攻防演练效果提升秘籍:妙用微步TDP,高效精准流量检测
2022全球网络安全形势严峻,承担着国计民生的大型企业,更需要肩负起自身网络安全防护义务,提升对关键基础设施及核心业务、数据的网络安防水平,定期进行攻防演练,促进日常安全运营能力不断提升。作为纵深防御策略的重要组成部分,流量侧的威胁检测与响应能力,依旧是企业攻防演练与安全能力提升的重点。
针对不断迭代的攻击手段、层出不穷的未知威胁与0Day漏洞,企业如何快速从流量侧增强威胁发现与响应能力,提升攻防演练实战效果?微步在线基于多年攻防服务实战经验,从流量侧为企业提供了攻击监控、研判分析、应急处置、反制溯源、攻防情报共享的覆盖全场景的一体化检测与处置方案,帮助企业快速增强防护力。
图:攻防演练TDP一体化检测与响应方案
摸清家底:资产暴露面梳理
企业实际运营过程中,绝大多数情况下都存在大量未管理的资产。企业兼并与业务重组,可能导致历史资产不能及时掌握;企业快速发展,新业务上线出现资产未及时统计;CMDB资产管理工具,则可能产生无法识别资产风险的情况......这些都会成为企业被攻击的暴露面。
微步在线威胁感知平台TDP可通过流量,自动化识别企业开放的服务、端口、中间件、数据库、弱密码、传输文件等企业所有资产,动态及时发现企业存在的资产风险并实时告警,帮助企业及时做好资产风险排查与加固,打好安全防御基础。
在某次大型攻防演练中,微步在线安全服务团队基于TDP对资产的有效梳理能力,曾帮助单个企业梳理漏洞2000余个,外网服务收敛从200个以上减少至数个,外联设备从60余个降至10个以内,并消除所有登录弱密码。由于前期准备充分扎实,该企业实现了攻防演练效果能力的极大提高,并有效提升了后续日常安全运营工作的效率。
图:攻防演练TDP基于网端攻击全链路监测
迅速定位:精准检测0Day、木马变形及APT攻击
为攻入目标企业网络大门,攻击者的用心程度远超企业安全人员想象,他们通常会尝试各类最新、最隐秘的攻击手段。例如,通过社交平台社工进而发送钓鱼邮件、利用应用软件最新0Day漏洞,使用接近APT的回连通信隐藏技术等,都可能成为攻击者的奇技淫巧。
想要发现这些威胁,检测能力非常关键。基于微步在线顶尖的攻防演练情报分析能力,TDP内置国内涵盖最强恶意文件引擎在内的40多种文件检测引擎组合进行检测,可有效检测各类木马、未知威胁、APT等威胁,且挑战赛中TDP机器学习能力对WEB类0Day自动检出率可达50%以上。
同时,TDP还可对请求与返回流量全流量检测,对企业生产网、办公网全场景流量攻击成功失败自动化判定,保证准确告警,准确率可达99.97%,有效提升攻防演练安全人员人效。
情报反制:TDP重保监控,实时获取最新攻击情报
“料敌制胜”道出了军事情报的重要地位,而攻防演练中,高质量的攻击情报就非常关键。通过对攻击者情报的及时掌握,企业能提前做好响应机制,将0Day、未知威胁有效挡在城墙之外,甚至进一步用好该情报,利用规则高效拦截潜在威胁。
TDP内置重保监控模块,基于专业分析团队时刻跟进攻击动向,实时同步攻击队IP资产、木马特征、攻击队溯源结果等攻击者重要信息,同时全面展现外部攻击活动,资产风险检出、恶意文件、邮件告警、疑似感染攻击队木马主机等关键信息。此外,微步在线还会第一时间将攻防情报转换为检测拦截规则,云端同步到TDP内,使企业自动化利用情报对攻击者进行反制。
攻击研判:灵活易用研判工具包
攻防演练是实战化的安全能力考验。各种高级、未知、高隐藏型攻击威胁,已成为攻防演练的主流攻击方式。企业安全人员想要准确、快速、有效对攻击进行研判,就需要高可用、高易用的分析研判工具库,从而及时快捷进行攻击研判。
攻击研判环节,TDP的日志调查模块针对网络日志提供不同流量方向、不同行为类型、不同匹配方式的源IP、攻击结果等任意类型日志快速检索,完备的解码与统计分析工具可对加密攻击载荷进行解码分析,内置PCAP包分析功能,无需下载即可对原始流量进行分析。同时,TDP支持保存查询条件,方便企业对特定威胁进行长期监控,保证安全运营团队采取针对性地流量分析与研判。
快速响应:自动化封堵攻击
攻防演练中,一旦发现攻击者,微步在线TDP可提供旁路阻断与联动阻断两种阻断方式。通过旁路阻断,可在不改变网络拓扑的情况下,对恶意连接进行有效阻断。而联动阻断,则是将检出的恶意域名资产IP、域名等信息及时同步至第三方防火墙设备或采用外部资源调用的方式进行阻断。
目前TDP阻断率已达到99.9%,处于业界领先水平。
攻防演练期间,TDP还提供重大活动安全态势监控大屏,可针对攻防演练靶标威胁、攻击者攻击进度实时可视化展示,并配置个性化声音告警。
图:攻防演练TDP联动HFish蜜罐诱捕,串联入侵行为
攻击溯源:完整还原攻击路径
攻击溯源是事后响应的关键,也是安全能力提升的关键。通过对被攻击资产与流量的分析与溯源,还原攻击路径与攻击手法,企业不仅可有效提升攻防演练效果,还可增强安全防御能力,将攻击事件转换为防御势能,避免二次攻击事件发生。
溯源环节,TDP利用威胁情报对攻击进行智能聚合,以IP维度显示整体攻击上下文,并基于攻击技战术对攻击者进行识别与归类,将同一团伙攻击者放置于同一事件,从而有效追溯攻击者攻击过程、入侵点及后续攻击动作,了解企业资产受损状况。
另外,TDP还可与免费蜜罐产品HFish联动,将所有踩过蜜罐的可疑IP行为与TDP全流量日志数据进行整体串联,低成本覆盖大型集团企业多分支机构、网络复杂企业网络全流量监控,以及云端威胁检测与感知场景,实现云端网多源捕获攻击者特征,丰富溯源线索。
目前,微步在线已服务300多家涉及金融、能源、电力、政府、军工、烟草等行业攻防演练项目,实现全面覆盖所有关基行业,并拿下2021单项最高加分的成绩,效果显著且获得行业广泛认可。