随着数字化转型的推进,资产的数字化增加了整个组织的曝光率,以及网络攻击的集中度,频繁的安全事件正在将网络安全从合规性转变为战斗。然而,虽然大多数组织的防御策略保持不变,但攻击者的“武器”却在逐渐完善,新的技术如社交网络钓鱼、0day、Nday和无文件攻击不断涌现。不仅如此,攻击者的攻击路径更加棘手,已经开始攻击防御“空白区域”,如远程、云原生场景和软件供应链。进攻者可以犯很多次错误,但防守者只能犯一次错误。面对各种攻防之间的实力差异,你真的有能力与攻击者即时对抗吗?另外,要在实战对抗中达成“零失误”,该怎么做才好呢?今天,深刻的信念将带给你“攻防兵法”,通过“攻防五计”来补充你的防守能力,帮助你守住实战攻防之门。如今,收集资产信息已成为所有攻击者默认的第一步。然而,许多政府机构并不了解自己的漏洞和暴露情况,影子资产和数据泄露为攻击者提供了许多切入点。在所谓的“知识”中,政府和企业需要掌握攻击者在方法上的变化,通常可以利用红队来模拟攻击者可能采取的攻击路径,并进行相应的防御部署。所谓“好朋友”,是指在资产整理的基础上,对互联网敏感信息进行调查、漏洞识别、数据安全风险评估等,掌握内外风险点。
要“百战”,要在“知识与好友”的基础上,要做的也是一个关键行动--检查差距,防卫方优化现有的安全防护措施,如人、端、网、云、接入策略、安全基线、漏洞补丁等,分五个层面,进行安全监控分析,必须加强实际战斗防御的“基本技能”,补充缺少的防护能力,如云平台防护、陷阱攻击等。
“进攻和防守战术”第二种手段:总结过去几年的实战经验,进攻方和防守方在主机安全方面存在着严重的能力差距。另一方面,防御方的安全构建方法往往侧重于边界安全,而忽略了对主机的安全保护。与此同时,攻击者敏锐地意识到主机安全缺乏保护,并开始积极使用新的攻击方法来绕过边界,突破服务器和终端,进入内部网和核心系统。因此,防御方需要对主机的安全进行“事前、中、后”的综合重点保护,除了对主机的防病毒软件进行事后处理外,防御方还可以使用CWPP、EDR等软件,进行事前风险调查、异常行为实时监控的完整过程控制。它必须补充对新攻击的动态防御能力。我们将不断调查动态攻击面,不断发现主机端系统、应用程序、中间件和数据库等资产中的漏洞、弱密码和配置缺陷,并进行有针对性的安全增强,以避免被攻击者利用。实时监控是通过CWPP等软件的多行为相关分析引擎对终端行为进行持续监控,实时发现恶意行为和高级威胁,并利用加密、0Day、无文件等新技术阻止攻击。3、针对发生的攻击,在主机内进行威胁自动取证和攻击行为的相关汇总,通过视觉判断系统提供的攻击故事情节恢复能力,全面恢复整个攻击入侵过程,快速定位攻击门户,全面筛选感染面,准确隔离威胁源;保护业务资产的深度安全。“攻防兵法”第三个计策:精密控制接入人员复杂,密码弱问题严重,用户权限固化,可疑活动难以追溯,异常访问难以发现大多数政府机构的门禁管理存在以上问题。利用弱密码爆炸、钓鱼邮件、水坑攻击等手段窃取合法身份,利用用户权限侵入关键系统,近年来也成为攻击者常用的方法之一。从防御和防御的角度出发,对所有员工使用的终端、连接的网络、应用系统和他们访问的数据建立零信任控制机制,建立识别的用户访问系统和动态管理的访问控制权限层,对访问权限进行精确控制。这样可以在很大程度上防止这种攻击的发生。基于统一身份证件的门禁控制做好,减少了业务和网络暴露面,隐藏了业务网络拓扑,让信用终端可以访问。2.基于统一的“白色”分析和持续的信任评估,实现认证、访问和外联风险管理。3.通过跨多个访问场景的统一策略控制,不断调整防火墙、代理网关和终端等场景的访问控制策略。4.通过流量镜像将所有用户认证和访问业务的流量转发到NDR,通过NDR进行分析和检查,发现风险,及时处置,防止攻击入侵。
“进攻与防御战术”第四种手段:可追溯性措施在做好防御、监视、应对等工作后,防御者可以选择“主动进攻”,并将攻击陷阱进行跟踪。然而,大多数攻击陷阱必须独立部署,并且很容易被攻击者检测到。“进攻和防御战术”为我们提供了一个新的思路:陷阱技术与防火墙相结合,在防火墙上伪装代理和诱饵。另一方面,伪装代理防火墙及相关沙箱采用动态策略,向外部提示动态网络资产架构,干扰攻击者的视线,引导攻击者进入互联网诱饵系统,阻断攻击。另一方面,诱饵系统向虚假攻击者发布关键信息,如设备指纹和社交ID,并在态势感知平台上统一显示。此外,互联网端的防火墙也可以排入云端,并结合云威胁情报进行高级可追溯性分析,发挥最佳的陷阱和可追溯性分析效果。
“攻防战术”第五手段:在能源有限的情况下,面对设备上安全报警的增加,防守方如何快速筛选误报?什么是有效的相关分析?如何在团队之间快速调动人员?“寻外援”可能是威胁分析平台和实时在线云高层专家合作的好方法,在实战中完成日志采集、威胁监控、相关分析和事件应对。此前被卷入大规模警报的安全人员只需关注实战攻防演习防卫作战协调平台(SIR),就能直观掌握各资产的状态、威胁分析判断结果、安全事件处理进展及人员配置。不仅如此,在防御较弱的时候,例如夜间,云端专家会与现场安全人员合作,进行7*24小时监视。当发现威胁或事件时,云计算专家会立即发出警报和分析,并通过与威胁分析平台协同工作的安全保护设备进行准确处理。通过自动化平台、云技术先进专家和当地员工的共同合作,最终构建一个全天候高效的实时监控和预警响应系统,减轻监控压力。
在多年的实战中,我们相信许多防守者都能以出色的防守能力和防守策略成功地完成防守任务。面对今年“高强度、高难度”的网络攻击实战,或许你还有很多防守工作的困惑和疑虑,可以咨询一位有深厚信心的专家。深厚信念的专家将为您提供一对一的专家答案,帮助您提前避开坑,并在今年的战斗进攻和防守中获得良好的效果。