《一场惊心动魄的实网攻防演习,复盘TOP国有银行如何做到「不破防」?》——良策揭秘篇
回顾这两个月,从演习前准备到演习正式开始,每一次和防守单位沟通协作、补齐安全防护短板,每一次和攻击方正面交战、铺设陷阱见招拆招,每一次和体系内安全专家协同、分析攻击方技战术……
其中的神奇特技和谋篇布局,我们记录于系列文章,本期是第一期《良策揭秘篇》。
——写在前面
“实网攻防演习”是怎么回事
网络攻防是典型的不对等对抗
原因有三:
第一是“点面不对称”。防御需考虑全局,而攻击可从任何一个薄弱点入手。
第二是“成本不对等”。网络武器的获取日趋容易,使得网络攻击成本逐步降低,与此同时,防御成本却不断攀升。
第三是“效率不对等”。自动化、智能化的攻击方式使攻击效率显著提升,对防守方的安全响应速度要求越来越快,然而面对大量安全事件,防守方处置效率极低。
网络「不破防」有多难?
攻击方神出鬼没 防守方要能「看见」
概括说来,「看见」有四:
看见战场:攻击者致力于打入防守单位的内部,防守单位首先要摸清自身家底,明晰网络攻防双方交战的战场。看见战场,需要我们防守单位全面梳理网络地图、资产、业务、数据、系统、应用、身份等。
看见风险:对于TOP国有银行单位,由于业务的复杂性和信息技术的深度应用,攻防双方的交战之场范围极广,任何漏洞等风险都可能被攻击方利用。看见风险,需要我们防守单位全面挖掘存在的漏洞、弱口令、错误配置、暴露端口等。
看见威胁:常见的网络威胁有恶意软件、高级持续威胁攻击、勒索攻击、供应链攻击、社会工程学攻击、分布式拒绝服务攻击等。看见威胁,需要我们防守单位感知威胁态势,获取威胁图谱、攻击技战术、威胁情报等。
看见异常:尽管攻击者极力隐匿踪迹,但是雁过留痕,通过汇聚打通各个维度的安全数据,再连接全网数据和全网知识库做全网分析,从大数据中分析发现异常线索。看见异常,需要我们防守单位打破就地分析、本地分析的局限性,形成风险、威胁和攻击的全局视角,看见设备行为异常、人员行为异常、应用行为异常、数据行为异常、网络通信异常等。
通过「看见」,提前斩断杀伤链
概括说来,从五方面着手:
狩猎追踪:对攻击者进行狩猎追踪,分析攻击者的意图、攻击路径、攻击手段、攻击过程等。
态势感知:掌握攻击者的入侵态势,攻击者所面对的风险态势,以及合规态势。
响应编排:优化告警规则、降低误报,通过自动编排实现高效响应,使安全事件响应处置流程化。
清理阻断:对于看见的攻击,及时阻断清理。
修复加固:通过打补丁、修改安全配置、增加安全机制等方式,封堵裂痕、修复加固,消除降低安全隐患。
构建以「看见」为核心的安全运营服务体系——即不破防的「良策」
众里寻他,为什么360有最强「看见」能力?
因此,360具有业界最强的全网「看见」能力,源于这16项能力要素:
终端:通过15亿终端,实时感知全球全网安全事件
云端:全球首家云原生安全公司,云端分析安全数据
安全大数据:总规模2EB,任何网络攻击都能被看见
大数据技术:首创超大规模安全数据,存储、处理和检索技术
AI分析技术:在海量样本中自动化、智能化发现攻击线索
数据中台:超大规模数据实时处理,和亿万终端并发处理
全网视野:建立全局视野,看见全球和全网安全态势
历史维度:完整记录全量安全大数据,攻击线索历史回溯与关联
安全样本库:世界上最大的安全样本库,样本总数300亿
APT基因库&攻防知识库:掌握样本基因、APT攻击技战法,识别未知攻击
攻防对抗:在10亿终端上实时查杀、追踪、阻断、清理
专家团队:安全专家2000多名,组成东半球最强白帽子军团
漏洞能力:累计挖掘CVE漏洞3000多,是国内第一、世界领先
运营体系:人+技术+工具+数据+平台,持续安全运营能力
服务能力:以互联网SaaS模式提供安全服务,10余年服务15亿用户
商业模式:以安全支撑互联网,以互联网反哺安全
360基于「看见」,捍卫国家网空主权
「看见」有哪些价值?
服务国家:面向各大监管部门,以SaaS化方式输出全网安全数据,提供数据赋能。
服务企业:集中建设以安全大脑为核心的安全运营中心,通过汇聚数据和分析能力集中建设,提供统一态势感知、威胁检测、联动响应;对基层单位支持和赋能,联防联控。
服务城市:创新城市数字安全建设新模式,把过去的“卖药”的模式升级为建设城市“数字安全医院”,构建城市网络安全与数字化发展长效机制,打造以数字安全大脑为核心的城市数字安全能力体系,为当地政府部门和企业提供SaaS化安全服务。
服务中小微企业:依托全面SaaS架构实现从本地到远程、从终端到网络的硬件、软件、数据、行为、人的全方位数字化管理。
服务个人用户:以免费安全守护亿万消费者安全用网,提升国民网络安全整体水平。
了解了本次演习「不破防」的核心方略,那么在战术层面,防守单位还使出了哪些必胜技?敬请关注下一期《精兵揭秘篇》。
往期精彩