重保季 | NDR+安全湖防守三部曲，開啟2024常態化實戰攻防演練新篇章

隨著國際、國內網絡安全局面的復雜化、企業數字化程度的加深以及數字世界不同主體之間的聯動加深,網絡安全不再是某一家企業、某一個部門的責任,而逐漸成為兼具企業經濟責任和社會責任的“廣義”安全命題。因此,組織、參與實戰演練就成為政府、企業及社會各界非常重視,也是我們安全建設者們一年一度的重要工作。實戰演練也是對安全廠商的一次“大考”,通過真刀真槍的對抗,來檢驗安全產品的性能、安全體系的穩定程度、安全人才的實力。

在歷年對抗中,藍方(防守方)的經驗越來越豐富,工具越來越強大,直接導致紅方(攻擊方)的手段花樣翻新,且越來越真實。針對今年攻防演練行動的特殊變化,也需要相應的能力升級。

例如,時間長度的拉長和參與主體的增多,一方面會導致原有安全防御策略的失效,另一方面也會更大程度暴露攻擊面,尤其是一些新納入攻防演練的主體,可能會陷入“被攻破后原地躺平”的風險。

俗話說,“工欲善其事,必先利其器”,這里我們就針對2024年的一些新任務、新變化和新挑戰,通過連載的方式,為大家推薦 “專季專用”的神器,在重點演練場景中的應用攻略。

——NDR&安全湖——

由于攻防演練常態化,攻方最常用的手段就是偵查、滲透、提權、長期駐留,防守方對應的策略也可以利用這些攻擊溯源反滲透和反偵察、因此,是否能夠完整、全面、客觀、敏捷的對攻防期間的數據和流量進行分析,就成了致勝的“勝負手”。

根據數世咨詢發布的《NDR能力指南》,NDR&威脅情報可以在攻防演練場景的如下維度發揮重要作用:

●提供全流量會話PCAP文件形式的存儲,還原攻擊事件和異常行為,供用戶隨時調取;

●以時間為主線,分析黑客行為。要能清晰完整呈現攻擊IP的攻擊次數、攻擊手法、攻擊工具,為溯源提供數據支撐;

●接到監管單位、上級單位的預警通知,以及安全告警事件后,溯源分析關鍵時間點的數據包上下文,還原當時的攻擊場景,為分析研判提供支撐;

●威脅情報關聯分析,即對流量數據與內部威脅情報進行聯動分析。通過匹配黑IP、黑域名的外部威脅情報庫,記錄告警資產與黑客的會話連接數據,同時,記錄黑客在資產區的全部活動軌跡。

騰訊云NDR產品(由NDR御界高級威脅檢測系統和NDR天幕安全治理平臺組成)基于云端協同的全流量檢測,覆蓋勒索病毒、郵件安全、密碼安全等八大安全場景,開箱即用,通過安全專題將威脅聚焦,結合可視化分析幫助客戶針對性解決風險問題;在檢測能力方面,AI算法+威脅情報+哈勃沙箱+規則引擎四大領先利器,強力對抗攻擊繞過和0day漏洞;在響應速度上,騰訊云NDR具備全面的互聯網漏洞檢測機制及國內領先的威脅情報庫,能實現實時聯動,快速響應最新漏洞和事件;在阻斷效果上,騰訊云NDR采用非侵入式旁路阻斷攻擊行為,閉環處置事件,阻斷成功率高達99.99%。

由于參與攻防演練的政府部門和企業,大多屬于“關基”范疇,相關的安全數據規模巨大、管理、查詢、追溯的成本都非常高(既包括財務成本,也包括技術和人員成本)。

基于騰訊云安全湖產品,實現低成本、高性能、全棧國產化,為所有泛安全數據提供一體化的數據接入、架構、存儲、分析、檢索、報表和可視化能力,降低90%存儲成本,PB級數據分析秒級響應。基于威脅情報的能力,提供全流量數據存儲與分析溯源方案,能發現180天以上的長周期歷史數據中的未知威脅,并提供情報回溯、威脅狩獵等能力,幫助企業快速應對APT、0day漏洞等高危事件,回掃歷史數據,發現潛在威脅,御敵千里之外。

——HVV高發場景及對策——

場景1:全流量數據存儲與深度分析回溯

「行業發生大規模入侵,希望基于數據回溯快速了解公司安全狀況,是否有關鍵業務置于高風險中;需要實時回溯全流量、長周期數據,從而全面了解攻擊方的目標、手段以便制定對策。」

騰訊云NDR+安全湖:基于全流量的長周期威脅情報&APT檢測;回溯情報和漏洞排查是否存在歷史入侵和侵入;威脅狩獵,主動發現APT攻擊和最新的漏洞攻擊;儀表板可視化分析,了解安全態勢、流量態勢、攻擊源IP和IP畫像以及整改情況;支持180天以上的全流量分析、調查取證、回溯和可視化。

場景2:APT攻擊識別與威脅回溯

「合規要求快速排查潛伏的APT,了解影響面以便提前應對監管。動態回溯半年乃至一年的數據情況,根據黑客行為判定企業業務單元和數據資產面臨的威脅。」

騰訊云NDR+安全湖:構建狩獵/情報回溯任務,收集回掃歷史數據并可視化分析、調查取證。基于威脅情報IOC、ATT&CK TTP,實現APT高級威脅狩獵;在攻防對抗場景識別對抗前就已經潛伏的、未發現的威脅。

場景3:0day漏洞及時響應與風險排查

「由于某新漏洞大規模爆發,不少企業系統癱瘓,企業希望能夠快速排查0day漏洞及潛在風險。」

騰訊云NDR+安全湖:實現針對歷史數據的快速完整回溯分析以及新增數據的實時檢測;持續狩獵,基于數據和征兆進行安全分析主動防御,避免0day攻擊防御天然滯后性帶來的巨大安全風險;在0day漏洞入侵的整個時間線上,實現漏洞信息的獲取、漏洞修復和漏洞潛在威脅的復查。

場景4:對現有SOC架構進行升級優化

「客戶現有SOC平臺節點多、性能低、效率慢,安全場景擴展能力差,無法實現長期數據的回溯。」

騰訊云NDR+安全湖:支持對現有SOC升級優化,對原有未加工的原始數據進行結構化,生成日志&告警,進入SOC平臺實現告警處置與響應閉環,實現自主構建檢測能力、更深度的調查/威脅狩獵,為SOC平臺賦予更高的效率和擴展性,實現持續運營和處置閉環能力。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：