技战法,是一种综合性的战斗技巧和方法,它结合了技术、战术和战略,广泛应用于军事、体育竞技、公安侦查等多个领域,近年来也被应用到网络安全攻防演练中。下文将介绍知道创宇某央企客户在2024年攻防演练实战中运用到的一个非常有效的防守技战法——边界防护监测一体化体系。
客户的线上业务系统汇集了海量运营数据、商业秘密,对国家安全和社会公共利益具有重大影响,在2024年攻防演练中被当成重点攻击目标。
客户在本地已经部署了大量的网络安全设备,包括IPS、IDS、态势感知、蜜罐捕获系统等,而网络边界防护力量相对薄弱,这主要是由于网络边界资产的复杂性,导致难以全面梳理互联网暴露面,使得安全事件一旦发生,难以快速收敛资产暴露面和定位受影响的资产。
通过构建网络“边界防护监测一体化体系”,有效帮助客户在网络边界提前发现风险、感知攻击,及时调整安全策略,提升边界防护能力,在不改变本地安全防护模式的情况下将网络攻击阻断在网络边界,将防御战线前移、远离目标业务系统源站。
知道创宇网络边界防护监测一体化体系,通过云上防护(创宇盾)+漏洞监测(ScanV)+蜜罐捕获(创宇蜜罐)形成防护闭环。该体系并不取代原有防护能力,而是进一步加强现有体系的防护能力,在边界安全防护中共同筑牢首道防线。
“边界防护监测一体化体系”主要由“漏洞监测能力”、“云上防护能力”及“云蜜罐能力”三部分组成:
“漏洞监测能力”是对云端数字资产开展实时漏洞发现与风识别的能力。通过ScanV(云监测)持续地发现潜在风险,包括应用漏洞、弱密码、信息泄露、运维配置错误等。针对发现的风险点使用云上防护中的能力快速打热补丁修复,实现漏洞监测与云上防护的动态联动。
“云上防护能力”是基于攻击情报大数据实现对数字资产综合防护的能力。通过创宇盾(云 WAF)实时监测网络边界对站点发起的网络攻击以及资产漏洞,将捕获到的攻击情报和漏洞信息进行整合、提取、关联、分析,通过协同防御做到快速响应单点攻击、全面拦截,并及时给资产打上热补丁。
“云蜜罐能力”是加强网络边界地形动态重塑的能力。通过创宇蜜罐(云蜜罐)伪装页面、域名等手段动态投放陷阱,进行网络边界地形重塑,红队多次测绘将得到异常、不一致的目标单位网络资产地图,出现网络边界地形熵增现象,导致红队测绘结果无法实际使用。同时对蜜罐捕获到的情报结合威胁情报大数据,对攻击过程、攻击IP进行立体画像并将情报数据联动至云上防护协同防御,进一步加强网络边界攻击捕获、全面拦截的防护体系。
1、通过“漏洞监测”发现5个0day高危漏洞、及时打上热补丁
攻防演练前期,ScanV对客户的21个互联网域名资产进行“漏洞监测”,发现5个0day高危漏洞及若干中低危漏洞,比如:某任意文件上传0day漏洞,通过访问特定URL就可以进入后台页面未授权上传文件,攻击者可通过该漏洞上传木马,获取系统权限、控制服务器。客户通过创宇盾云上防护及时给资产打上热补丁,并报送相关单位。
5个0day高危漏洞
2、通过“蜜罐捕获”发现高危攻击IP 86个、实时同步云上防护拦截
客户通过部署的10个云蜜罐,一周内捕获到63.7万次攻击,攻击IP总数为2.6万个,其中高危IP排重后有86个、云蜜罐实时协同创宇盾云上防护对这些高危IP进行了拦截。
10个云蜜罐
事后对这些高危IP进行了全面的溯源分析,比如:某高危IP 23.*.*.4(美国),多次攻击客户的【中国****】云蜜罐系统。
对云蜜罐请求包分析发现,该IP主要尝试在云蜜罐系统中写入Webshell(网站后门)。
并且该IP在创宇安全智脑中被标记了“2023护网”、“2024护网”,说明该IP同时攻击过知道创宇保护的多家攻防演练防守单位,从攻击趋势图也能看出该IP的攻击行为集中在攻防演练期间。
通过“边界防护监测一体化体系”技战法的实战应用,帮助客户突破了关键防护难点——边界资产复杂凌乱且难以完全防御。在边界资产中采用ScanV实施预防性漏洞扫描与风险点发现,先于攻击者发现边界资产薄弱点,并利用云上防护打热补丁,极大地降低了攻击者从边界入侵的概率;云上防护基于攻击情报大数据实现对边界业务系统的综合防护;云端蜜罐的部署让客户掌握防守主动权,指数级提升攻击者对目标资产的测绘难度,同时捕获精准攻击情报协同云上防护进行拦截。此次攻防演练,依托该技战法体系成功为客户网络边界线上业务系统提供了强有力的防护。
即日起到2024.10.08,创宇盾面向新客户限时免费接入!添加小助手微信获取接入方式。
原文始发于微信公众号(知道创宇):零失分秘诀!2024攻防演练案例分享:某央企边界防护监测一体化技战法(文末有福利)
评论