【攻防演练专题】七大场景化专项防护
本期为【攻防演练专题】系列的第二期,将分享深入攻防演练场景化的七大专项防护,以及攻防演练服务的相关实际案例。
上期提到,构筑动态综合的防御体系,是保障攻防演练防守效果的基础前提;并分享了从攻防演练时间维度横向覆盖启动阶段、准备阶段、决战阶段、总结阶段四个阶段的全生命周期解决方案。
本期内容将承接上期,介绍从攻防演练场景化维度纵向深入到威胁情报、邮件安全、网站安全、靶标安全、网络边界、终端威胁、欺骗式防御制定的七大专项防护。
同时,也将分享攻防演练服务在往届任务期间,通过为客户构筑动态综合的防御体系,形成有效的协同联动机制,达成攻防演练防守的全场景实战赋能,获得少丢分、多加分成绩的实际案例。
01、场景化七大专项防护
1. 专项威胁情报
图1 专项威胁情报服务
演练期间,将为用户提供实时最新汇聚的攻防演练威胁情报,情报内容包括攻击IP情报、最新漏洞情报、攻击手法情报等,协助用户提前做好安全加固和防御阻断。
同时,还将利用演练中发现的威胁线索在威胁情报分析平台上拓线查询,帮助分析人员溯源并得分。演练结束后,全面总结威胁情报工作成果,输出《专项威胁情报总结报告》。
2021专项成绩回顾
为某用户预警网络攻击1W余次。
2. 邮件安全监测
图2 邮件安全监测服务
演练前,部署带有钓鱼邮件监测模块的安天探海威胁检测系统。
演练期间,通过邮件安全监测服务,发现社工邮件、发现网络入侵、处置已获得桥头堡、追溯攻击,开展深度分析和应急处置并形成分析报告,上报演练指挥部,获得加分。
演练结束后,全面总结演练期间邮件安全监测工作及成果,输出《邮件安全监测总结报告》。
2021专项成绩回顾
为某单位监测发现钓鱼事件10余起,并通过溯源钓鱼邮件为其获得720分加分。
3. 网站安全防护
图3 网站安全防护服务
演练前,对网站资产进行暴露面梳理,尽量收窄暴露面。开展安全基线检查、漏洞扫描和渗透测试,发现网站存在的安全漏洞,协助用户进行安全加固;部署Web应用防护系统、安天探海威胁检测系统进行防御。
演练期间,通过两款安全产品监测并分析研判网络攻击事件,对攻击IP及时进行封禁阻断,对入侵事件及时应急处置并分析溯源形成分析报告,上报演练指挥部,获得加分。
演练结束后,针对演练期间发现的网站攻击事件进行汇总,输出《网站安全防护总结报告》。
2021专项成绩回顾
为某单位阻断Web攻击事件1W余次,发现并处置1起成功入侵事件。
4. 靶标安全防护
图4 靶标安全防护服务
演练前,协助用户做好靶标系统的全面资产、配置、漏洞、补丁梳理工作,并进行全面的风险排查,确保在演练前发现潜在风险并做好安全加固。
演练期间,安排监测分析人员 7*24 小时值守,做好针对靶标系统的威胁监测、研判、处置等工作,及时阻断威胁,提取并分析攻击证据,上报演练指挥部。
演练结束后,全面总结演练靶标防护工作和成果,输出《靶标防护总结报告》。
自2016年以来专项成绩回顾
提供防守的靶标系统均未被攻破。
5. 网络边界监测
图5 网络边界监测服务
演练前,收集网内对外开放服务的资产列表、域名列表,部署安天探海威胁检测系统,对网络边界流量进行深度分析,建立流量安全基线。
演练期间,通过安天探海威胁检测设备发现网络扫描、漏洞利用、异常流量、恶意文件等攻击事件,并协助追溯攻击,先后形成威胁情报表单、详细分析报告,协同封堵恶意IP,同步被入侵情报信息给现场服务人员,开展取证分析,上报演练指挥部,获得加分。
演练结束后,全面总结网络边界监测服务工作成果,输出《网络边界监测总结报告》。
2021专项成绩回顾
某客户通过在超过30家分支单位部署通过安天探海威胁监测系统,在演练期间发现攻击事件10W余次,人工监测分析发现攻击IP 1130个,人工监测分析发现成功入侵事件45起。
6. 终端威胁检查
图6 终端威胁检查服务
演练前,为用户网内所有主机部署安装安天智甲终端防御系统,通过管理中心实现终端安全一体化管理,帮助管理人员了解网内终端安全情况,查看安全事件详情;同时,通过智甲管理中心下发指令统一对网内所有主机进行威胁排查,排查潜伏在主机上的木马病毒。
演练期间,借助智甲管理中心进行实时安全监测,及时发现并处置在演练期间内网主机新出现的木马病毒。
演练结束后,全面总结终端威胁检查服务工作成果,输出《终端威胁检查总结报告》。
2021专项成绩回顾
为某央企集团发现终端威胁文件100余个,终端错误配置70余项。
7. 欺骗式防御
图7 欺骗式防御服务
威胁诱捕分析服务基于安天自主研发的捕风蜜罐系统开展,通过构建欺骗式防御手段,诱使攻击方攻击,分散攻击方注意力的同时,使攻击者暴露攻击行为、攻击意图,进而保护真正资产安全。
安全工程师将实时排查蜜罐日志与告警,确认用户网络存在的威胁载荷、失陷主机、攻击方作业手法,处置发现的安全事件,提供网络加固建议,优化网络防御能力。
演练结束后,全面总结欺骗式防御服务的工作成果,输出《欺骗式防御总结报告》。
2021专项成绩回顾
为某客户单位内网靶标系统所在的网段部署蜜罐,监测发现多起针对靶标系统的攻击探测行为,并及时协助客户调整防守策略,成果阻断攻击事件,进一步分析溯源累计加分900分。
02、案例:有效帮助客户不丢分并多加分
针对攻防演练防守要点,结合自主安全产品,通过覆盖网络攻防演练全生命周期的解决方案与深入场景化的专项防护,为客户构筑的动态综合的防御体系,真正实现了动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的全场景赋能安全防护效果,为演练活动的组织和防护提供有力保障。有效帮助了客户不丢分并多加分。
图8 安天攻防演练服务获得的部分客户感谢信
案例一:某能源集团攻防演练防守保障
为某能源集团总部及其二级单位、电站电厂提供整体攻防演练保障服务,通过部署态势感知系统、探海威胁检测系统、智甲终端防御系统,结合演练前风险排查和演练期间7*24小时监测值守服务,共计监测到威胁告警2万余次,整个演练期间,内网区和工控区均未发生攻击成功的安全事件,整个演练期间该集团零扣分。
案例二:某运营商攻防演练防守保障
为某运营商总部提供整体安全保障服务,通过演练前的资产梳理、安全排查与加固,演练期间进行7*24小时监测值守,共计监测到威胁告警5万余次,为其发现并处置多个0Day攻击事件,整个演练期间该运营商零扣分。
案例三:某央企攻防演练防守保障
为某粮油食品行业的央企集团提供整体防护保障服务,协助其进行整体防御部署,通过部署的探海威胁检测系统、智甲终端防御系统、捕风蜜罐系统、追影威胁分析系统等,结合演练前风险排查和演练期间7*24小时监测值守服务,共计监测到威胁告警3万余次,并对多起攻击事件进行溯源分析,累计加分1000余分。
原文来源:安天集团
