2023攻防演练
默安科技为200+客户
15+行业提供创新安全产品及服务
1
当之无愧:内网横向攻击的第一吹哨人
默安科技是欺骗防御的领导者,也是不断探索者,在过去多年的各级攻防演练中,因“精准”而为众多客户赢得佳绩。2023年攻防演练中,以幻阵·高级威胁狩猎与溯源系统、刃甲·网络攻击干扰压制系统为核心的欺骗防御体系持续进化,一如既往地担当内网横向攻击的第一吹哨人。
在多起攻击者内网横向探测期间,包括态势感知等在内的众多安全设备里,有且只有幻阵发现异常攻击行为,并第一时间精准告警;配合今年升级后的溯源反制功能,做到“快、准、狠”应对攻击。不仅幻阵,默安科技的创新型网络检测与响应产品——刃甲也表现不俗,在多次0day攻击事件中,第一时间发现攻击流量包或者攻击入口,为后续及时响应处置赢得先机。
2
双倍的努力,双倍的信任
当把2023年默安科技攻防演练的成绩用数据展示时,可以看出一个非常明显的变化:无论是在服务客户数量上,还是在攻防核心要素维度上,与2022年相比,均呈现X2的趋势。
2023攻防演练成绩单
✔ 服务客户总数200+,服务行业数15+
✔ 率先发现内网横向攻击59次
✔ 发现真人攻击6015次
✔ 溯源到网络ID375个
✔ 成功反制73台攻击主机
✔ 提交134份溯源分析报告、89份反制红队报告
✔ 输出158份技战法报告
默安科技面向党政机关、互联网、金融、能源、制造、交通、教育、医疗等15余个行业总计200余家企业单位提供攻防演练服务,凭借出色的攻防实战能力和过硬的服务质量,在客户侧“有口皆碑”,赢得了众多信赖与认可。
图 默安科技2023攻防演练成绩(部分)展示
3
三大亮眼功能,让红队胆战心惊的杀手锏
亮点一
首推蜜罐与防火墙联动功能
2023攻防演练中,蜜罐与防火墙联动处置次数达631267次。
该联动功能帮助客户在攻防演练中及时对恶意IP进行封禁,并形成让攻击者胆战心惊的黑洞,之后只能像陷入迷宫中一样绕来绕去,再也无暇顾及攻击,直至时间与精力耗尽。此举不仅保护了真实资产,还有效缓解其它安全设备的负担,随之减轻安全人员的心智压力。
亮点二
溯源反制升级 攻击者逃无可逃
2023攻防演练中,幻阵帮助客户成功反制73台攻击主机。
随着对抗强度的增加,攻防双方角逐日益激烈,幻阵的反制能力也在2023攻防演练中进一步升级,内置自动化攻击溯源功能,让攻击者来不及反应就已经被“逮个正着”,从而丧失主机权限。该亮点功能在2023攻防演练中表现不俗,大大提升了溯源反制成功率。
亮点三
欺骗诱捕 X 网络检测响应=告警0误报
2023能源行业某集团攻防演练中,刃甲共监测到入侵事件57126次,严重21次、高危13385次、中危350次,均进行确认与处置。
默安科技基于创新型网络检测与响应产品——刃甲,帮助众多客户构建基于动态“欺骗诱捕”的精准检测防御体系,是2023攻防演练中的一抹亮色。
刃甲不仅利用欺骗诱捕技术对攻击者进行诱捕,还可以通过联动幻阵,将流量牵引至沙箱中,深层次主动发现资产存在的威胁攻击行为,并结合机器学习和DPI深度流分析技术,融合多种威胁检测引擎对告警的准确度进行校验,对入侵成功的攻击行为进行重点告警提示,将安全风险发现时间从事后提到事中,实现重要安全告警0误报,为安全人员留出充足的分析和处置时间,大大提高安全事件从发现到处置的效率。
每次攻防演练的过程中,难免出现人手紧缺的情况,值得一提的是,默安科技MSS安全运营托管服务在今年的攻防演练中,凭借轻松简单的部署、不间断的7×24小时专家支持、不打折的安全效果与体验,在多个行业的数百家客户成功应用并获得高度认可,在此次攻防演练中取得了如下成绩:
218
捕获网络ID218个
309
输出威胁情报309份
3637
威胁情报分享3637次
30032
威胁情报IP30032个
4
四个典型案例,聊攻防实践
案例一
web克隆高仿真沙箱 挑战攻击者的心理极限
该客户是一家大型央企,属于国家重要的关基单位,业务系统覆盖全国主要区域,非常庞大且复杂。
在对客户实际情况与攻防演练诉求进行详细了解之后,默安科技专家团队决定从外网侧主动出击,基于欺骗防御技术构建蜜网,吸引攻击火力;在DMZ、内网区域部署多套欺骗防御全系列产品,用于诱捕互联网的攻击行为,以及发现诱捕突破进入内网后横向移动的攻击行为,并通过云服务器部署业务仿真沙箱。
在这个攻防过程中,默安科技通过web克隆沙箱制作企业1:1高仿真沙箱,使系统虚虚实实难以分辨,给攻击者造成极大的困扰,精神压力倍增,导致攻击效率大打折扣。在演练后期,随着结束时间临近,部分攻击者因急于求成得分心切,甚至没有精力使用代理而进行直接攻击,使其更容易暴露攻击行为。终于,距离演练结束前两天,某攻击者在未使用代理的情况下,对仿真沙箱进行攻击时,被幻阵及时捕获,并溯源到攻击者身份。
大量的web克隆高仿真沙箱帮助客户高效完成此次演练任务,实现靶机和边界的“完美”防御。此次演练中,默安科技为客户取得成绩如下:
克隆网站总数2133个
克隆网站激活率98%
溯源到15个攻击队成员
反制2台攻击者的设备
输出12份成果报告
案例二
协助制定欺骗防御方案 打造最佳实践
该客户为某金融机构,处于围绕公司转型升级方向建设数字平台的关键阶段,虽然各个数据中心部署了较多安全产品,但仍面临高级攻击防不住、安全设备运营难等痛点,亟需攻防视角下的精准感知产品来弥补其在高级安全威胁防护方面的短板。
默安科技协助客户建设基于攻击欺骗技术的防御体系,通过在两个数据中心分别部署幻阵和刃甲。在内网,覆盖数据中心空闲vlan,将沙箱以及中继节点、伪装代理覆盖到内网各个区域,实现内网攻击的精确感知;在外网,部署高交互沙箱,并使用SOAR联动防火墙自动封禁攻击源IP,实现外网攻击诱捕;并通过刃甲实时监控分析攻击事件,联动幻阵旁路阻断攻击源。
此外,默安科技MSS平台帮助客户实现7×24小时攻击情报分享以及事件响应,依托精确的攻击感知,结合阻断、溯源、欺骗、反制等多种处置手段,形成事前监控、事中防控、事后审计的安全管控闭环,有效抵御大量攻击。
客户对此也给予了高度评价:“蜜罐不错,和防火墙联动,像一个黑洞把攻击者都吸进来了,展现了我方的反制能力,欺骗防御体系基本实现了演练前预设效果。”
此次攻防演练成果:
联动防火墙自动封禁13000个恶意IP
发现2起内网扫描事件均已回溯处置
MSS外部情报提供6242个封禁IP
发现2起0day漏洞攻击流量
发现真人攻击86个
反制1台攻击主机并获取防守方靶标清单
提交8份溯源分析报告
案例三
MSS助力欺骗防御效果最大化
该客户为某国有大型汽车集团,近年来随着汽车行业变得更加智能化和数字化,客户拓展出更多商业服务模式,推动产业数据基础设施建设。随着国家级汽车产业数据中心、产业链决策支撑机构等体系的构建,引入更多的网络攻击面和攻击载体,安全运营团队也存在一定的不足,难以在现有的安全技术基础上保驾护航。
通过部署幻阵+MSS平台,采用7×24小时远程运营的方式,默安科技帮助客户加强互联网侧的风险检测,达到快速感知威胁、及时有效阻断攻击的目的,建立起纵深防御的安全体系;并且通过MSS二线安全专家团队开展持续性的分析及研判工作,使欺骗防御产品的效果达到最大化,充分发挥纵深防御作用,全方位提升集团网络安全系统的可观测性、安全处置能力及风险分析能力。
本次演练中,默安科技MSS平台发现攻击者扫描沙箱行为并发起告警,本地运营人员初步发现威胁事件,通过幻阵已构建的智能蜜网精准发现设备并实施反制,获取到攻击者设备信息和社交ID等,并转交给二线安全专家协助分析;二线安全专家通过MSS深度研判,持续监测分析攻击行为,确定攻击者个人敏感信息,迅速锁定并反制攻击者,整个过程用时半小时即完成遏制,闭环率为100%。
幻阵+MSS在演练期间的表现得到客户高度认可,并取得如下成绩:
发现真人攻击188次
溯源2个攻击队成员
反制2台攻击队设备
提交11份溯源分析报告
案例四
攻防演练成绩翻倍 客户赞不绝口
该客户为大型央企的某省级公司,负责全省市场经营管理工作,下辖多个地市级局以及众多分公司,庞大的经营体系需较为复杂的基础设施、网络信息系统做支撑,从而带来更多的网络安全风险点。
通过部署以幻阵+刃甲为核心的欺骗防御体系,默安科技安全团队帮助该客户实现事前精准发现+事中有效溯源,建设主动纵深式安全防御体系;同时开启刃甲的自动编排功能,用于对值守薄弱时间段的暴力破解、僵木蠕事件进行自动处置,进一步保障整场攻防演练的万无一失。
攻防演练成果如下:
发现恶意IP90903个,并由阻断设备进行封堵
发现真人攻击208次
溯源1个攻击队成员
提交13份溯源分析报告
输出2份技战法
多份成果报告被评为优秀
100%实现目标,客户满意度飙升
2023年的攻防演练即将告一段落,但真实的攻击事件仍然每天都在发生,网络安全形势依旧严峻。默安科技在欺骗防御领域具备先发优势,并随着每年的实战经验积累,始终保持探索与进化,帮助广大政企客户建立的积极主动防御体系,效果卓著、历久弥新,不仅在各级攻防演练中得到印证,在数字化世界的日常安全运营中,也发挥着越来越重要的作用。
未来,默安科技将继续秉承可持续安全运营理念,注重实际运行效果,不断结合实战经验强化产品与技术创新,成为更多政企客户“值得信赖的安全伙伴”。
