南京深安科技有限公司通过专业安全产品为客户提供重保服务,做到对网络威胁的提前预防、及时发现、及时阻断、及时处置与恢复,为保障演习期间客户网络及信息系统安全稳定运行提供技术力量支撑。重保主要包括以下三个阶段:
暴露面梳理服务是针对客户指定IT资产范围进行资产情报搜集,对IP、域名、存活主机、开放端口、安装服务、中间件、Webserver等进行资产探测扫描,梳理出资产的 IP(IP 详情、数量)、端口信息(开放的端口及数量)、网络状态、主机应用、各类指纹信息(操作系统、开发语言、Web应用平台/框架及第三方软件等)等资产指纹库,预测资产状况,迅速定位问题资产,结合人工分析,根据风险情况提出安全建议,形成风险视图和风险档案库。
①资产录入和自动探测
由用户指定范围,录入基础资产,进行资产信息收集:
对信息资产中的主机进行存活检测,判断主机的存活状态,对于有效的存活主机,通过指纹技术识别其系统类型、系统版本、系统补丁等情况,将主机的状态信息与系统信息进行分类标记并存入数据库,记录主机的信息:
对信息资产中的网站资产进行探测,梳理网站WebServer、架构信息、防护状态、指纹、访问状态等信息:
网络资产风险管理系统支撑资产的模糊、精准和智能搜索,可快速定位特征资产,并获取详细的资产信息:
网络资产风险管理系统可对已梳理的资产进行风险感知,包括主机风险感知、网站风险感知和搜索引擎劫持三个部分。
网络资产风险管理系统支持IP资产画像,根据IP地址测绘出IP存活信息、端口信息、端口服务信息、端口版本信息、IP承载的主机系统信息、IP地理位置和IP对应的网站指纹信息。
网络资产风险管理系统支持部门资产归属,可自定义部门信息、自定义资产类型、手动录入资产归属。
网络资产风险管理系统可对已知资产的搜索引擎劫持情况进行周期性自动化检测,并对风险资产进行告警。
资产梳理工作完成后将在系统中构建资产情报数据库,用以动态管理、查阅,在后续工作中根据检测到的威胁信息,从资产情报系统中快速定位目标资产,进行威胁的妥善处理。
资产安全评估服务与暴露面梳理服务联动,针对已知资产或客户指定目标进行全方位多维度自动化的漏洞扫描,通过漏洞扫描工具结合人工确认的方式从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。资产安全评估服务包括主机漏洞扫描、Web漏洞扫描、弱密码扫描;人工核查资产中暴露的高危端口、高危组件、高危应用是否存在真实风险;无防护资产及隐藏资产的风险评估。
主机漏洞扫描服务支持检测操作系统漏洞、网络设备漏洞、Web服务器漏洞、数据库服务器漏洞、邮件服务器漏洞、DNS 漏洞等。
Web漏洞扫描服务支持检测SQL注入、跨站脚本、木马上传、代码执行、远程本地包含、信息泄露等各类型的Web漏洞。
弱密码漏洞扫描服务是漏洞扫描系统利用高频字典文件加快破解速度,支持扫描3389远程桌面、FTP、SSH、TELNET、MSSQL、MYSQL、ORACLE、SMB、VNC的弱密码,且提供弱密码字典的自定义扫描。
包括但不仅限于如下内容:信息探测类、网络设备与防火墙、RPC服务、Web服务、CGI问题、文件服务、域名服务、Mail服务、Windows远程访问、数据库问题、后门程序、其他服务、网络拒绝服务(DoS)、其他问题。
历年HW高风险漏洞检测服务主要是使用凭借多年实战攻防演练经验以及自主发现的、主动收集的高风险漏洞库,在演练正式开展前期,为客户提供历年实战行动中出现的高风险漏洞检测,提升客户安全防护能力。
使用深安科技自主研发的漏洞扫描系统和高风险漏洞规则对客户网络系统进行扫描,是一种主动的防范措施,可以有效避免黑客攻击行为,防患于未然。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。
演练开展前期需要重点关注现有资产的账户情况、入侵痕迹以及互联网泄露的敏感信息,为此深安科技提供账户/入侵痕迹/泄露信息检测服务。以攻击者的视角,通过账户/入侵痕迹/泄露信息检测服务,系统化地进行信息收集、风险分析、数据分析,帮助防守方发现安全建设的盲点,切实提升整体安全建设成效。对内排查是否存在非法账户情况、现有账户是否存在弱密码的情况、现有设备是否存在入侵痕迹;对外排查公网是否存在可用的敏感信息,包括且不仅限于下列内容:
应急预案梳理及防护能力评估服务针对客户现有的应急预案流程进行排演,评估现有流程是否存在薄弱环节,在实战网络攻防演练中该预案的可行性。同时,评估现有的人员配备和安全设备的防护能力,对薄弱环节提供专业的安全加固建议。服务内容主要有:
①应急预案梳理
建立事件响应小组和明确小组成员;明确事件响应目标;准备事件响应过程中所需要的工具软件和设备硬件。
②防护能力评估
防护能力评估包括三个方面:人员防护能力评估;设备防护能力评估;现有安全策略防护能力评估。
六、安全设备租赁及策略调优服务
根据客户防护能力评估结果和客户需求,深安科技可提供IPS、IDS、蜜罐等安全设备,助力攻防演习,提升防护能力。
通过部署高甜度的蜜罐设备,实现对攻击的诱捕和取证溯源,保护真实目标系统。在不影响现有网络架构和应用系统的前提下,通过低成本地部署高甜度、高仿真的蜜罐设备,构建欺骗式防御体系,混淆真实目标,引诱攻击者对高伪装的蜜罐进行持续攻击,从而延缓攻击时间,保护企业真实资产。在实现对攻击的发现和诱捕的同时,蜜罐还会全程记录攻击轨迹和行为,支持取证和溯源,从而快速定位攻击组织或个人,实现安全反制,有效扭转攻防不对称的劣势局面,提高现有网络安全防御能力。
通过部署IDS对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
通过部署IPS深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源,主动降低被攻击的风险。
通过强化威胁流量发现能力,增强风险监测能力和实时感知掌握网络内部风险与外部威胁能力,及时发出预警并反馈至现场保障平台进行统一调度和处置,快速响应并解决网络安全事件,补齐安全防御短板,提升应急响应能力和安全防御能力。
在实战攻防演练开展前期,对于现有安全设备的策略进行优化设计,获取客户方同意后,开展策略运行测试,确保演练期间策略可用。
在实战攻防演练行动过程中,为解决单位安全人员缺少和人员安全水平不足的问题,深安科技可派遣专业的安全服务专家为防守方提供7*24小时的驻守服务,由安全专家现场实施加强防守、安全态势分析、威胁情报值守、攻击诱捕、取证溯源等工作,并配合防守方对实战演习中突发的安全事件进行应急响应。服务内容主要有:①现场应急响应
②现场策略调优
③威胁情报分析
④安全态势分析
⑤安全设备日志分析
⑥网站监测情况分析
⑦攻击诱捕
⑧取证溯源
⑨安全咨询
⑩实时演练情况汇报
二、应急响应服务
在演练期间,应急响应服务是指用最快的速度响应内外部攻击,启动应急响应预案,处理相关安全事件,将事件影响降低到最低。应急响应服务应至少包括现场取证备查、分析查明被攻击原因以及提供可行的修复建议从而以保证重要系统能及时恢复上线。应急响应目标是帮助用户采取紧急措施,恢复业务到正常服务状态;并调查安全事件发生的原因,避免同类安全事件再次发生;提供数字证据。包括但不限于:木马事件、感染式病毒事件、蠕虫事件、后门事件、网络攻击事件、网络扫描事件、挂马事件、网页篡改事件、拒绝服务攻击事件、网络钓鱼事件、信息泄露事件、APT事件等。
在演练期间,策略调优服务是指临时对现有安全设备的运行、防护策略进行高强度配置,实时调整访问控制权限,在演习结束后,配合客户恢复正常时期的策略配置。
策略调优服务包括以下五个部分:现有策略的采集、策略分析、策略变更记录、策略实施、策略恢复。
针对网关设备,强化访问控制策略,有效防护DDOS分布式拒绝服务攻击、恶意IP攻击、telnet攻击、SSH攻击和暴力破解攻击。此外,开启ip session filter防护功能和SCPP/ACPP防护功能,有效提高网络吞吐量,大大增强了出口设备的抗攻击能力。
针对网络安全设备,进行网络安全策略的优化,如高峰时段PSP线路单用户流速上限策略,禁止代理策略,多终端告警邮件策略,移动终端冻结上网账号策略等。
针对现有网络资产,进行最大限度可防护化管理,全部纳入安全防护范围内,对告警项进行实时把控。
四、安全通告服务
安全通告服务是针对紧急高危的安全漏洞进行快速邮件、短信预警,预警内容包括对安全漏洞的描述,影响范围、临时修复建议和临时检出方法,并给出具体的操作步骤。通报内容包含且不仅限于:应用安全漏洞通告、重大安全事件通告、客户自身安全漏洞通告;通报时间7*24小时,实时通报;通报后续,根据实际情况提供技术支撑。实时关注当下最新安全风险信息,有针对性地发送所有与客户相关站点、系统、设备等相关的网络安全预警信息。
情报共享服务指的是演练期间与客户方共享深安科技自有渠道获取到的最新情报信息,包括高级威胁分析报告(内部版)、重要威胁趋势性分析报告、威胁通报预警等。
漏洞验证服务是指针对已发现漏洞进行人工验证,分析漏洞利用场景和安全加固方法;针对已修复的漏洞进行人工验证,检验漏洞修复完整度,分析剩余风险大小。
验证内容包含且不限于:
①OWASP TOP 10测试,注入、失效的身份认证、敏感信息泄露、XML外部实体(XXE)、失效的访问控制、安全配置错误、跨站脚本(XSS)、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录和监控等安全测试。
②逻辑测试,垃圾注册、短信轰炸、账户盗用、用户认证缺失、功能越权、平行越权、接口滥用等业务场景的安全测试。其中,高中危漏洞需手工测试及验证;实施中手工测试所有需用户输入登录认证页面,全力发现诸如弱密码、万能密码、上传点、越权访问以及各类逻辑等自动化扫描工具无法发现的安全漏洞,并提供可行的修复方法,保障网站及应用系统安全。
二、技术及经验总结服务
技术及经验总结服务是指实战网络攻防演习行动结束后,深安科技将配合防守方做好全面的复盘总结,并结合攻防实践,进一步协助优化、加固企业安全防御体系。主要包括以下内容:
①复盘总结
对实战网络攻防演习行动期间出现的安全问题、安全事件、风险漏洞进行全面梳理,对防守情况、检测手段、事件处置等成果进行复盘总结,形成总结报告。
②协助整改
针对实战网络攻防演习行动过程中发现的安全事件和应急处置方式进行复盘推演,寻找安全薄弱点和网络安全建设的不足之处,对系统安全框架体系及安全应急响应机制可能存在的问题协助整改优化。
③助力长期安全防御体系建设
结合实战网络攻防演习行动期间的攻防实践,通过人才实战能力提升方案、定制化网安竞赛服务、网络靶场验证平台及欺骗式防御蜜罐等,进一步提升安全防御水平,助力企业长期的安全防御体系建设。
原文始发于微信公众号(深安安全):实战攻防演练期间如何进行重保?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论