【安天攻防演练专题】防守要点与解决方案
本期为【安天攻防演练专题】系列的第一期,将分享安天针对攻防演练场景中的防守要点,结合自主安全产品,设计的覆盖攻防演练全生命周期四个阶段的解决方案。
本期为【安天攻防演练专题】系列的第一期,将分享安天针对攻防演练场景中的防守要点,结合自主安全产品,设计的覆盖攻防演练全生命周期四个阶段的解决方案。
构筑动态综合的防御体系,是保障攻防演练防守效果的基础前提;同时,有效的防御体系,既能从时间维度上横向支撑起攻防演练活动的每一个阶段,亦可从场景化维度纵向深入到威胁情报、靶标安全、欺骗式防御等专项防护。进而形成有效的协同联动机制,达成攻防演练防守的全场景实战赋能,实现少丢分甚至多加分。
基于20余年持续参与重大应急响应支撑的专业积淀,安天连续多年在攻防演练期间为国家部委、能源电力、交通运输、金融、大型国企等客户执行防守任务,有不丢分、多加分的实战防护经验,为客户带来安全价值提升和安全信誉。安天综合梳理了自己以及其他防守方经验,特别针对常见的丢分点,总结出了十项防守要点:
安天攻防演练十大防守要点综述表 | ||
序号 | 易丢分点 | 防守要点 |
1 | 互联网资产范围不清晰,开放过多敏感端口,管理后台未做好访问控制; | 资产暴露面管控 |
2 | 信息系统存在安全漏洞和弱口令情况,被攻击方利用后获取权限; | 系统漏洞管理 |
3 | 网络边界缺乏有效安全管控和监测措施,攻击方很容易突破进行横向移动; | 网络边界监测与防御 |
4 | 缺失对所有主机统一安全管理防护,被攻击方突破后植入木马进行远程控制; | 端点安全统管 |
5 | 缺乏有效威胁情报来源,对已暴露的攻击手段和最新漏洞无法及时获悉; | 专项威胁情报 |
6 | 缺少可以迷惑攻击方、延缓攻击、溯源加分的诱饵系统; | 欺骗式防御构建 |
7 | 靶标系统防护强度不够,被攻击方进入内网后攻陷; | 靶标安全防护 |
8 | 员工安全意识薄弱,容易被攻击方社工钓鱼邮件攻击; | 安全意识宣贯&攻防预演 |
9 | 供应链存在风险隐患,容易被攻击者利用进行突破; | 供应链安全管控 |
10 | 防守队伍安全技术能力不足,在对抗过程中无法精准定位、分析溯源与处置威胁。 | 安全专家支撑 |
图1 安天攻防演练全生命周期解决方案
演练启动阶段,安天将基于用户场景进行资产梳理和网络安全防护现状调研,协助用户建立健全攻防演练组织和管理规划,明确演练期间的各项工作机制,向所有相关责任人宣贯攻防演练的重要性和工作部署方案。
同时,对用户的网络安全架构进行评估,给出优化方案。
2. 准备阶段
首先,组织专项团队为用户提供脆弱性检测服务,检测方法包括基线检查、漏洞扫描、渗透测试等,并在完成检测后,为用户提供安全加固服务,协助对存在漏洞和不安全配置的资产进行全方位的安全加固;同时依据安全现状进行安全防守策略调优,提升安全产品对抗强度。
其次,是同步进行威胁检测与处置,及时检查并处置主机上的木马病毒。
此外,将为用户提供安全意识、安全攻防技术等安全培训,帮助相关人员识别演练中攻击方常用的各种攻击手段,全面提升相关人员的防护水平。
3. 决战阶段
安天将基于自身的威胁情报分析平台和威胁捕获系统为用户提供威胁情报服务,协助用户全方位掌握演练期间的攻击相关威胁情报。同时,利用自研安全产品和用户已有的第三方安全产品,为用户提供 7×24 小时的安全监测值守服务,包括专项威胁情报、邮件安全监测、网站安全防护、靶标安全防护、网络边界监测、终端威胁检查、欺骗式防御等专项服务。
演练值守期间,组织专项团队对安全告警和威胁情报等进行分析确认,在确认发现安全事件时,如防线被攻方团队攻破、信息破坏(篡改、泄露、窃取、丢失等)、大规模病毒、远控木马、网站漏洞事件等,安天将及时进行事件分析与应急处置,并协调相关资源进行追踪溯源,协助用户撰写防守成果报告,报送给相关单位,获得加分。
4. 总结阶段
演练结束后,将对演练期间攻击成功的事件和防守成功的事件等相关情况,进行详细的全过程复盘;同时,基于演练过程中的工作记录,总结与安全事件相关的各种信息,根据演练工作中暴露的安全问题和流程问题,为用户提供针对性的措施和建议,并协助用户完善安全防御机制,优化网络安全防护体系。
最后,安天还将为用户提供具有针对性的专项技能培训服务,协助用户培养自身的网络安全人才体系。
下期为【安天攻防演练专题】系列的第二期,将分享基于攻防演练场景化的威胁情报、邮件安全、网站安全、靶标安全、网络边界、终端威胁、欺骗式防御等七类专项防护,以及相关实际案例。