知道创宇解决方案总监张亮在会上分享金融行业攻防演练解决方案及实践
Part 01 攻防演练:低烈度、受控的网络战
“国家级网络安全攻防演练”(以下简称“攻防演练”)采用“攻防实战演习”的方式,组织国内安全攻防专家作为攻击方,国有重要骨干企业和中管金融企业作为防守方,攻击方通过在防守方真实信息系统上模拟黑客进行网络攻击和渗透入侵的方式,全方位检验防守方的网络安全管理、技术防护、应急响应能力,是一种低烈度、受控的网络战。
Part 02 攻防演练各阶段中存在的安全风险
信息收集阶段:信息泄露被利用
安全风险:暴露面太广,可能存在的幽灵资产信息、泄露到互联网的信息被攻击队伍利用。
漏洞挖掘阶段:己方漏洞了解不足
安全风险:对己方安全漏洞的情况了解不足。
漏洞利用阶段:漏洞利用的可能性未知
安全风险:防守方对安全漏洞潜在被利用的可能性未知。
渗透入侵阶段:局部失利
安全风险:防守是面,渗透入侵是点,局部战场的失利威胁全局。
Part 03 创宇方案:缩小信息差、转变防守面、提升专业度
网络安全攻防演练的本质在于:
▶ “信息差” 导致攻守双方地位的不对等
▶ “防守面” 造成攻守双方力量的不对等
▶ “专业度” 影响了攻守双方成本的不对等
因此,知道创宇攻防演练解决方案以缩小信息差、转变防守面、提升专业度为目标,以获取最终胜利。
具体思路如下:
战前准备:构建纵深防御体系
构建多重交叉式防御体系,选择真正实战有效的能力,并不断优化,提高检出率和增强互补性,最终达到整体的安全防护保障。
备战阶段
01 资产及风险梳理(缩小信息差)
知道创宇ZoomEye BE网络空间资产安全管理系统(👈点击查看更多,下同)可结合实际环境,协助用户梳理企业资产,并将资产信息录入管理平台,进行统一管理。同时,根据用户实际资产情况,识别并记录企业资产特有指纹,使指纹信息与企业业务场景紧密贴合,更好的记录资产信息,丰富资产画像。
02 构建互联网统一防护体系(转变防守面)
“防守利器” Web应用安全攻击统一云防护平台——创宇盾,具有军工级防护能力,异构兼容、随需随用。60s急速接入,可隐藏源站IP,进行全球攻击行为快速识别及拦截。独创虚拟补丁技术,4小时内完成0day漏洞防御,安全运营服务团队7×24小时实时响应。
03 加强流量未知威胁分析能力(转变防守面)
创宇云图具备多维度流量未知威胁检测能力,实时分析网络全流量,结合网络行为分析技术及威胁情报数据,深度检测所有可疑活动,分析文件行为,识别出未知威胁,构建针对攻击链的交叉检测、交叉验证体系。
04 联防联控(转变防守面)
构建主机持续、动态的自身安全监控能力,加强快速分析和响应能力,实现主机及终端安全工作清晰、可衡量,解决安全纵深防御体系的“最后一公里”的防护。
临战阶段:安全攻防演练(提升专业度)
▶ 准备:寻找可靠的红方队伍,签署保密协议,同时要求攻击过程在指定地点进行且全程录屏。
▶ 演习:允许攻击队使用任何工具及手法,在不造成破坏的前提下,任意进行攻击尝试,同时使用流量设备对其攻击载荷全程记录。
▶ 总结:复盘整个防守过程是否得当,配合是否流畅,应急是否及时。同时检查每一个防御工事,检查其是否发挥了应有的效果,是否存在漏报情况,并进行及时调优。
决战阶段
01 实时防御(提升专业度)
防御思路:攻击IP是核心资源,大多数攻击者使用VPS(基本在美国和东南亚),资源更加有限。将攻击IP尽可能消耗殆尽后,逼迫攻击者更换攻击目标或者使用真实IP。
防御措施:
▶ 通过云防御系统、互联网漏洞平台、内网蜜罐系统、水坑攻击系统等收集攻击者IP并形成攻击者档案库。
▶ 将攻击者档案库收集的攻击者IP(百万级别)放到各网关防御系统进行直接封禁。
▶ 通过流量检测设备发现的攻击者IP直接进行旁路阻断。
▶ 成立专门的黑名单管理组,动态将黑名单IP同步到各防御系统。
02 应急响应(提升专业度)
03 全面监控(提升专业度)
战后:总结反思(提升专业度)
总结本次“攻防演练”的成果与较好做法,将相关工作固化至规章制度中,形成常态化、制度化成果。根据演习中发现的相关问题,举一反三,做好后续相应防范工作,形成总结报告。
扫码立刻获取
知道创宇金融行业攻防演练解决方案
写在后面
为更好地服务金融行业,知道创宇将开展金融行业安全需求调研活动,届时将从参与活动的用户中抽取9位奉上以下精美礼品。
一等奖3位:百元京东卡1张
二等奖3位:创意手机支架1个
三等奖3位:KCon定制帽子1顶
活动时间:即日起至2020.11.18日下午17:00
👇 扫码关注服务号立即参与
获奖信息将在活动截止一周内发布于知道创宇服务号,敬请关注!