攻防演练 | 避免失陷的四大安全能力

一年一度的大场面

又双叒叕来了

攻防演练事关安全大局

攻击方正在磨刀霍霍

防守方也早已全面武装

如此关键时刻

如何守护住云主机安全

成为整个攻防演练的重中之重

从物理机到容器，从云上到云下，每一处暴露面都可能成为全面失陷的“导火索”。

基于多云环境的需求，为用户构建统一多云检测与防护平台，将云上安全视野及安全能力从工作负载扩展到多云环境，提供一致的安全防护策略。

在实网攻防演练中，为客户提供事前（资产梳理、风险识别及加固）、事中（攻击监控）、事后（溯源分析及处置）的安全能力，帮助防守方守护核心业务及靶标系统。

 

1、资产梳理

兵法有云"知彼知己，百战不殆"，这句话告诉我们，在攻防博弈中，了解自己和了解对手都非常重要。在网络安全中，相比于对攻击的检测与拦截，防守方对自身网络状况和资产的理解更加重要。只有清楚了解自己的网络状况和资产，才能提前发现并消除潜在的安全隐患，制定针对性的监控和防护策略。

全方位的对主机资产进行深度透视和梳理，帮助安全运维人员梳理服务器上资产信息，从不同维度了解内部资产信息，识别资产的安全隐患，从而更好地制定安全防护策略。

 2、风险识别及加固

经过对近几年实战案例的分析了解，攻击者在试图突破边界防护时，主要依赖企业自身的安全风险漏洞（Nday、0day及钓鱼攻击）来实现边界突破。因此，在演练前期对服务器进行风险识别和安全加固至关重要。

能够从攻击者的视角迅速对整个网络的服务器进行安全风险识别。这些风险类型包括：漏洞、补丁、弱口令以及不安全的配置项。本公司可以针对存在的安全风险，提供相应的安全加固建议。安全运维人员可以根据这些建议对服务器进行安全加固，从而有效防止攻击者的利用。

漏洞检测

漏洞检测层面，公司可以利用安全产品内置海量漏洞补丁检测规则，可迅速全面检测主机漏洞，并自动输出结果及修复建议。检测结果会根据漏洞影响自动分类，方便运维人员判断修复范围和优先级。安全运维人员还可根据实际需求自定义检测任务范围和时间，持续保障服务器安全。

弱口令检测

内置弱口令字典库，同时支持导入字典库，对操作系统、数据库、Web服务进行弱口令检测。

安全配置检测

内置基线合规检测功能，覆盖操作系统、数据库和应用等对象，支持自定义关键基线检测阈值，满足各企业需求。

资产暴露面收敛

在资产梳理过程中，安全运维人员可能发现一些不必要的服务和端口对外开放，容易被攻击者利用。需要控制这些服务和端口，减少服务器暴露面，降低攻击风险。同时，需根据业务需求控制服务器内网访问行为，防止攻击者在突破边界后进行横向移动。

高价值漏洞快速防护

在漏洞补丁修复过程中，运维人员常面临无法修复漏洞且服务器不能下线的困境。此外，新的0day漏洞爆发时，缺乏相应补丁，无法进行加固。需要快速防护Nday和0day漏洞，避免漏洞被攻击者利用。

3、攻击监控

攻防演练中，攻击方常对目标先行探测与扫描，发现利用途径后迅速行动。因此，识别并拦截外部扫描行为至关重要。利用防火墙功能，可识别并阻断恶意扫描，同时将扫描IP列入黑名单，进一步加强安全防护。

此外，随着实战攻防演练的深入，边界安全设备的特性和局限性愈发明显，如准确性、漏报问题以及南北、东西向防护不全。为提升纵深防护能力，需要在边界安全设备后增加防护检测。作为攻击最终目标的服务器安全防护至关重要。

4、溯源分析及处置

随攻防对抗不断升级，黑客技术日益精湛和隐蔽，传统安全防护难以阻挡且入侵难被发现。供应链攻击、0day打击、社工钓鱼等技术成为边界防护盲点，考验防守方应对未知威胁和快速止血能力。一旦主机失陷，边界被突破，后续监测手段有限且流量监控无法解决取证问题。

利用采集存储主机动态行为日志。当主机失陷后，运维人员可利用摄像头数据进行溯源分析，还原攻击事件，了解攻击技术、操作记录和影响范围，实施针对性处置，防止二次攻击，并输出高质量溯源处置报告，助防守方恢复。

来源：亚信安全

END

点击下方，关注公众号

获取免费咨询和安全服务

安全咨询/安全集成/安全运营

专业可信的信息安全应用服务商！

http://www.jsgjxx.com

原文始发于微信公众号（信息安全大事件）：攻防演练 | 避免“失陷”的四大安全能力