深信服這本“攻防兵法”,助您守住實(shí)戰(zhàn)攻防的安全大門(mén)
隨著數(shù)字化轉(zhuǎn)型的深入,資產(chǎn)數(shù)字化導(dǎo)致了各組織單位的暴露面不斷擴(kuò)大,加之愈發(fā)密集的網(wǎng)絡(luò)攻擊,頻繁發(fā)生的安全事件促使網(wǎng)絡(luò)安全從合規(guī)走向了實(shí)戰(zhàn)對(duì)抗的新階段。
但在大部分組織的防守策略一成不變的同時(shí),攻擊方的“武器”配備卻逐漸完善,社交網(wǎng)絡(luò)釣魚(yú)、0Day、Nday、無(wú)文件攻擊等新型手法層出不窮。不僅如此,攻擊方的攻擊路徑也更為刁鉆,開(kāi)始針對(duì)遠(yuǎn)程辦公、云原生場(chǎng)景、軟件供應(yīng)鏈等防守“空白區(qū)”發(fā)起攻擊。
攻擊者可以失誤無(wú)數(shù)次,但防守方卻只能失誤一次。面對(duì)種種攻防之間的實(shí)力差距,您真的擁有了與攻擊者實(shí)時(shí)對(duì)抗的能力嗎?又該如何在實(shí)戰(zhàn)對(duì)抗中做到“0失誤”?
今天,深信服為您帶來(lái)一本“攻防兵法”,通過(guò)“攻防五計(jì)”助您補(bǔ)齊防守能力,守好實(shí)戰(zhàn)攻防的大門(mén)。
“攻防兵法”第一計(jì):知彼知己
如今,收集資產(chǎn)信息已經(jīng)成為所有攻擊方默認(rèn)的第一步。但很多政企單位對(duì)自身的脆弱性和暴露面不了解,影子資產(chǎn)、數(shù)據(jù)泄露事件給了攻擊方大量可利用入口。
所謂“知彼”,政企單位需要掌握攻擊方的方法變化,通常可以利用紅隊(duì)檢測(cè)模擬出攻擊方可能開(kāi)展的攻擊路徑,進(jìn)行相應(yīng)的防守部署。
所謂“知己”,政企單位需要在資產(chǎn)梳理的基礎(chǔ)上進(jìn)行互聯(lián)網(wǎng)敏感信息排查、識(shí)別脆弱性、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等動(dòng)作,洞悉內(nèi)外部風(fēng)險(xiǎn)點(diǎn)。
在“知彼知己”的基礎(chǔ)上,想要“百戰(zhàn)不殆”,還需要一個(gè)關(guān)鍵動(dòng)作——查漏補(bǔ)缺,防守方需針對(duì)人、端、網(wǎng)、云、應(yīng)用五個(gè)層面優(yōu)化訪問(wèn)策略、安全基線、漏洞補(bǔ)丁等現(xiàn)有安全防護(hù),補(bǔ)齊安全監(jiān)測(cè)分析、云平臺(tái)防護(hù)、誘捕攻擊等缺失的防護(hù)能力,打牢實(shí)戰(zhàn)對(duì)抗的防守“基本功”。
“攻防兵法”第二計(jì):重點(diǎn)防護(hù)
總結(jié)往年多次實(shí)戰(zhàn)對(duì)抗的經(jīng)驗(yàn),攻擊方和防守方在主機(jī)安全側(cè)存在嚴(yán)重的能力不對(duì)等。
一方面,防守方以往的安全建設(shè)方式側(cè)重于邊界安全,往往輕視了主機(jī)的安全防護(hù)。另一方面,攻擊方敏銳地察覺(jué)到了主機(jī)安全的防護(hù)缺失,開(kāi)始大肆利用新型攻擊手段來(lái)繞過(guò)邊界,突破服務(wù)器、終端,以此進(jìn)入內(nèi)網(wǎng)和核心系統(tǒng)。
因此,防守方需針對(duì)主機(jī)安全進(jìn)行“事前、事中、事后”的全面重點(diǎn)防護(hù),除去主機(jī)殺毒軟件的事后處置,防守方也需要利用CWPP、EDR等軟件做好事前風(fēng)險(xiǎn)排查、異常行為實(shí)時(shí)監(jiān)測(cè)的全流程管控,補(bǔ)齊針對(duì)新型攻擊的動(dòng)態(tài)防守能力:
1. 持續(xù)排查
動(dòng)態(tài)梳理攻擊面,持續(xù)發(fā)現(xiàn)主機(jī)側(cè)的系統(tǒng)、應(yīng)用、中間件、數(shù)據(jù)庫(kù)等資產(chǎn)的漏洞、弱口令、配置缺陷,有針對(duì)性進(jìn)行安全加固,避免被攻擊者利用。
2.實(shí)時(shí)監(jiān)測(cè)
通過(guò)CWPP等軟件的多行為關(guān)聯(lián)分析引擎對(duì)終端行為的不間斷監(jiān)測(cè),實(shí)時(shí)發(fā)現(xiàn)惡意行為和高級(jí)威脅,阻斷諸如加密、0Day、無(wú)文件等采用新型技術(shù)的攻擊。
3.溯源處置
針對(duì)已經(jīng)發(fā)生的攻擊,做好主機(jī)內(nèi)威脅自動(dòng)取證及攻擊行為關(guān)聯(lián)聚合,通過(guò)可視化研判系統(tǒng)提供的攻擊故事線還原能力,完整還原攻擊入侵全過(guò)程,從而快速定位攻擊入口、全面篩查受感染面、精準(zhǔn)隔離威脅源頭,深度保護(hù)業(yè)務(wù)資產(chǎn)安全。
“攻防兵法”第三計(jì):精準(zhǔn)管控
訪問(wèn)人員復(fù)雜、弱密碼問(wèn)題嚴(yán)重、用戶權(quán)限固化、可疑行為難追溯、異常訪問(wèn)難發(fā)現(xiàn)……由于大部分政企單位的訪問(wèn)控制管理存在以上問(wèn)題。利用弱口令爆破、釣魚(yú)郵件、水坑攻擊等手段竊取合法身份,利用用戶權(quán)限入侵至重要系統(tǒng),也成了近年攻擊方普遍使用的方法之一。
從攻防對(duì)抗的視角出發(fā),針對(duì)所有員工所使用的終端、連接的網(wǎng)絡(luò)、訪問(wèn)的應(yīng)用系統(tǒng)和數(shù)據(jù)建立零信任控制機(jī)制,設(shè)立層層識(shí)別的用戶訪問(wèn)系統(tǒng)和動(dòng)態(tài)管理的訪問(wèn)控制權(quán)限,做好訪問(wèn)權(quán)限的精準(zhǔn)管控,可以極大程度上阻止此類攻擊事件的發(fā)生:
1.做好基于統(tǒng)一身份憑據(jù)的訪問(wèn)控制,收縮業(yè)務(wù)、網(wǎng)絡(luò)暴露面,隱藏業(yè)務(wù)網(wǎng)絡(luò)拓?fù)洌_保授信終才能訪問(wèn)。
2.基于統(tǒng)一“鑒白”分析與持續(xù)信任評(píng)估,實(shí)現(xiàn)認(rèn)證、訪問(wèn)、外聯(lián)等環(huán)節(jié)的風(fēng)險(xiǎn)可控。
3.通過(guò)跨多類訪問(wèn)場(chǎng)景的統(tǒng)一策略控制,持續(xù)調(diào)優(yōu)防火墻、代理網(wǎng)關(guān)、終端等場(chǎng)景環(huán)節(jié)的訪問(wèn)控制策略。
4.通過(guò)流量鏡像將全部用戶認(rèn)證和訪問(wèn)業(yè)務(wù)的流量傳輸給NDR,由NDR進(jìn)行分析和檢測(cè),發(fā)現(xiàn)風(fēng)險(xiǎn),及時(shí)處置,防止攻擊入侵。
“攻防兵法”第四計(jì):溯源反制
在做好防守、監(jiān)測(cè)、響應(yīng)等工作后,防守方還可以選擇“主動(dòng)出擊”,誘捕攻擊進(jìn)行溯源。但大部分攻擊誘捕設(shè)備需要獨(dú)立部署,極其容易被攻擊方發(fā)現(xiàn)。深信服“攻防兵法”提供了新思路:將誘捕技術(shù)與防火墻結(jié)合,在防火墻上偽裝代理和誘餌。
一方面,偽裝代理防火墻及其關(guān)聯(lián)的沙箱采用動(dòng)態(tài)策略,對(duì)外呈現(xiàn)動(dòng)態(tài)網(wǎng)絡(luò)資產(chǎn)架構(gòu),干擾攻擊者視線,引導(dǎo)攻擊者進(jìn)入互聯(lián)網(wǎng)誘餌系統(tǒng),阻斷攻擊。
另一方面,誘餌系統(tǒng)將反向引導(dǎo)攻擊者在虛假攻擊中暴露出設(shè)備指紋、社交ID等關(guān)鍵信息,在態(tài)勢(shì)感知平臺(tái)上統(tǒng)一展示。且互聯(lián)網(wǎng)側(cè)防火墻還可以引流到云端,結(jié)合云端威脅情報(bào)進(jìn)行高級(jí)溯源分析,發(fā)揮最佳誘捕和溯源分析效果。
“攻防兵法”第五計(jì):云地協(xié)同
在安全人員精力有限的情況下,面對(duì)設(shè)備上不間歇增加的安全告警,防守方該如何快速篩掉誤報(bào)?如何進(jìn)行有效的關(guān)聯(lián)分析?如何跨組織跨小組迅速調(diào)動(dòng)人員、協(xié)同作戰(zhàn)?
“找外援“也許是個(gè)不錯(cuò)的辦法,威脅分析平臺(tái)與實(shí)時(shí)在線的云端高階專家配合完成實(shí)戰(zhàn)期間的日志實(shí)時(shí)采集、威脅監(jiān)測(cè)、關(guān)聯(lián)分析、事件響應(yīng)。而以往深陷于海量告警的安全人員只需要關(guān)注實(shí)戰(zhàn)攻防演習(xí)防守作戰(zhàn)協(xié)同平臺(tái)(SIR)即可直觀了解到各資產(chǎn)狀態(tài)、威脅分析研判結(jié)果、安全事件處置進(jìn)展及人員排班。
不僅僅如此,在夜間等防守薄弱時(shí)期,云端專家配合現(xiàn)場(chǎng)值守人員進(jìn)行7*24小時(shí)監(jiān)測(cè)。一旦發(fā)現(xiàn)威脅或事件,云端專家將會(huì)立即發(fā)出告警并分析研判,由威脅分析平臺(tái)聯(lián)動(dòng)安全防護(hù)設(shè)備進(jìn)行精準(zhǔn)處置。通過(guò)自動(dòng)化平臺(tái)、云端高階專家與本地人員的共同協(xié)作,最終搭建起全天候、高效率的實(shí)時(shí)監(jiān)測(cè)預(yù)警響應(yīng)體系,減輕防守方的監(jiān)測(cè)值守壓力。
在歷年的實(shí)戰(zhàn)攻防中,深信服以自身優(yōu)秀的攻防能力及防守策略幫助眾多防守方圓滿完成防守任務(wù)。面對(duì)今年“強(qiáng)度更高、難度更大“的網(wǎng)絡(luò)攻防實(shí)戰(zhàn),也許您還有很多防守工作的困惑和疑問(wèn),您可咨詢深信服專家,深信服專家將為您提供一對(duì)一專家解答,助您提前避坑,在今年的實(shí)戰(zhàn)攻防中取得佳績(jī)。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
圖片新聞
-
金百澤科技亮相中國(guó)國(guó)際醫(yī)療器械博覽會(huì) | 盡顯醫(yī)療領(lǐng)域硬實(shí)力
-
進(jìn)階的新冠疫苗 又一個(gè)中國(guó)造
-
“AI醫(yī)療第一股”鷹瞳科技上市首日即破發(fā)
-
圓心科技登陸港股,“賣(mài)藥的生意”還好不好做?
-
十圖解讀2021年中國(guó)康復(fù)醫(yī)療行業(yè)現(xiàn)狀
-
醫(yī)藥流通數(shù)字化運(yùn)營(yíng)實(shí)現(xiàn)精細(xì)化飼養(yǎng)
-
科學(xué)家發(fā)現(xiàn)人體新器官:將有助于癌癥治療
-
李飛飛入選美國(guó)國(guó)家醫(yī)學(xué)院
最新活動(dòng)更多
-
11月19日立即報(bào)名>> 【線下論壇】華邦電子與恩智浦聯(lián)合技術(shù)論壇
-
11月29日立即預(yù)約>> 【上海線下】設(shè)計(jì),易如反掌—Creo 11發(fā)布巡展
-
即日-12.26火熱報(bào)名中>> OFweek2024中國(guó)智造CIO在線峰會(huì)
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 全數(shù)會(huì)2024中國(guó)人形機(jī)器人技術(shù)創(chuàng)新發(fā)展大會(huì)
-
精彩回顧立即查看>> OFweek 2024中國(guó)激光產(chǎn)業(yè)高質(zhì)量發(fā)展峰會(huì)
-
10 BD新浪潮
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷(xiāo)售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷(xiāo)售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市