隨著國(guó)際、國(guó)內(nèi)網(wǎng)絡(luò)安全局面的復(fù)雜化、企業(yè)數(shù)字化程度的加深以及數(shù)字世界不同主體之間的聯(lián)動(dòng)加深,網(wǎng)絡(luò)安全不再是某一家企業(yè)、某一個(gè)部門的責(zé)任,而逐漸成為兼具企業(yè)經(jīng)濟(jì)責(zé)任和社會(huì)責(zé)任的“廣義”安全命題。因此,組織、參與實(shí)戰(zhàn)演練就成為政府、企業(yè)及社會(huì)各界非常重視,也是我們安全建設(shè)者們一年一度的重要工作。實(shí)戰(zhàn)演練也是對(duì)安全廠商的一次“大考”,通過(guò)真刀真槍的對(duì)抗,來(lái)檢驗(yàn)安全產(chǎn)品的性能、安全體系的穩(wěn)定程度、安全人才的實(shí)力。

在歷年對(duì)抗中,藍(lán)方(防守方)的經(jīng)驗(yàn)越來(lái)越豐富,工具越來(lái)越強(qiáng)大,直接導(dǎo)致紅方(攻擊方)的手段花樣翻新,且越來(lái)越真實(shí)。針對(duì)今年攻防演練行動(dòng)的特殊變化,也需要相應(yīng)的能力升級(jí)。

例如,時(shí)間長(zhǎng)度的拉長(zhǎng)和參與主體的增多,一方面會(huì)導(dǎo)致原有安全防御策略的失效,另一方面也會(huì)更大程度暴露攻擊面,尤其是一些新納入攻防演練的主體,可能會(huì)陷入“被攻破后原地躺平”的風(fēng)險(xiǎn)。

俗話說(shuō),“工欲善其事,必先利其器”,這里我們就針對(duì)2024年的一些新任務(wù)、新變化和新挑戰(zhàn),通過(guò)連載的方式,為大家推薦 “專季專用”的神器,在重點(diǎn)演練場(chǎng)景中的應(yīng)用攻略。

——NDR&安全湖——

由于攻防演練常態(tài)化,攻方最常用的手段就是偵查、滲透、提權(quán)、長(zhǎng)期駐留,防守方對(duì)應(yīng)的策略也可以利用這些攻擊溯源反滲透和反偵察、因此,是否能夠完整、全面、客觀、敏捷的對(duì)攻防期間的數(shù)據(jù)和流量進(jìn)行分析,就成了致勝的“勝負(fù)手”。

根據(jù)數(shù)世咨詢發(fā)布的《NDR能力指南》,NDR&威脅情報(bào)可以在攻防演練場(chǎng)景的如下維度發(fā)揮重要作用:

●提供全流量會(huì)話PCAP文件形式的存儲(chǔ),還原攻擊事件和異常行為,供用戶隨時(shí)調(diào)取;

●以時(shí)間為主線,分析黑客行為。要能清晰完整呈現(xiàn)攻擊IP的攻擊次數(shù)、攻擊手法、攻擊工具,為溯源提供數(shù)據(jù)支撐;

●接到監(jiān)管單位、上級(jí)單位的預(yù)警通知,以及安全告警事件后,溯源分析關(guān)鍵時(shí)間點(diǎn)的數(shù)據(jù)包上下文,還原當(dāng)時(shí)的攻擊場(chǎng)景,為分析研判提供支撐;

●威脅情報(bào)關(guān)聯(lián)分析,即對(duì)流量數(shù)據(jù)與內(nèi)部威脅情報(bào)進(jìn)行聯(lián)動(dòng)分析。通過(guò)匹配黑IP、黑域名的外部威脅情報(bào)庫(kù),記錄告警資產(chǎn)與黑客的會(huì)話連接數(shù)據(jù),同時(shí),記錄黑客在資產(chǎn)區(qū)的全部活動(dòng)軌跡。

騰訊云NDR產(chǎn)品(由NDR御界高級(jí)威脅檢測(cè)系統(tǒng)和NDR天幕安全治理平臺(tái)組成)基于云端協(xié)同的全流量檢測(cè),覆蓋勒索病毒、郵件安全、密碼安全等八大安全場(chǎng)景,開(kāi)箱即用,通過(guò)安全專題將威脅聚焦,結(jié)合可視化分析幫助客戶針對(duì)性解決風(fēng)險(xiǎn)問(wèn)題;在檢測(cè)能力方面,AI算法+威脅情報(bào)+哈勃沙箱+規(guī)則引擎四大領(lǐng)先利器,強(qiáng)力對(duì)抗攻擊繞過(guò)和0day漏洞;在響應(yīng)速度上,騰訊云NDR具備全面的互聯(lián)網(wǎng)漏洞檢測(cè)機(jī)制及國(guó)內(nèi)領(lǐng)先的威脅情報(bào)庫(kù),能實(shí)現(xiàn)實(shí)時(shí)聯(lián)動(dòng),快速響應(yīng)最新漏洞和事件;在阻斷效果上,騰訊云NDR采用非侵入式旁路阻斷攻擊行為,閉環(huán)處置事件,阻斷成功率高達(dá)99.99%。

由于參與攻防演練的政府部門和企業(yè),大多屬于“關(guān)基”范疇,相關(guān)的安全數(shù)據(jù)規(guī)模巨大、管理、查詢、追溯的成本都非常高(既包括財(cái)務(wù)成本,也包括技術(shù)和人員成本)。

基于騰訊云安全湖產(chǎn)品,實(shí)現(xiàn)低成本、高性能、全棧國(guó)產(chǎn)化,為所有泛安全數(shù)據(jù)提供一體化的數(shù)據(jù)接入、架構(gòu)、存儲(chǔ)、分析、檢索、報(bào)表和可視化能力,降低90%存儲(chǔ)成本,PB級(jí)數(shù)據(jù)分析秒級(jí)響應(yīng)。基于威脅情報(bào)的能力,提供全流量數(shù)據(jù)存儲(chǔ)與分析溯源方案,能發(fā)現(xiàn)180天以上的長(zhǎng)周期歷史數(shù)據(jù)中的未知威脅,并提供情報(bào)回溯、威脅狩獵等能力,幫助企業(yè)快速應(yīng)對(duì)APT、0day漏洞等高危事件,回掃歷史數(shù)據(jù),發(fā)現(xiàn)潛在威脅,御敵千里之外。

——HVV高發(fā)場(chǎng)景及對(duì)策——

場(chǎng)景1:全流量數(shù)據(jù)存儲(chǔ)與深度分析回溯

「行業(yè)發(fā)生大規(guī)模入侵,希望基于數(shù)據(jù)回溯快速了解公司安全狀況,是否有關(guān)鍵業(yè)務(wù)置于高風(fēng)險(xiǎn)中;需要實(shí)時(shí)回溯全流量、長(zhǎng)周期數(shù)據(jù),從而全面了解攻擊方的目標(biāo)、手段以便制定對(duì)策?！?/strong>

騰訊云NDR+安全湖:基于全流量的長(zhǎng)周期威脅情報(bào)&APT檢測(cè);回溯情報(bào)和漏洞排查是否存在歷史入侵和侵入;威脅狩獵,主動(dòng)發(fā)現(xiàn)APT攻擊和最新的漏洞攻擊;儀表板可視化分析,了解安全態(tài)勢(shì)、流量態(tài)勢(shì)、攻擊源IP和IP畫(huà)像以及整改情況;支持180天以上的全流量分析、調(diào)查取證、回溯和可視化。

場(chǎng)景2:APT攻擊識(shí)別與威脅回溯

「合規(guī)要求快速排查潛伏的APT,了解影響面以便提前應(yīng)對(duì)監(jiān)管。動(dòng)態(tài)回溯半年乃至一年的數(shù)據(jù)情況,根據(jù)黑客行為判定企業(yè)業(yè)務(wù)單元和數(shù)據(jù)資產(chǎn)面臨的威脅?！?/strong>

騰訊云NDR+安全湖:構(gòu)建狩獵/情報(bào)回溯任務(wù),收集回掃歷史數(shù)據(jù)并可視化分析、調(diào)查取證。基于威脅情報(bào)IOC、ATT&CK TTP,實(shí)現(xiàn)APT高級(jí)威脅狩獵;在攻防對(duì)抗場(chǎng)景識(shí)別對(duì)抗前就已經(jīng)潛伏的、未發(fā)現(xiàn)的威脅。

場(chǎng)景3:0day漏洞及時(shí)響應(yīng)與風(fēng)險(xiǎn)排查

「由于某新漏洞大規(guī)模爆發(fā),不少企業(yè)系統(tǒng)癱瘓,企業(yè)希望能夠快速排查0day漏洞及潛在風(fēng)險(xiǎn)。」

騰訊云NDR+安全湖:實(shí)現(xiàn)針對(duì)歷史數(shù)據(jù)的快速完整回溯分析以及新增數(shù)據(jù)的實(shí)時(shí)檢測(cè);持續(xù)狩獵,基于數(shù)據(jù)和征兆進(jìn)行安全分析主動(dòng)防御,避免0day攻擊防御天然滯后性帶來(lái)的巨大安全風(fēng)險(xiǎn);在0day漏洞入侵的整個(gè)時(shí)間線上,實(shí)現(xiàn)漏洞信息的獲取、漏洞修復(fù)和漏洞潛在威脅的復(fù)查。

場(chǎng)景4:對(duì)現(xiàn)有SOC架構(gòu)進(jìn)行升級(jí)優(yōu)化

「客戶現(xiàn)有SOC平臺(tái)節(jié)點(diǎn)多、性能低、效率慢,安全場(chǎng)景擴(kuò)展能力差,無(wú)法實(shí)現(xiàn)長(zhǎng)期數(shù)據(jù)的回溯?！?/strong>

騰訊云NDR+安全湖:支持對(duì)現(xiàn)有SOC升級(jí)優(yōu)化,對(duì)原有未加工的原始數(shù)據(jù)進(jìn)行結(jié)構(gòu)化,生成日志&告警,進(jìn)入SOC平臺(tái)實(shí)現(xiàn)告警處置與響應(yīng)閉環(huán),實(shí)現(xiàn)自主構(gòu)建檢測(cè)能力、更深度的調(diào)查/威脅狩獵,為SOC平臺(tái)賦予更高的效率和擴(kuò)展性,實(shí)現(xiàn)持續(xù)運(yùn)營(yíng)和處置閉環(huán)能力。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。