硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设

admin 2022年9月23日15:29:39企业安全评论2 views1949字阅读6分29秒阅读模式

硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设


近日,中国信息协会信息安全专业委员会、PCSA安全能力者联盟和踏实实验室在京共同举办《硝烟后的茶歇》第四期分享会。默安科技应邀参加,与现场数十个网安行业用户专家、数十个联盟成员和合作伙伴一起,通过线下+线上的方式分享今年实战演练的技术与经验。



分享会现场记录▂

硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设
硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设


本次分享会上,默安科技解决方案专家李欣围绕“攻防转换:红队视角下的欺骗防御体系建设”这一主题,从攻击者视角,以生动形象的案例阐述了默安科技在攻防实战演练中的布防策略与成功实践。

 

分享回顾


攻防态势有所转变,

高强度对抗下进行更深入的思考


随着蓝队的防护手段越来越丰富,尤其是蜜罐的广泛使用,红队在进行攻击时无法再肆无忌惮,在信息搜集、边界突破、获取权限、内网渗透、回连控制等环节都不得不考虑是否会进入防守方的圈套,是否会被识别、阻断等。

 

因此,默安科技根据今年国家攻防实战演练中的规则调整,站在红队视角思考几个必然发生的事件,以此为基础来建立有效的布防策略:


漏洞不可能完全被修复;


员工终端一定会被突破;


红队一定会使用0Day;


 IP溯源无法有效防御和溯源攻击者。


布防之前,

先建立积极防御、主动对抗的安全理念


针对以上思考,默安科技整体布防方案以《关键信息基础设施主动防御要求》为指导思想,以积极防御、主动对抗的安全理念为核心,并结合客户实际情况与业界最领先的安全实践,构建具备提前预警、全面监测、及时响应、精准溯源和强大威慑能力的主动防御安全体系。

 

实战案例分享,

默安科技欺骗防御体系实战化效果显著


在该实战案例中,客户为某大型集团,该集团虽具备基本的安全防护措施,但整体网络架构较为老旧,资产涉及多个部门、多家二级单位,亟需建立面向实战的主动安全防御体系。针对当前状态,默安科技协同客户共同从“收、织、协、兜”四个重点出发,制定基于主动防御的欺骗诱捕体系布防策略。


硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设

图 基于主动防御的欺骗诱捕体系布防策略

 

“收”



通过零信任网关统一管控,全面收敛网络及业务暴露面。

“织”



通过部署多个内外网1:1仿真沙箱,实现业务欺骗的全覆盖。同时智能蜜网可快速生成沙箱,通过持续运营,根据实际环境针对性布防,发挥出欺骗防御的最好效果。


硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设

图 全面编织欺骗防御蜜网




通过云端情报平台和协同作战平台,包括监控研判到处置的线上流转,黑客情报的实时同步,MSS全流程托管运营服务,将整套技术体系、人员体系和流程体系运转起来。另外,通过钓鱼演练平台帮助办公人员提升安全意识,形成广泛的群众对抗基础,减少人员短板。

 

硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设

图 协同作战体系

 

“兜”



针对核心业务、重点网站引入高级防御技术,进行兜底。包括防0Day技术、进程免疫技术等,防止主机系统层面的失陷。


实现效果


实战前异常活动的准确感知,协同封堵,快速响应、快速止血。


发现攻击队外围提前攻击,成功反制攻击者;


发现下级单位攻击总部,全面清理遗留病毒;


发现供应商遗留后门,快速处置并进行通报。


一起针对某重要系统的

Solarwinds式供应链打击事件

 

在实战阶段,默安科技捕获到一起针对集团某系统的供应链攻击事件。


事件开始

该集团员工反馈收到某重要系统发布异常更新,随后,内网相关部门员工的多个终端开始对核心业务网发起扫描。


事件经过

攻击者先通过弱口令进入集团在某公有云上的对外系统,试图进行提权操作但被RASP拦截,转而去控制同在该公有云上的重要系统在线更新服务器,通过更新服务器对所有使用人员发布更新提示,只要点击确定更新,便会被植入木马,导致集团本地内网终端被攻破。


事件结果

当攻击者通过终端往核心网横移的时候,被蜜网感知到并实时阻断,最终根据蜜罐沙箱捕获的攻击者信息,溯源到该人员真实身份。在该事件中,默安科技专家组第一时间组织进行分析研判,通过攻击样本恢复,深入剖析后,判定为供应链打击。在响应过程中,默安科技的蜜网、旁路阻断、情报中心、RASP等欺骗防御体系组件都起到不可或缺的作用,最大化降低了事件风险。


分享总结


通过这次年度实战演练,验证了默安科技主动安全防御体系的实战化效果。从接入防护、主机防护、应用防护、流量防护欺骗防御以及协同指挥,默安科技均具备对应的产品支撑体系。同时,为保障从战时到平时的平稳过度,默安科技安全团队还提供全流程托管运营服务,帮助客户真正把主动安全防御体系有效运转起来,保障安全能力不会因为不同时间段脱节。


硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设

图 战平一体化智慧安全运营体系

 

默安科技不仅是欺骗防御类领域的开创者,更是深耕者。公司自成立之初,就在国内首个发布欺骗防御类产品,并经过不断地实践与探索,成为国内唯一具备将欺骗防御产品进行体系化拓展的公司。未来,默安科技不会停下脚步,将不断精进自身实力,与业界行业专家进行更多交流与探讨,为欺骗防御创造更多场景下的可能性。


硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设

原文始发于微信公众号(默安科技):硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月23日15:29:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  硝烟后的茶歇 | 默安科技谈红队视角下的欺骗防御体系建设 http://cn-sec.com/archives/1310882.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: