隨著國際、國內(nèi)網(wǎng)絡(luò)安全局面的復雜化、企業(yè)數(shù)字化程度的加深以及數(shù)字世界不同主體之間的聯(lián)動加深,網(wǎng)絡(luò)安全不再是某一家企業(yè)、某一個部門的責任,而逐漸成為兼具企業(yè)經(jīng)濟責任和社會責任的“廣義”安全命題。因此,組織、參與實戰(zhàn)演練就成為政府、企業(yè)及社會各界非常重視,也是我們安全建設(shè)者們一年一度的重要工作。實戰(zhàn)演練也是對安全廠商的一次“大考”,通過真刀真槍的對抗,來檢驗安全產(chǎn)品的性能、安全體系的穩(wěn)定程度、安全人才的實力。

在歷年對抗中,藍方(防守方)的經(jīng)驗越來越豐富,工具越來越強大,直接導致紅方(攻擊方)的手段花樣翻新,且越來越真實。針對今年攻防演練行動的特殊變化,也需要相應(yīng)的能力升級。

例如,時間長度的拉長和參與主體的增多,一方面會導致原有安全防御策略的失效,另一方面也會更大程度暴露攻擊面,尤其是一些新納入攻防演練的主體,可能會陷入“被攻破后原地躺平”的風險。

俗話說,“工欲善其事,必先利其器”,這里我們就針對2024年的一些新任務(wù)、新變化和新挑戰(zhàn),通過連載的方式,為大家推薦 “專季專用”的神器,在重點演練場景中的應(yīng)用攻略。

——NDR&安全湖——

由于攻防演練常態(tài)化,攻方最常用的手段就是偵查、滲透、提權(quán)、長期駐留,防守方對應(yīng)的策略也可以利用這些攻擊溯源反滲透和反偵察、因此,是否能夠完整、全面、客觀、敏捷的對攻防期間的數(shù)據(jù)和流量進行分析,就成了致勝的“勝負手”。

根據(jù)數(shù)世咨詢發(fā)布的《NDR能力指南》,NDR&威脅情報可以在攻防演練場景的如下維度發(fā)揮重要作用:

●提供全流量會話PCAP文件形式的存儲,還原攻擊事件和異常行為,供用戶隨時調(diào)取;

●以時間為主線,分析黑客行為。要能清晰完整呈現(xiàn)攻擊IP的攻擊次數(shù)、攻擊手法、攻擊工具,為溯源提供數(shù)據(jù)支撐;

●接到監(jiān)管單位、上級單位的預(yù)警通知,以及安全告警事件后,溯源分析關(guān)鍵時間點的數(shù)據(jù)包上下文,還原當時的攻擊場景,為分析研判提供支撐;

●威脅情報關(guān)聯(lián)分析,即對流量數(shù)據(jù)與內(nèi)部威脅情報進行聯(lián)動分析。通過匹配黑IP、黑域名的外部威脅情報庫,記錄告警資產(chǎn)與黑客的會話連接數(shù)據(jù),同時,記錄黑客在資產(chǎn)區(qū)的全部活動軌跡。

騰訊云NDR產(chǎn)品(由NDR御界高級威脅檢測系統(tǒng)和NDR天幕安全治理平臺組成)基于云端協(xié)同的全流量檢測,覆蓋勒索病毒、郵件安全、密碼安全等八大安全場景,開箱即用,通過安全專題將威脅聚焦,結(jié)合可視化分析幫助客戶針對性解決風險問題;在檢測能力方面,AI算法+威脅情報+哈勃沙箱+規(guī)則引擎四大領(lǐng)先利器,強力對抗攻擊繞過和0day漏洞;在響應(yīng)速度上,騰訊云NDR具備全面的互聯(lián)網(wǎng)漏洞檢測機制及國內(nèi)領(lǐng)先的威脅情報庫,能實現(xiàn)實時聯(lián)動,快速響應(yīng)最新漏洞和事件;在阻斷效果上,騰訊云NDR采用非侵入式旁路阻斷攻擊行為,閉環(huán)處置事件,阻斷成功率高達99.99%。

由于參與攻防演練的政府部門和企業(yè),大多屬于“關(guān)基”范疇,相關(guān)的安全數(shù)據(jù)規(guī)模巨大、管理、查詢、追溯的成本都非常高(既包括財務(wù)成本,也包括技術(shù)和人員成本)。

基于騰訊云安全湖產(chǎn)品,實現(xiàn)低成本、高性能、全棧國產(chǎn)化,為所有泛安全數(shù)據(jù)提供一體化的數(shù)據(jù)接入、架構(gòu)、存儲、分析、檢索、報表和可視化能力,降低90%存儲成本,PB級數(shù)據(jù)分析秒級響應(yīng)。基于威脅情報的能力,提供全流量數(shù)據(jù)存儲與分析溯源方案,能發(fā)現(xiàn)180天以上的長周期歷史數(shù)據(jù)中的未知威脅,并提供情報回溯、威脅狩獵等能力,幫助企業(yè)快速應(yīng)對APT、0day漏洞等高危事件,回掃歷史數(shù)據(jù),發(fā)現(xiàn)潛在威脅,御敵千里之外。

——HVV高發(fā)場景及對策——

場景1:全流量數(shù)據(jù)存儲與深度分析回溯

「行業(yè)發(fā)生大規(guī)模入侵,希望基于數(shù)據(jù)回溯快速了解公司安全狀況,是否有關(guān)鍵業(yè)務(wù)置于高風險中;需要實時回溯全流量、長周期數(shù)據(jù),從而全面了解攻擊方的目標、手段以便制定對策?！?/strong>

騰訊云NDR+安全湖:基于全流量的長周期威脅情報&APT檢測;回溯情報和漏洞排查是否存在歷史入侵和侵入;威脅狩獵,主動發(fā)現(xiàn)APT攻擊和最新的漏洞攻擊;儀表板可視化分析,了解安全態(tài)勢、流量態(tài)勢、攻擊源IP和IP畫像以及整改情況;支持180天以上的全流量分析、調(diào)查取證、回溯和可視化。

場景2:APT攻擊識別與威脅回溯

「合規(guī)要求快速排查潛伏的APT,了解影響面以便提前應(yīng)對監(jiān)管。動態(tài)回溯半年乃至一年的數(shù)據(jù)情況,根據(jù)黑客行為判定企業(yè)業(yè)務(wù)單元和數(shù)據(jù)資產(chǎn)面臨的威脅。」

騰訊云NDR+安全湖:構(gòu)建狩獵/情報回溯任務(wù),收集回掃歷史數(shù)據(jù)并可視化分析、調(diào)查取證?；谕{情報IOC、ATT&CK TTP,實現(xiàn)APT高級威脅狩獵;在攻防對抗場景識別對抗前就已經(jīng)潛伏的、未發(fā)現(xiàn)的威脅。

場景3:0day漏洞及時響應(yīng)與風險排查

「由于某新漏洞大規(guī)模爆發(fā),不少企業(yè)系統(tǒng)癱瘓,企業(yè)希望能夠快速排查0day漏洞及潛在風險?！?/strong>

騰訊云NDR+安全湖:實現(xiàn)針對歷史數(shù)據(jù)的快速完整回溯分析以及新增數(shù)據(jù)的實時檢測;持續(xù)狩獵,基于數(shù)據(jù)和征兆進行安全分析主動防御,避免0day攻擊防御天然滯后性帶來的巨大安全風險;在0day漏洞入侵的整個時間線上,實現(xiàn)漏洞信息的獲取、漏洞修復和漏洞潛在威脅的復查。

場景4:對現(xiàn)有SOC架構(gòu)進行升級優(yōu)化

「客戶現(xiàn)有SOC平臺節(jié)點多、性能低、效率慢,安全場景擴展能力差,無法實現(xiàn)長期數(shù)據(jù)的回溯?！?/strong>

騰訊云NDR+安全湖:支持對現(xiàn)有SOC升級優(yōu)化,對原有未加工的原始數(shù)據(jù)進行結(jié)構(gòu)化,生成日志&告警,進入SOC平臺實現(xiàn)告警處置與響應(yīng)閉環(huán),實現(xiàn)自主構(gòu)建檢測能力、更深度的調(diào)查/威脅狩獵,為SOC平臺賦予更高的效率和擴展性,實現(xiàn)持續(xù)運營和處置閉環(huán)能力。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。