國慶假期來臨、重要會(huì)議舉辦……今年的金秋十月格外歡騰。在舉國歡慶之際,網(wǎng)絡(luò)不法分子也開啟了“狂歡”。
由于社會(huì)影響、監(jiān)管要求等因素,組織單位對(duì)重要時(shí)期安全事件的容忍度更低,借機(jī)牟利的網(wǎng)絡(luò)攻擊者往往會(huì)利用智能化自動(dòng)攻擊工具發(fā)起更加瘋狂的不間歇攻擊。
對(duì)于組織單位來說,安全部門的“007”值守已經(jīng)成為了重保標(biāo)配。盡管如此,網(wǎng)絡(luò)安全攻擊引起的事故仍然頻頻發(fā)生。究其原因,組織單位在風(fēng)險(xiǎn)管控的流程、能力上仍存在差距:
值守人員有限,安全告警數(shù)量過多,無法及時(shí)分析出有效攻擊。
面對(duì)突然披露的0Day漏洞,不知道該如何快速排查、遏制影響面。
攻擊一旦突破邊界,不能立即實(shí)行有效措施阻止內(nèi)網(wǎng)橫向擴(kuò)散。
………
如今,僅僅依靠組織單位自身的“007”值守已經(jīng)不足以應(yīng)對(duì)新型攻擊。深信服云地協(xié)同的重要時(shí)期網(wǎng)絡(luò)安全保障方案采用“技防+人防”實(shí)行線上、線下協(xié)同合作的風(fēng)險(xiǎn)全流程管控,讓您不必“007”,也能7*24H安全無憂!
備戰(zhàn)重保:查漏補(bǔ)缺工作必不可少!
近兩年受新冠肺炎疫情的影響,政府、教育、醫(yī)療等與民生密切相關(guān)的行業(yè)不斷加速數(shù)字化進(jìn)程,在“業(yè)務(wù)先行”的模式下,信息資產(chǎn)頻繁變動(dòng)、安全管理缺失、系統(tǒng)漏洞多、安全策略無暇更新……攻擊暴露面不斷增大。
然而,網(wǎng)絡(luò)攻擊者的首要?jiǎng)幼骶褪鞘占M織單位的安全暴露面,如資產(chǎn)信息、開放端口、被泄露的敏感信息等,再以此突破邊界,攻入內(nèi)網(wǎng)。因此, 重保前的深度查漏補(bǔ)缺,是組織單位必不可少的準(zhǔn)備工作。
脫韁資產(chǎn)管理
通過安全感知管理平臺(tái)SIP和下一代防火墻AF的ACL策略,實(shí)時(shí)檢測資產(chǎn)動(dòng)態(tài),分析資產(chǎn)離線、高危端口開放、無流量訪問端口、無流量訪問源等異常狀態(tài)。
云端安全專家將會(huì)針對(duì)無防護(hù)、無流量、未知、離線、加密流量等脫韁資產(chǎn)與組織單位逐個(gè)確認(rèn),提前協(xié)助組織單位解決脫韁問題,將暫時(shí)無法處置的資產(chǎn)納入全天候監(jiān)測范圍,防止遺漏資產(chǎn)在重要保障期間被攻擊者利用。
脆弱性排查加固
基于多年的實(shí)戰(zhàn)攻防與運(yùn)營積累,深信服以暴露面、漏洞、弱口令為維度,創(chuàng)新研發(fā)了資產(chǎn)風(fēng)險(xiǎn)預(yù)防庫和70+類安全策略。
在重保開始前,云端安全專家將會(huì)調(diào)用風(fēng)險(xiǎn)預(yù)防庫對(duì)組織系統(tǒng)進(jìn)行脆弱性排查,并針對(duì)性地進(jìn)行重保時(shí)期的安全策略檢查和加固。在確保策略準(zhǔn)確性基礎(chǔ)上,對(duì)策略應(yīng)用范圍、版本支持情況、交叉配置信息等內(nèi)容進(jìn)行檢查,確保所有的安全策略“應(yīng)用即有效”。
深度威脅狩獵
除了對(duì)內(nèi)部脆弱性進(jìn)行安全加固外,威脅也是網(wǎng)絡(luò)安全中難以被發(fā)現(xiàn)的風(fēng)險(xiǎn)之一。基于組織單位的業(yè)務(wù)視角,深信服云端專家結(jié)合XDR平臺(tái)開展深度威脅狩獵,以“人+AI+機(jī)器學(xué)習(xí)”多維檢測形成合力,深度挖掘、處置潛伏的未知威脅攻擊。
決戰(zhàn)重保:不必“007”,也能7*24H安全無憂!
在查漏補(bǔ)缺后,真正的攻防戰(zhàn)場也隨之拉開序幕。
在重保期間,深夜、凌晨等值守困倦期也是網(wǎng)絡(luò)攻擊者頻繁發(fā)起多輪攻擊的時(shí)機(jī)。組織單位不僅僅要做到全天候高集中的安全值守,還要對(duì)突發(fā)安全事件進(jìn)行高質(zhì)量的應(yīng)急處置,以最快速度遏制擴(kuò)散風(fēng)險(xiǎn)、降低損失。
問題1:怎么做到全天水平一致的實(shí)時(shí)對(duì)抗值守?
從往年的重保經(jīng)驗(yàn)來看,如果組織單位僅僅依靠本地駐場人員值守,受限于人員精力和能力,難免會(huì)有疏漏和困倦之時(shí)。而引入云端的安全托管服務(wù)MSS,以云地協(xié)同的機(jī)制可以幫助組織單位很好地彌補(bǔ)純本地值守的不足。
MSS采用“人機(jī)共智”的創(chuàng)新模式,綜合運(yùn)用資深攻防專家經(jīng)驗(yàn)和豐富的威脅情報(bào)庫,驅(qū)動(dòng)運(yùn)營平臺(tái)對(duì)安全日志、流量進(jìn)行自動(dòng)化關(guān)聯(lián)分析,并由200+持續(xù)在線的云端安全專家實(shí)時(shí)進(jìn)行更精細(xì)的人工分析、研判、定位,通過微信群、電話等方式及時(shí)同步精確的分析結(jié)果,協(xié)同線下人員共同開展閉環(huán)處置工作。
考慮到重保“要求高、任務(wù)重”,云端專家還會(huì)在不間斷值守的基礎(chǔ)上每兩小時(shí)進(jìn)行一次全網(wǎng)日志的深度分析和通報(bào)。同時(shí),云端專家每日會(huì)匯總整理當(dāng)日內(nèi)外部威脅、攻擊及響應(yīng)處置情況,真正幫助組織單位擺脫“007”的內(nèi)耗,省心高效地做好重保期間的網(wǎng)絡(luò)安全保障工作。
問題2:面對(duì)突發(fā)安全事件,怎么快速遏制、處置?
在重保場景下,大部分用戶缺乏規(guī)范的應(yīng)急機(jī)制和相應(yīng)流程,憑借自身的安全能力往往難以有效應(yīng)對(duì)快速發(fā)生、擴(kuò)散的攻擊事件。據(jù)統(tǒng)計(jì),平均響應(yīng)時(shí)間超過48小時(shí)。
總結(jié)多次重保和大型攻防演練的防守經(jīng)驗(yàn),深信服基于云地協(xié)同的7*24小時(shí)監(jiān)測,針對(duì)重保時(shí)期打造一套可落地、可閉環(huán)、可量化的響應(yīng)處置流程:
實(shí)時(shí)風(fēng)險(xiǎn)研判+情報(bào)收集,準(zhǔn)確率99%
通過每年萬億級(jí)日志分析,深信服沉淀下了2000+安全用例(Usecase),自動(dòng)化實(shí)現(xiàn)96%設(shè)備無效告警過濾,還支持個(gè)性化定制開發(fā),幫助用戶基于業(yè)務(wù)視角實(shí)現(xiàn)更精準(zhǔn)的檢測。云端安全專家聯(lián)動(dòng)安全設(shè)備(如下一代防火墻AF、終端安全管理平臺(tái)EDR等)進(jìn)一步核實(shí),確保上報(bào)告警準(zhǔn)確率高達(dá)99%。
不僅如此,基于覆蓋國內(nèi)外的安全設(shè)備和安全云腦大數(shù)據(jù)分析平臺(tái),深信服構(gòu)建了完整的內(nèi)外部威脅情報(bào)一體化生產(chǎn)、應(yīng)用和監(jiān)控運(yùn)營系統(tǒng),不僅能快速收集重要保障期間爆發(fā)、新出現(xiàn)的流行安全威脅,還能分析溯源威脅攻擊鏈,以覆蓋“事前、事中、事后”的一體化威脅情報(bào)先一步預(yù)警組織單位。
15分鐘內(nèi)快速響應(yīng)
在發(fā)生安全漏洞/威脅/事件后,云端專家將會(huì)通過微信、短信、郵件、電話等多種途徑通知用戶,并針對(duì)初步判斷和下一步建議進(jìn)行說明。
針對(duì)“簡單風(fēng)險(xiǎn)”和“一般風(fēng)險(xiǎn)”,運(yùn)營中心積累的大型事件調(diào)查和處置庫可根據(jù)風(fēng)險(xiǎn)信息傳遞指令,自動(dòng)化/半自動(dòng)化響應(yīng)處置,快速遏制安全風(fēng)險(xiǎn);針對(duì)“重大風(fēng)險(xiǎn)”,云端專家會(huì)先進(jìn)行惡意流量和外聯(lián)行為阻斷,控制影響面并向用戶匯報(bào)風(fēng)險(xiǎn)信息和遏制方案,在授權(quán)下通過安全設(shè)備進(jìn)行響應(yīng)遏制操作以及下一步深度溯源分析。
1小時(shí)遏制
在快速響應(yīng)后,云端專家、本地值守人員將會(huì)協(xié)同開展深度溯源和風(fēng)險(xiǎn)清除工作。通過歷史攻擊回溯和攻擊面分析、關(guān)聯(lián)相關(guān)攻擊告警和行為,從攻擊者視角審視業(yè)務(wù)資產(chǎn)的攻擊面,精準(zhǔn)定位到此次事件的根因入口,協(xié)助用戶進(jìn)行攻擊暴露面管理。
同時(shí),云端專家、本地值守人員也會(huì)對(duì)此次攻擊進(jìn)行可視化的過程還原,捕獲每個(gè)攻擊軌跡,對(duì)涉及的設(shè)備及時(shí)做好處置與防范管理。
100%跟蹤閉環(huán)
云端專家每日跟進(jìn)、協(xié)助用戶完成所有遺留安全風(fēng)險(xiǎn)的修復(fù)加固。
憑借著多年來在國家級(jí)、省級(jí)攻防演練中沉淀下來的實(shí)戰(zhàn)經(jīng)驗(yàn),及針對(duì)攻防對(duì)抗技術(shù)的深入研究,深信服已經(jīng)具備了強(qiáng)大的攻防實(shí)戰(zhàn)能力和豐富的重大活動(dòng)網(wǎng)絡(luò)安全保障經(jīng)驗(yàn),先后完成了建黨100周年慶典活動(dòng)、第十四屆全運(yùn)會(huì)、新中國成立七十周年慶典、多屆全國兩會(huì)、杭州G20峰會(huì)、廈門金磚會(huì)晤等多個(gè)國家級(jí)網(wǎng)絡(luò)安全保障任務(wù)。
未來,深信服也將不忘初心,牢記使命,繼續(xù)為維護(hù)網(wǎng)絡(luò)環(huán)境、守衛(wèi)國家安全持續(xù)奉獻(xiàn)智慧與力量!
