)立部署,極其容易被攻擊方發(fā)現(xiàn)。深信服“攻防兵法”提供了新思路:將誘捕技術(shù)與防火墻結(jié)合,在防火墻上偽裝代理和誘餌。

一方面,偽裝代理防火墻及其關(guān)聯(lián)的沙箱采用動(dòng)態(tài)策略,對(duì)外呈現(xiàn)動(dòng)態(tài)網(wǎng)絡(luò)資產(chǎn)架構(gòu),干擾攻擊者視線,引導(dǎo)攻擊者進(jìn)入互聯(lián)網(wǎng)誘餌系統(tǒng),阻斷攻擊。

另一方面,誘餌系統(tǒng)將反向引導(dǎo)攻擊者在虛假攻擊中暴露出設(shè)備指紋、社交ID等關(guān)鍵信息,在態(tài)勢(shì)感知平臺(tái)上統(tǒng)一展示。且互聯(lián)網(wǎng)側(cè)防火墻還可以引流到云端,結(jié)合云端威脅情報(bào)進(jìn)行高級(jí)溯源分析,發(fā)揮最佳誘捕和溯源分析效果。

“攻防兵法”第五計(jì):云地協(xié)同

在安全人員精力有限的情況下,面對(duì)設(shè)備上不間歇增加的安全告警,防守方該如何快速篩掉誤報(bào)?如何進(jìn)行有效的關(guān)聯(lián)分析?如何跨組織跨小組迅速調(diào)動(dòng)人員、協(xié)同作戰(zhàn)?

“找外援“也許是個(gè)不錯(cuò)的辦法,威脅分析平臺(tái)與實(shí)時(shí)在線的云端高階專家配合完成實(shí)戰(zhàn)期間的日志實(shí)時(shí)采集、威脅監(jiān)測(cè)、關(guān)聯(lián)分析、事件響應(yīng)。而以往深陷于海量告警的安全人員只需要關(guān)注實(shí)戰(zhàn)攻防演習(xí)防守作戰(zhàn)協(xié)同平臺(tái)(SIR)即可直觀了解到各資產(chǎn)狀態(tài)、威脅分析研判結(jié)果、安全事件處置進(jìn)展及人員排班。

不僅僅如此,在夜間等防守薄弱時(shí)期,云端專家配合現(xiàn)場(chǎng)值守人員進(jìn)行7*24小時(shí)監(jiān)測(cè)。一旦發(fā)現(xiàn)威脅或事件,云端專家將會(huì)立即發(fā)出告警并分析研判,由威脅分析平臺(tái)聯(lián)動(dòng)安全防護(hù)設(shè)備進(jìn)行精準(zhǔn)處置。通過(guò)自動(dòng)化平臺(tái)、云端高階專家與本地人員的共同協(xié)作,最終搭建起全天候、高效率的實(shí)時(shí)監(jiān)測(cè)預(yù)警響應(yīng)體系,減輕防守方的監(jiān)測(cè)值守壓力。

在歷年的實(shí)戰(zhàn)攻防中,深信服以自身優(yōu)秀的攻防能力及防守策略幫助眾多防守方圓滿完成防守任務(wù)。面對(duì)今年“強(qiáng)度更高、難度更大“的網(wǎng)絡(luò)攻防實(shí)戰(zhàn),也許您還有很多防守工作的困惑和疑問(wèn),您可咨詢深信服專家,深信服專家將為您提供一對(duì)一專家解答,助您提前避坑,在今年的實(shí)戰(zhàn)攻防中取得佳績(jī)。

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問(wèn)題的,請(qǐng)聯(lián)系我們。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過(guò)于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

醫(yī)療科技 獵頭職位 更多
文章糾錯(cuò)
x
*文字標(biāo)題:
*糾錯(cuò)內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號(hào)