随着国际、国内网络安全局面的复杂化、企业数字化程度的加深以及数字世界不同主体之间的联动加深
随着国际、国内网络安全局面的复杂化、企业数字化程度的加深以及数字世界不同主体之间的联动加深, 网络安全不再是某一家企业、某一个部门的责任, 而逐渐成为兼具企业经济责任和社会责任的「广义」安全命题。因此, 组织、参与实战演练就成为政府、企业及社会各界非常重视, 也是我们安全建设者们一年一度的重要工作。实战演练也是对安全厂商的一次「大考」, 通过真刀真枪的对抗, 来检验安全产品的性能、安全体系的稳定程度、安全人才的实力。
在历年对抗中, 蓝方 (防守方) 的经验越来越丰富, 工具越来越强大, 直接导致红方 (攻击方) 的手段花样翻新, 且越来越真实。针对今年攻防演练行动的特殊变化, 也需要相应的能力升级。
例如,时间长度的拉长和参与主体的增多, 一方面会导致原有安全防御策略的失效, 另一方面也会更大程度暴露攻击面, 尤其是一些新纳入攻防演练的主体, 可能会陷入「被攻破后原地躺平」的风险。
俗话说,「工欲善其事, 必先利其器」, 这里我们就针对2024年的一些新任务、新变化和新挑战, 通过连载的方式, 为大家推荐 「专季专用」的神器, 在重点演练场景中的应用攻略。
——NDR&安全湖——
由于攻防演练常态化, 攻方最常用的手段就是侦查、渗透、提权、长期驻留, 防守方对应的策略也可以利用这些攻击溯源反渗透和反侦察、因此, 是否能够完整、全面、客观、敏捷的对攻防期间的数据和流量进行分析, 就成了致胜的「胜负手」。
根据数世咨询发布的《NDR 能力指南》,NDR&威胁情报可以在攻防演练场景的如下维度发挥重要作用:
●提供全流量会话 PCAP 文件形式的存储, 还原攻击事件和异常行为, 供用户随时调取;
●以时间为主线, 分析黑客行为。要能清晰完整呈现攻击 IP 的攻击次数、攻击手法、攻击工具, 为溯源提供数据支撑;
●接到监管单位、上级单位的预警通知, 以及安全告警事件后, 溯源分析关键时间点的数据包上下文, 还原当时的攻击场景, 为分析研判提供支撑;
●威胁情报关联分析, 即对流量数据与内部威胁情报进行联动分析。通过匹配黑 IP、黑域名的外部威胁情报库, 记录告警资产与黑客的会话连接数据, 同时, 记录黑客在资产区的全部活动轨迹。
腾讯云NDR产品(由 NDR 御界高级威胁检测系统和 NDR 天幕安全治理平台组成) 基于云端协同的全流量检测,覆盖勒索病毒、邮件安全、密码安全等八大安全场景, 开箱即用, 通过安全专题将威胁聚焦, 结合可视化分析帮助客户针对性解决风险问题;在检测能力方面,AI算法+威胁情报+哈勃沙箱+规则引擎四大领先利器, 强力对抗攻击绕过和 0day 漏洞;在响应速度上, 腾讯云 NDR 具备全面的互联网漏洞检测机制及国内领先的威胁情报库, 能实现实时联动, 快速响应最新漏洞和事件;在阻断效果上, 腾讯云 NDR 采用非侵入式旁路阻断攻击行为, 闭环处置事件,阻断成功率高达99.99%。
由于参与攻防演练的政府部门和企业, 大多属于「关基」范畴, 相关的安全数据规模巨大、管理、查询、追溯的成本都非常高 (既包括财务成本, 也包括技术和人员成本)。
基于腾讯云安全湖产品, 实现低成本、高性能、全栈国产化, 为所有泛安全数据提供一体化的数据接入、架构、存储、分析、检索、报表和可视化能力, 降低 90% 存储成本,PB 级数据分析秒级响应。基于威胁情报的能力, 提供全流量数据存储与分析溯源方案, 能发现 180 天以上的长周期历史数据中的未知威胁, 并提供情报回溯、威胁狩猎等能力, 帮助企业快速应对 APT、0day 漏洞等高危事件, 回扫历史数据, 发现潜在威胁, 御敌千里之外。
——HVV高发场景及对策——
场景1:全流量数据存储与深度分析回溯
「行业发生大规模入侵, 希望基于数据回溯快速了解公司安全状况, 是否有关键业务置于高风险中;需要实时回溯全流量、长周期数据, 从而全面了解攻击方的目标、手段以便制定对策。」
腾讯云 NDR+安全湖:基于全流量的长周期威胁情报&APT 检测;回溯情报和漏洞排查是否存在历史入侵和侵入;威胁狩猎, 主动发现 APT 攻击和最新的漏洞攻击;仪表板可视化分析, 了解安全态势、流量态势、攻击源 IP 和 IP 画像以及整改情况;支持 180 天以上的全流量分析、调查取证、回溯和可视化。
场景2:APT攻击识别与威胁回溯
「合规要求快速排查潜伏的APT, 了解影响面以便提前应对监管。动态回溯半年乃至一年的数据情况, 根据黑客行为判定企业业务单元和数据资产面临的威胁。」
腾讯云 NDR+安全湖:构建狩猎/情报回溯任务, 收集回扫历史数据并可视化分析、调查取证。基于威胁情报 IOC、ATT&CK TTP, 实现 APT 高级威胁狩猎;在攻防对抗场景识别对抗前就已经潜伏的、未发现的威胁。
场景3:0day漏洞及时响应与风险排查
「由于某新漏洞大规模爆发, 不少企业系统瘫痪, 企业希望能够快速排查0day漏洞及潜在风险。」
腾讯云 NDR+安全湖:实现针对历史数据的快速完整回溯分析以及新增数据的实时检测;持续狩猎, 基于数据和征兆进行安全分析主动防御, 避免 0day 攻击防御天然滞后性带来的巨大安全风险;在 0day 漏洞入侵的整个时间线上, 实现漏洞信息的获取、漏洞修复和漏洞潜在威胁的复查。
场景4:对现有SOC架构进行升级优化
「客户现有SOC平台节点多、性能低、效率慢, 安全场景扩展能力差, 无法实现长期数据的回溯。」
腾讯云 NDR+安全湖:支持对现有 SOC 升级优化, 对原有未加工的原始数据进行结构化, 生成日志&告警, 进入 SOC 平台实现告警处置与响应闭环, 实现自主构建检测能力、更深度的调查/威胁狩猎, 为 SOC 平台赋予更高的效率和扩展性, 实现持续运营和处置闭环能力。
来源:互联网
