股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
实战演练 攻防有(yǒu)道 | XDR——实网攻防演练蓝队必备利器
发布时间 :2022年06月09日
类型 :勒索软件
分(fēn)享:
一百次空话,不如一次实干。当前,迎击狡诈凶猛的网络威胁,定期开展实网攻防演练,已成為(wèi)各类单位检验安(ān)全防护能(néng)力、完善应急处置流程和工(gōng)作(zuò)机制、提升安(ān)全事件应急处置综合能(néng)力的重要举措。為(wèi)此,亚信安(ān)全通过信舵安(ān)全管理(lǐ)与分(fēn)析平台将红蓝谋略、工(gōng)具(jù)、资源进行 “排兵布阵”的同时,更為(wèi)蓝队提供了必备利器——XDR高级威胁安(ān)全运营平台。
“狡猾”的红队
红队作(zuò)為(wèi)攻击方,以尽可(kě)能(néng)深入地获取目标权限為(wèi)目标,不限攻击路径、不限攻击手段,也就是说,这同业界熟知的渗透测试的區(qū)别非常之大。
图:红队攻击流程
渗透测试一般只要验证漏洞的存在即可(kě),而红队攻击则要求实际获取系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用(yòng)社工(gōng)手段(通过对人的诱导、欺骗等方法完成攻击),而实网攻防演练中(zhōng)的红队则可(kě)以在一定范围内使用(yòng)社工(gōng)手段,例如:针对特定目标及群體(tǐ)精(jīng)心构造的鱼叉钓鱼攻击,以实现精(jīng)准制导,突破单位安(ān)全防护體(tǐ)系。
红队攻击不像渗透测试,存在诸多(duō)限制,不受攻击手段和攻击路径限制等特点,使其更容易发现单位安(ān)全防护體(tǐ)系中(zhōng)的不足。狡猾的红队可(kě)能(néng)会盯上你的供应链,利用(yòng)供应链的薄弱间隙,突破单位安(ān)全防护體(tǐ)系;狡猾的红队还有(yǒu)可(kě)能(néng)采用(yòng)声东击西的攻击方式,正面大流量进攻某个系统,吸引火力,侧面尽量减少流量,获取权限并快速突破内网。
“忧郁”的蓝队
蓝队的主要工(gōng)作(zuò)包括演习前安(ān)全检查、整改与加固;演习期间进行网络安(ān)全监测、预警、分(fēn)析、验证、处置、溯源;后期复盘,总结现有(yǒu)防护工(gōng)作(zuò)中(zhōng)的不足之处,為(wèi)后续常态化网络安(ān)全防护提供优化依据等。然而,“红暗蓝明”的情况下,在加上资产(chǎn)不清晰、实战压力大、运营效率低、聚合效果差、威胁不可(kě)见等因素的存在,蓝队就真的成了“忧郁的蓝”。
图:传统安(ān)全防御體(tǐ)系下的蓝队生存现状
蓝队作(zuò)為(wèi)防守方,需要有(yǒu)全面的安(ān)全防护能(néng)力,不给敌人可(kě)乘之机。以攻击研判為(wèi)例:蓝队需要针对安(ān)全系统或工(gōng)具(jù)发出的告警,通过结合已有(yǒu)的经验和相关工(gōng)具(jù),来判断其是否為(wèi)真实攻击,并根据判断结果做出响应、给出处置建议。这包括4个维度:
对已发现攻击的来源进行研判;
综合分(fēn)析攻击技(jì )术、工(gōng)具(jù)和路径,判断其威胁性大小(xiǎo);
攻击意图研判;
处置方式判断。
上承安(ān)全告警的分(fēn)析,下接安(ān)全处置的实施,攻击研判同时也是事件响应过程中(zhōng)最具(jù)挑战性的环节:确定是否发生了事件,事件影响面有(yǒu)多(duō)大,后续如何遏制或根除异常、可(kě)疑活动。所以说,高效准确的研判能(néng)力将决定蓝队“排名(míng)”,这必然离不开安(ān)全运营中(zhōng)心、研判管理(lǐ)团队、安(ān)全专家团队,以及威胁狩猎团队的紧密配合。
以XDR构成实网对抗防御平台
网络安(ān)全的攻守双方信息永遠(yuǎn)是不对称的,当威胁来临的时候,一旦关键节点被击穿,受攻击的一方随时都有(yǒu)可(kě)能(néng)“一失万无”。因此,不论是实网攻防演练,还是面对真实攻击,安(ān)全运营绝不是临阵磨枪。
图:基于场景,进行安(ān)全运营
為(wèi)此,亚信安(ān)全推出了基于日常安(ān)全运维场景的 “XDR高级威胁安(ān)全运营方案”,在对抗场景中(zhōng)成為(wèi)蓝队的“防护神器”。首先,亚信安(ān)全XDR是以设备联动威胁情报為(wèi)核心,依据标准化运营流程,通过运营组件对资产(chǎn)的漏洞、威胁、APT攻击进行监控,从而构建防御、检测、分(fēn)析、响应的安(ān)全运营闭环。其次,XDR还具(jù)备全局感知和可(kě)视化技(jì )术,帮助用(yòng)户更早的发现可(kě)疑威胁,并通过分(fēn)析,确定是否被攻击,攻击受损程度,攻击是怎么发生的。
图:XDR治理(lǐ)勒索病毒场景
不仅在攻防演练中(zhōng)发挥出色,在网络安(ān)全运营管理(lǐ)中(zhōng),基于XDR高级威胁安(ān)全运营平台,亚信安(ān)全还提供了针对“勒索病毒、挖矿软件、钓鱼防护”场景的配套解决方案,通过网络、端点、邮件、云主机等更多(duō)智能(néng)探针和EDR模块,用(yòng)户可(kě)以将行為(wèi)数据和威胁检测数据提交到XDR数据湖(hú)(DataLake),通过威胁运维平台(UAP),形成自动化威胁检测、病毒清除、威胁狩猎、根因分(fēn)析的精(jīng)密联动,大幅缩短应急处置时间。
以演练為(wèi)抓手,
為(wèi)数字经济发展夯实安(ān)全底座
在网络安(ān)全上升為(wèi)國(guó)家安(ān)全的战略背景下,实网攻防演练已经成為(wèi)维护网络空间安(ān)全的绸缪之举。作(zuò)為(wèi)國(guó)内最早开展实网攻防服務(wù)的厂商(shāng)之一,亚信安(ān)全根据金融、运营商(shāng)、能(néng)源、央企、政府等行业用(yòng)户需求提供了个性化、定制化安(ān)全服務(wù),并协助大量用(yòng)户在攻防竞赛中(zhōng)取得了优异成绩,其领先的安(ān)全服務(wù)能(néng)力、专业的技(jì )术优势皆得到了主办(bàn)单位和相关机构的高度认可(kě)。
未来,亚信安(ān)全将充分(fēn)发挥自身攻防技(jì )术能(néng)力优势,依托XDR等创新(xīn)技(jì )术為(wèi)用(yòng)户提供更优质(zhì)、更高效的安(ān)全服務(wù), 不仅在实战演练中(zhōng)為(wèi)用(yòng)户提供全程帮助,更会携手千行百业的用(yòng)户,共同為(wèi)数字经济发展夯实安(ān)全底座。
分(fēn)享到微信
X