| 本文共 2336 字,阅读预计 5 分钟 |
2022全球网络安全形势严峻,承担着国计民生的大型企业,更需要肩负起自身网络安全防护义务,提升对关键基础设施及核心业务、数据的网络安防水平,定期进行攻防演练,促进日常安全运营能力不断提升。作为纵深防御策略的重要组成部分,流量侧的威胁检测与响应能力,依旧是企业攻防演练与安全能力提升的重点。
摸清家底:资产暴露面梳理
企业实际运营过程中,绝大多数情况下都存在大量未管理的资产。企业兼并与业务重组,可能导致历史资产不能及时掌握;企业快速发展,新业务上线出现资产未及时统计;CMDB资产管理工具,则可能产生无法识别资产风险的情况......这些都会成为企业被攻击的暴露面。
微步在线威胁感知平台TDP可通过流量,自动化识别企业开放的服务、端口、中间件、数据库、弱密码、传输文件等企业所有资产,动态及时发现企业存在的资产风险并实时告警,帮助企业及时做好资产风险排查与加固,打好安全防御基础。
在某次大型攻防演练中,微步在线安全服务团队基于TDP对资产的有效梳理能力,曾帮助单个企业梳理漏洞2000余个,外网服务收敛从200个以上减少至数个,外联设备从60余个降至10个以内,并消除所有登录弱密码。由于前期准备充分扎实,该企业实现了攻防演练效果能力的极大提高,并有效提升了后续日常安全运营工作的效率。
图:攻防演练TDP基于网端攻击全链路监测
迅速定位:精准检测0Day、木马变形及APT攻击
为攻入目标企业网络大门,攻击者的用心程度远超企业安全人员想象,他们通常会尝试各类最新、最隐秘的攻击手段。例如,通过社交平台社工进而发送钓鱼邮件、利用应用软件最新0Day漏洞,使用接近APT的回连通信隐藏技术等,都可能成为攻击者的奇技淫巧。
想要发现这些威胁,检测能力非常关键。基于微步在线顶尖的攻防演练情报分析能力,TDP内置国内涵盖最强恶意文件引擎在内的40多种文件检测引擎组合进行检测,可有效检测各类木马、未知威胁、APT等威胁,且挑战赛中TDP机器学习能力对WEB类0Day自动检出率可达50%以上。
情报反制:TDP重保监控,实时获取最新攻击情报
TDP内置重保监控模块,基于专业分析团队时刻跟进攻击动向,实时同步攻击队IP资产、木马特征、攻击队溯源结果等攻击者重要信息,同时全面展现外部攻击活动,资产风险检出、恶意文件、邮件告警、疑似感染攻击队木马主机等关键信息。此外,微步在线还会第一时间将攻防情报转换为检测拦截规则,云端同步到TDP内,使企业自动化利用情报对攻击者进行反制。
攻击研判:灵活易用研判工具包
攻击研判环节,TDP的日志调查模块针对网络日志提供不同流量方向、不同行为类型、不同匹配方式的源IP、攻击结果等任意类型日志快速检索,完备的解码与统计分析工具可对加密攻击载荷进行解码分析,内置PCAP包分析功能,无需下载即可对原始流量进行分析。同时,TDP支持保存查询条件,方便企业对特定威胁进行长期监控,保证安全运营团队采取针对性地流量分析与研判。
快速响应:自动化封堵攻击
目前TDP阻断率已达到99.9%,处于业界领先水平。
攻防演练期间,TDP还提供重大活动安全态势监控大屏,可针对攻防演练靶标威胁、攻击者攻击进度实时可视化展示,并配置个性化声音告警。
图:攻防演练TDP联动HFish蜜罐诱捕,串联入侵行为
攻击溯源:完整还原攻击路径
↓↓↓
↑ 戳蓝字立即报名 ↑
哦原文始发于微信公众号(微步在线):攻防演练效果提升秘籍:妙用微步TDP,高效精准流量检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论