实战演练 攻防有道 | XDR——实网攻防演练蓝队必备利器
一百次空话,不如一次实干。当前,迎击狡诈凶猛的网络威胁,定期开展实网攻防演练,已成为各类单位检验安全防护能力、完善应急处置流程和工作机制、提升安全事件应急处置综合能力的重要举措。为此,亚信安全通过信舵安全管理与分析平台将红蓝谋略、工具、资源进行 “排兵布阵”的同时,更为蓝队提供了必备利器——XDR高级威胁安全运营平台。
“狡猾”的红队
红队作为攻击方,以尽可能深入地获取目标权限为目标,不限攻击路径、不限攻击手段,也就是说,这同业界熟知的渗透测试的区别非常之大。
图:红队攻击流程
渗透测试一般只要验证漏洞的存在即可,而红队攻击则要求实际获取系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用社工手段(通过对人的诱导、欺骗等方法完成攻击),而实网攻防演练中的红队则可以在一定范围内使用社工手段,例如:针对特定目标及群体精心构造的鱼叉钓鱼攻击,以实现精准制导,突破单位安全防护体系。
红队攻击不像渗透测试,存在诸多限制,不受攻击手段和攻击路径限制等特点,使其更容易发现单位安全防护体系中的不足。狡猾的红队可能会盯上你的供应链,利用供应链的薄弱间隙,突破单位安全防护体系;狡猾的红队还有可能采用声东击西的攻击方式,正面大流量进攻某个系统,吸引火力,侧面尽量减少流量,获取权限并快速突破内网。
“忧郁”的蓝队
蓝队的主要工作包括演习前安全检查、整改与加固;演习期间进行网络安全监测、预警、分析、验证、处置、溯源;后期复盘,总结现有防护工作中的不足之处,为后续常态化网络安全防护提供优化依据等。然而,“红暗蓝明”的情况下,在加上资产不清晰、实战压力大、运营效率低、聚合效果差、威胁不可见等因素的存在,蓝队就真的成了“忧郁的蓝”。
图:传统安全防御体系下的蓝队生存现状
蓝队作为防守方,需要有全面的安全防护能力,不给敌人可乘之机。以攻击研判为例:蓝队需要针对安全系统或工具发出的告警,通过结合已有的经验和相关工具,来判断其是否为真实攻击,并根据判断结果做出响应、给出处置建议。这包括4个维度:
对已发现攻击的来源进行研判;
综合分析攻击技术、工具和路径,判断其威胁性大小;
攻击意图研判;
处置方式判断。
上承安全告警的分析,下接安全处置的实施,攻击研判同时也是事件响应过程中最具挑战性的环节:确定是否发生了事件,事件影响面有多大,后续如何遏制或根除异常、可疑活动。所以说,高效准确的研判能力将决定蓝队“排名”,这必然离不开安全运营中心、研判管理团队、安全专家团队,以及威胁狩猎团队的紧密配合。
以XDR构成实网对抗防御平台
网络安全的攻守双方信息永远是不对称的,当威胁来临的时候,一旦关键节点被击穿,受攻击的一方随时都有可能“一失万无”。因此,不论是实网攻防演练,还是面对真实攻击,安全运营绝不是临阵磨枪。
图:基于场景,进行安全运营
为此,亚信安全推出了基于日常安全运维场景的 “XDR高级威胁安全运营方案”,在对抗场景中成为蓝队的“防护神器”。首先,亚信安全XDR是以设备联动威胁情报为核心,依据标准化运营流程,通过运营组件对资产的漏洞、威胁、APT攻击进行监控,从而构建防御、检测、分析、响应的安全运营闭环。其次,XDR还具备全局感知和可视化技术,帮助用户更早的发现可疑威胁,并通过分析,确定是否被攻击,攻击受损程度,攻击是怎么发生的。
图:XDR治理勒索病毒场景
不仅在攻防演练中发挥出色,在网络安全运营管理中,基于XDR高级威胁安全运营平台,亚信安全还提供了针对“勒索病毒、挖矿软件、钓鱼防护”场景的配套解决方案,通过网络、端点、邮件、云主机等更多智能探针和EDR模块,用户可以将行为数据和威胁检测数据提交到XDR数据湖(DataLake),通过威胁运维平台(UAP),形成自动化威胁检测、病毒清除、威胁狩猎、根因分析的精密联动,大幅缩短应急处置时间。
以演练为抓手,
为数字经济发展夯实安全底座
在网络安全上升为国家安全的战略背景下,实网攻防演练已经成为维护网络空间安全的绸缪之举。作为国内最早开展实网攻防服务的厂商之一,亚信安全根据金融、运营商、能源、央企、政府等行业用户需求提供了个性化、定制化安全服务,并协助大量用户在攻防竞赛中取得了优异成绩,其领先的安全服务能力、专业的技术优势皆得到了主办单位和相关机构的高度认可。
未来,亚信安全将充分发挥自身攻防技术能力优势,依托XDR等创新技术为用户提供更优质、更高效的安全服务, 不仅在实战演练中为用户提供全程帮助,更会携手千行百业的用户,共同为数字经济发展夯实安全底座。
了解亚信安全,请点击“阅读原文”