一年一度的大场面
又双叒叕来了
攻防演练事关安全大局
攻击方正在磨刀霍霍
防守方也早已全面武装
如此关键时刻
如何守护住云主机安全
成为整个攻防演练的重中之重
从物理机到容器,从云上到云下,每一处暴露面都可能成为全面失陷的“导火索”。
基于多云环境的需求,为用户构建统一多云检测与防护平台,将云上安全视野及安全能力从工作负载扩展到多云环境,提供一致的安全防护策略。
在实网攻防演练中,为客户提供事前(资产梳理、风险识别及加固)、事中(攻击监控)、事后(溯源分析及处置)的安全能力,帮助防守方守护核心业务及靶标系统。
1、资产梳理
兵法有云"知彼知己,百战不殆",这句话告诉我们,在攻防博弈中,了解自己和了解对手都非常重要。在网络安全中,相比于对攻击的检测与拦截,防守方对自身网络状况和资产的理解更加重要。只有清楚了解自己的网络状况和资产,才能提前发现并消除潜在的安全隐患,制定针对性的监控和防护策略。
全方位的对主机资产进行深度透视和梳理,帮助安全运维人员梳理服务器上资产信息,从不同维度了解内部资产信息,识别资产的安全隐患,从而更好地制定安全防护策略。
2、风险识别及加固
经过对近几年实战案例的分析了解,攻击者在试图突破边界防护时,主要依赖企业自身的安全风险漏洞(Nday、0day及钓鱼攻击)来实现边界突破。因此,在演练前期对服务器进行风险识别和安全加固至关重要。
能够从攻击者的视角迅速对整个网络的服务器进行安全风险识别。这些风险类型包括:漏洞、补丁、弱口令以及不安全的配置项。本公司可以针对存在的安全风险,提供相应的安全加固建议。安全运维人员可以根据这些建议对服务器进行安全加固,从而有效防止攻击者的利用。
漏洞检测
漏洞检测层面,公司可以利用安全产品内置海量漏洞补丁检测规则,可迅速全面检测主机漏洞,并自动输出结果及修复建议。检测结果会根据漏洞影响自动分类,方便运维人员判断修复范围和优先级。安全运维人员还可根据实际需求自定义检测任务范围和时间,持续保障服务器安全。
弱口令检测
内置弱口令字典库,同时支持导入字典库,对操作系统、数据库、Web服务进行弱口令检测。
安全配置检测
内置基线合规检测功能,覆盖操作系统、数据库和应用等对象,支持自定义关键基线检测阈值,满足各企业需求。
资产暴露面收敛
在资产梳理过程中,安全运维人员可能发现一些不必要的服务和端口对外开放,容易被攻击者利用。需要控制这些服务和端口,减少服务器暴露面,降低攻击风险。同时,需根据业务需求控制服务器内网访问行为,防止攻击者在突破边界后进行横向移动。
高价值漏洞快速防护
在漏洞补丁修复过程中,运维人员常面临无法修复漏洞且服务器不能下线的困境。此外,新的0day漏洞爆发时,缺乏相应补丁,无法进行加固。需要快速防护Nday和0day漏洞,避免漏洞被攻击者利用。
3、攻击监控
攻防演练中,攻击方常对目标先行探测与扫描,发现利用途径后迅速行动。因此,识别并拦截外部扫描行为至关重要。利用防火墙功能,可识别并阻断恶意扫描,同时将扫描IP列入黑名单,进一步加强安全防护。
此外,随着实战攻防演练的深入,边界安全设备的特性和局限性愈发明显,如准确性、漏报问题以及南北、东西向防护不全。为提升纵深防护能力,需要在边界安全设备后增加防护检测。作为攻击最终目标的服务器安全防护至关重要。
4、溯源分析及处置
随攻防对抗不断升级,黑客技术日益精湛和隐蔽,传统安全防护难以阻挡且入侵难被发现。供应链攻击、0day打击、社工钓鱼等技术成为边界防护盲点,考验防守方应对未知威胁和快速止血能力。一旦主机失陷,边界被突破,后续监测手段有限且流量监控无法解决取证问题。
利用采集存储主机动态行为日志。当主机失陷后,运维人员可利用摄像头数据进行溯源分析,还原攻击事件,了解攻击技术、操作记录和影响范围,实施针对性处置,防止二次攻击,并输出高质量溯源处置报告,助防守方恢复。
来源:亚信安全
原文始发于微信公众号(信息安全大事件):攻防演练 | 避免“失陷”的四大安全能力
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1951188.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论