摘要: 案例一 客户A在参加其行业攻防演练期间,采购了默安科技安全运营托管(MSS)解决方案,通过前期的行业调研和业务梳理,默安科技安全运营专家协助客户A提前梳理边缘业务资产,调整安全设备策略,快速明晰资产的业务归属;并依据行业特点打造了一系列定制化沙箱和场景沙箱,采...
案例一
客户A在参加其行业攻防演练期间,采购了默安科技安全运营托管(MSS)解决方案,通过前期的行业调研和业务梳理,默安科技安全运营专家协助客户A提前梳理边缘业务资产,调整安全设备策略,快速明晰资产的业务归属;并依据行业特点打造了一系列定制化沙箱和场景沙箱,采用高效的协同方式,将攻防对抗从被动变为主动,避免消耗过多人力和资源,有效减轻安全运营人员负担。
在演练过程中,由于沙箱内置反制木马和诱饵文件,不仅能够拖延攻击者的攻击时间,提高攻击成本,还成功反制相关攻击队成员,溯源到攻击者的真实信息。值得一提的是,某个攻击队成员在通过WiFi进行近源攻击扫描时,被刃甲(网络攻击干扰压制系统)识别,并在默安科技现场专家的协助下,将其成功捕获,最终客户A在这场攻防演练中取得优异成绩。
案例二
车企客户B联合默安科技举行首届信息中心攻防演练,模拟攻防实战以检验网络安全防护能力和综合技术水平。
默安科技协助客户B从提升安全防护能力、挖掘防御短板、检验信息安全管理体系等方面入手,通过部署欺骗防御线相关产品,提供安全运营托管服务及多名云端安全运营专家,7*24小时持续监测、响应处置,结合外部恶意资产信息库和恶意通信流量进行检测和阻断;同时,通过安全运营的服务方案不断提升网络安全巡检力度和平台架构升级建设速度,持续增强平台安全能力,协助客户顺利完成了本次演练。
客户B负责此次攻防演练的相关领导表示,默安科技的MSS解决方案非常全面细致,很好地解决了演练中遇到的各种问题。
案例三
客户C作为2022年省级攻防演练防守方、国家级攻防演练的二级防守单位,在演练前夕遭遇境外勒索攻击,近八成的业务系统被加密、内部日志被删除,导致业务中断、日常工作难以开展。
由于攻击发生在后半夜,客户C在APT设备等众多告警中无法有效定位攻击,最终依靠幻阵(高级威胁狩猎与溯源系统)精准定位了受感染的资产IP,并通过攻击链回溯、攻击包拦截分析、人工研判等方式还原了攻击路径——攻击者利用下属分支机构的VPN进行爆破、拿下客户域控服务器后,对内网进行横向爆破和投毒,并尽可能多地加密业务系统。
默安科技云端MSS运营专家团队连夜配合应急处置,采用MSS服务+幻阵蜜网的搭配,开展后期的排查加固与持续监控,定位最初被拿下的服务器,分析APT日志确定攻击者是由下属单位VPN爆破入侵,最后进行病毒清除以及系统加固,顺利完成了现场的应急响应。
攻防演练场景面临哪些痛点
从以上这些真实案例,可以看到,实战攻防演练本质上是对安全防护和运营能力的考验,也在安全意识、技术能力、工具手段、响应速度等方面对企业的安全运营提出了更高的要求。攻防不对等的问题在实战攻防演练中更加突出,防守方运维团队通常面临极大的压力,在安全运营体系建设上存在诸多痛点:
攻防不对等
面对攻击次数愈加频繁、攻击手法愈加隐蔽、攻击手段愈加智能的攻防演练现状,防守方企业的资产管理、维护工作也可能存在缺失,难以抵御有组织、有目的的攻击。
运维压力大
攻防压力与日俱增,实战技术人员不足,基础薄弱,流程繁琐、效率偏低,攻防演练时期安全工作难以推进。
事件响应慢
面对海量告警信息,企业研判效率低、安全事件处于被动、分级分类效果差、威胁处置周期长,难以及时发现并响应。
防御机制少
外部攻击者利用已经公开的漏洞开展网络攻击时,企业由于普遍缺乏主动防御部署,难以快速识别和防御,出现手足无措的应对局面。
对于某些业务系统比较繁杂的企业,资产管理往往面临着不清晰的问题,一些关键资产的信息变更没有及时同步到相关安全部门,导致各类信息资产无法关联。一旦攻击事件发生,无法快速定位攻击资产的归属,组件、未修复漏洞以及后续流程等均无法处置。业务系统繁杂也意味着安全设备数据的碎片化,分析一个攻击事件可能需要登录IPS、WAF、EDR、全流量等多个设备。
然而,大多数企业由于技术、人才、经验、成本等多方面的限制,对于突发安全事件无法做到快速响应和溯源,安全运营能力现阶段难以满足实际的业务需要,仅仅处于初级救火队的阶段。但如果引入安全运营体系,通过平台对接、安全数据整合、自动化脚本等方式来全面提升信息安全的管控能力,企业将收获1+1>2的效果。基于以上在攻防演练及安全运营方面的痛点和现状,默安科技MSS解决方案应运而生。
默安科技MSS解决方案在攻防演练中如何应用
默安科技推出安全运营托管(MSS)解决方案,以MSS平台和安全运营托管服务为基础,以“实时、精准、协同、沉淀”为核心,通过人机协同实现7*24小时的在线托管式运营支撑,为客户提供风险可控、事件可控、安全闭环的网络安全保障服务。在国家/省市/行业组织的实战攻防演练中,默安科技协助客户应对可能发生的网络安全事件,最大力度防御网络攻击,同时帮助客户全面风险排查和整改,建立可持续安全运营体系。
图 依托“平台+服务”的安全运营体系架构
更精准
默安科技通过近年来在攻防对抗场景下的探索与实践,积累了20w+黑客画像、600w+情报中心数据及大量威胁事件追溯经验,并基于这些情报在MSS上对检测出来的攻击事件和设备指纹等信息做进一步的细节关联查询。MSS平台自动化生成日、周、月事件汇总和事件管理总结,其中包括网络社交ID等云端的海量信息和黑客组织等相关信息,这些信息能够有效扩展本地设备的数据,更好地满足威胁事件分析和溯源场景下的需求,从而实现精准防控。
默安科技MSS解决方案从客户的业务、场景需求出发,做到相互协同和有序运转,实现安全运营乃至产品和服务的真正落地。通过MSS平台“人+流程+技术”的架构,最大程度呈现安全运营效果,便于运营人员实时掌握宏观安全态势,及时响应微观安全事件,提升对网络安全整体的运维能力。
更懂用户
现阶段不同厂商的MSS实现机制根据客户的服务也有所区别,比如安全监控和威胁检测服务主要由托管安全服务提供商(MSSP)通过企业用户的本地连接器将原始日志、流量等数据传输到MSSP的安全运营中心进行分析和处置。默安科技提供的MSS服务目前常见的数据源包括幻阵、刃甲、巡哨(智能资产风险监控系统)、火线云(XDR安全运营平台)等产品,围绕主动性、持续性、对抗性来降低企业的安全风险。
默安科技安全运营专家在通过巡哨收集资产信息后,对客户进行主动漏洞扫描,发掘危害漏洞,基于幻阵的攻击链展示相关告警并开展关联分析,挖掘容易被忽略的重要威胁线索,找到隐藏的攻击规律,并对相关客户(潜在被攻击者)进行联动告警和预防性加固,达到联防联控的效果。此外,MSS解决方案也采用了刃甲重保学习的模块,在演练前会学习一段周期的客户业务告警,基于告警由云端安全运营专家配置相对应的安全规则,减少由于正常业务访问带来的噪音。
目前默安科技基于客户的实际需求,推出了针对不同客户的维护清单。在2023年实战攻防演练期间,默安科技开通了安全运营托管服务的快速接入通道,客户只需部署MSS客户端便可完成快速接入,在整个演练周期中享受省心高效的专家运营服务。
在安全运营体系建设方面,默安科技通过MSS平台可协助客户建设防御体系和快速响应攻击,及时发现和修复安全问题,提供7*24小时不间断的安全服务能力。整个安全运营体系通过MSS平台分为事前安全预防、事中威胁检测和事后响应处置三个部分,结合全局安全态势的可视化体系,帮助运维人员更加清晰地认识和构建智能化的企业安全运营体系,促进企业安全运营体系的有序运转。
