國慶假期來臨、重要會議舉辦……今年的金秋十月格外歡騰。在舉國歡慶之際,網絡不法分子也開啟了“狂歡”。
由于社會影響、監管要求等因素,組織單位對重要時期安全事件的容忍度更低,借機牟利的網絡攻擊者往往會利用智能化自動攻擊工具發起更加瘋狂的不間歇攻擊。
對于組織單位來說,安全部門的“007”值守已經成為了重保標配。盡管如此,網絡安全攻擊引起的事故仍然頻頻發生。究其原因,組織單位在風險管控的流程、能力上仍存在差距:
值守人員有限,安全告警數量過多,無法及時分析出有效攻擊。
面對突然披露的0Day漏洞,不知道該如何快速排查、遏制影響面。
攻擊一旦突破邊界,不能立即實行有效措施阻止內網橫向擴散。
………
如今,僅僅依靠組織單位自身的“007”值守已經不足以應對新型攻擊。深信服云地協同的重要時期網絡安全保障方案采用“技防+人防”實行線上、線下協同合作的風險全流程管控,讓您不必“007”,也能7*24H安全無憂!
備戰重保:查漏補缺工作必不可少!
近兩年受新冠肺炎疫情的影響,政府、教育、醫療等與民生密切相關的行業不斷加速數字化進程,在“業務先行”的模式下,信息資產頻繁變動、安全管理缺失、系統漏洞多、安全策略無暇更新……攻擊暴露面不斷增大。
然而,網絡攻擊者的首要動作就是收集組織單位的安全暴露面,如資產信息、開放端口、被泄露的敏感信息等,再以此突破邊界,攻入內網。因此, 重保前的深度查漏補缺,是組織單位必不可少的準備工作。
脫韁資產管理
通過安全感知管理平臺SIP和下一代防火墻AF的ACL策略,實時檢測資產動態,分析資產離線、高危端口開放、無流量訪問端口、無流量訪問源等異常狀態。
云端安全專家將會針對無防護、無流量、未知、離線、加密流量等脫韁資產與組織單位逐個確認,提前協助組織單位解決脫韁問題,將暫時無法處置的資產納入全天候監測范圍,防止遺漏資產在重要保障期間被攻擊者利用。
脆弱性排查加固
基于多年的實戰攻防與運營積累,深信服以暴露面、漏洞、弱口令為維度,創新研發了資產風險預防庫和70+類安全策略。
在重保開始前,云端安全專家將會調用風險預防庫對組織系統進行脆弱性排查,并針對性地進行重保時期的安全策略檢查和加固。在確保策略準確性基礎上,對策略應用范圍、版本支持情況、交叉配置信息等內容進行檢查,確保所有的安全策略“應用即有效”。
深度威脅狩獵
除了對內部脆弱性進行安全加固外,威脅也是網絡安全中難以被發現的風險之一。基于組織單位的業務視角,深信服云端專家結合XDR平臺開展深度威脅狩獵,以“人+AI+機器學習”多維檢測形成合力,深度挖掘、處置潛伏的未知威脅攻擊。
決戰重保:不必“007”,也能7*24H安全無憂!
在查漏補缺后,真正的攻防戰場也隨之拉開序幕。
在重保期間,深夜、凌晨等值守困倦期也是網絡攻擊者頻繁發起多輪攻擊的時機。組織單位不僅僅要做到全天候高集中的安全值守,還要對突發安全事件進行高質量的應急處置,以最快速度遏制擴散風險、降低損失。
問題1:怎么做到全天水平一致的實時對抗值守?
從往年的重保經驗來看,如果組織單位僅僅依靠本地駐場人員值守,受限于人員精力和能力,難免會有疏漏和困倦之時。而引入云端的安全托管服務MSS,以云地協同的機制可以幫助組織單位很好地彌補純本地值守的不足。
MSS采用“人機共智”的創新模式,綜合運用資深攻防專家經驗和豐富的威脅情報庫,驅動運營平臺對安全日志、流量進行自動化關聯分析,并由200+持續在線的云端安全專家實時進行更精細的人工分析、研判、定位,通過微信群、電話等方式及時同步精確的分析結果,協同線下人員共同開展閉環處置工作。
考慮到重保“要求高、任務重”,云端專家還會在不間斷值守的基礎上每兩小時進行一次全網日志的深度分析和通報。同時,云端專家每日會匯總整理當日內外部威脅、攻擊及響應處置情況,真正幫助組織單位擺脫“007”的內耗,省心高效地做好重保期間的網絡安全保障工作。
問題2:面對突發安全事件,怎么快速遏制、處置?
在重保場景下,大部分用戶缺乏規范的應急機制和相應流程,憑借自身的安全能力往往難以有效應對快速發生、擴散的攻擊事件。據統計,平均響應時間超過48小時。
總結多次重保和大型攻防演練的防守經驗,深信服基于云地協同的7*24小時監測,針對重保時期打造一套可落地、可閉環、可量化的響應處置流程:
實時風險研判+情報收集,準確率99%
通過每年萬億級日志分析,深信服沉淀下了2000+安全用例(Usecase),自動化實現96%設備無效告警過濾,還支持個性化定制開發,幫助用戶基于業務視角實現更精準的檢測。云端安全專家聯動安全設備(如下一代防火墻AF、終端安全管理平臺EDR等)進一步核實,確保上報告警準確率高達99%。
不僅如此,基于覆蓋國內外的安全設備和安全云腦大數據分析平臺,深信服構建了完整的內外部威脅情報一體化生產、應用和監控運營系統,不僅能快速收集重要保障期間爆發、新出現的流行安全威脅,還能分析溯源威脅攻擊鏈,以覆蓋“事前、事中、事后”的一體化威脅情報先一步預警組織單位。
15分鐘內快速響應
在發生安全漏洞/威脅/事件后,云端專家將會通過微信、短信、郵件、電話等多種途徑通知用戶,并針對初步判斷和下一步建議進行說明。
針對“簡單風險”和“一般風險”,運營中心積累的大型事件調查和處置庫可根據風險信息傳遞指令,自動化/半自動化響應處置,快速遏制安全風險;針對“重大風險”,云端專家會先進行惡意流量和外聯行為阻斷,控制影響面并向用戶匯報風險信息和遏制方案,在授權下通過安全設備進行響應遏制操作以及下一步深度溯源分析。
1小時遏制
在快速響應后,云端專家、本地值守人員將會協同開展深度溯源和風險清除工作。通過歷史攻擊回溯和攻擊面分析、關聯相關攻擊告警和行為,從攻擊者視角審視業務資產的攻擊面,精準定位到此次事件的根因入口,協助用戶進行攻擊暴露面管理。
同時,云端專家、本地值守人員也會對此次攻擊進行可視化的過程還原,捕獲每個攻擊軌跡,對涉及的設備及時做好處置與防范管理。
100%跟蹤閉環
云端專家每日跟進、協助用戶完成所有遺留安全風險的修復加固。
憑借著多年來在國家級、省級攻防演練中沉淀下來的實戰經驗,及針對攻防對抗技術的深入研究,深信服已經具備了強大的攻防實戰能力和豐富的重大活動網絡安全保障經驗,先后完成了建黨100周年慶典活動、第十四屆全運會、新中國成立七十周年慶典、多屆全國兩會、杭州G20峰會、廈門金磚會晤等多個國家級網絡安全保障任務。
未來,深信服也將不忘初心,牢記使命,繼續為維護網絡環境、守衛國家安全持續奉獻智慧與力量!
