一场惊心动魄的实网攻防演习,复盘TOP国有银行如何做到「不破防」?—精兵揭秘篇–——四川 成都 IT解决方案商

世界上有两种防守团队,你会怎么选?

网络安全没有固定的规则,最终必然是“人与人的对抗”。由精兵强将组成的强悍队伍是捍卫网络主权的基本面,而决定胜负的关键也往往来自安全工程师的“神之一手”。面对数字安全更加复杂的新形势,能取得不错防护效果的防守团队,大概有两种:
一种是:带甲十万,日费千金。即需要持续投入大量的人力、财力的人民币玩家,以短期高强度的投入来换取每日的安全运行保障。
另一种是:一夫当关,万夫莫开。即只需要较少的精兵组成,通过全方位「看见」能力以及体系化运营和自动化管理,使业务单位保持高位安全运行水平。
由于网络攻击时刻在发生,「网络安全防护」必须保持“常态化”,因此,显然第二种是更优选择。
这是一支“一夫当关 万夫莫开”的防守队
为圆满完成本次TOP级国有银行的实网攻防演习防守任务,360先后共选派了十余名安全专家,组建成为防守队。每名安全专家各有神通,有擅长攻防渗透的安全专家,熟谙攻击者惯用套路和攻击路径;有擅长事件分析的安全专家,能够大海捞针般地从海量安全数据中发现并还原攻击事件;有擅长安全运维的专家,贴近业务单位进行日常巡检、资产盘点、基线核查等;还有曾操盘TOP级体量银行安全体系建设的安全专家,可以为防守单位提供基于业务、覆盖全场景的安全咨询。
团队组建后,他们将要面对的是来自十余支攻击团队对该TOP国有银行庞大业务系统的猛烈进攻。这些攻击队往往也来自头部网络安全厂商,可能手握0Day漏洞等重磅武器,可能身怀来去自如的神技……一场没有硝烟的网络攻防实战,一触即发。

演练前准备阶段:

全面梳理资产、摸排风险、充分备战

《孙子兵法》有云:“无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。”(《孙子兵法·九变篇》)

也就是说,我们不抱敌人不会来的侥幸心理,而要依靠我方有充分准备,严阵以待;不抱敌人不会攻击的侥幸心理,而要依靠我方坚不可摧的防御,不会被战胜。

在正式演练前夕,一支由5人组成的阶段小队进入了防守单位现场,进行了为期两周的准备阶段工作,主要目的是把风险和暴露面尽可能收敛:

1
 全面梳理资产,看见“战场”
在获取授权、签订保密后,防守队为该银行单位全面梳理了信息资产,如是否存在未知业务IP存活、是否存在未知端口开放、中间件是否存在漏洞、开发语言是否符合记录、CMS框架是否存在漏洞等,主要目的是发现未知资产以及相关的影子资产风险和漏洞。
2
 系统检查短板,看见“风险”
绘制出清晰的资产地图后,防守队为该银行单位系统检查短板,如核查主机、网络设备、数据库、中间件的账户、口令、策略、权限、认证以及补丁修复等情况,全面扫描是否存在认证授权、命令执行、逻辑攻击、注入攻击等各种类型的漏洞,并补齐发现的短板。因为网络安全防护符合木桶原理,能装多少水取决于最短的一块木板。
3
 优化告警规则,降低误报
风险告警可以实现安全设备对人工管理的自动化辅助,然而现实中,这些安全设备的告警量过于庞大,峰值可以达到近2000万次/日,并且误报率能达到98%。甚至有时,攻击队还会利用告警量大、误报率高的特点,故意制造大量虚假告警,来分散防守方的注意力。因此,基于对该银行单位的业务调研,防守队在准备阶段就新增设立了100多条贴合业务的核心规则、400多条通用规则,将误报率降到了10%以下,打破了业界常规。
4
 全局统一管理,协同防护
该银行单位在全国各省基本都有分行,本次防守,我们将这几十家分行、数据中心和总部进行全局性的统一管理、协同防护和联动处置,使***一处发现的异常都能够迅速在全局系统同步处置,高效处置攻击队使用同一种攻击手法在不同位置的反复尝试,大大减少对防守队的精力消耗。
5
 全员安全培训,强化意识
攻击队的技战术有很多,但是经常是一些技术上不复杂、针对人性弱点的攻击手法,比如最常见的就是利用邮箱、社交平台等进行钓鱼攻击。因此,防守队为该银行单位开展全员范围的网络安全意识培训,以深入浅出的方式向全员讲解设备安全、行为安全、社交平台安全、常见的漏洞利用场景等,并进行了社工钓鱼攻击演示和模拟检验,获得良好反响。
正式演练期间:全面监测预警、实时处置、追踪溯源

在正式演练期间,一支由8人组成的第二阶段小队进驻了防守单位现场,即“一线防守队”;此外,还有一支由4人组成的“二线防守队”远程协助一线防守。这一阶段的目标是防守住攻击队的攻击,并溯源攻击队。整场攻防演练期间,防守队共分析了近百起攻击事件,其中确认并排查出约十起误报事件,处置了四十多起真实攻击事件,并为该银行单位发现了十多次内部风险隐患,成功守住阵地,实现“不破防”。

1、科学分工协作,高效防守
防守队方面,整体分为三组,即安全监控组、应急响应组、安全分析组。其中,安全监控组,分为一线的监测组和二线的研判组,一线监测组盯紧所有安全运营的告警,然后交给二线的研判组,时间做好精准的研判和分析,给出风险等级,然后交给应急响应组;应急响应组,主要负责针对监控组发现的威胁告警时间进行处置和封禁;安全分析组,主要负责接收安全监控组和应急响应组处置的样本,进行样本的同源归类和样本分析。
2、全面监测预警,看见“异常”
以其中一次典型的异常活动为例,向各位看官介绍。正式演练期间的某天晚上9点半左右,监测组通过时间序列图,实时观测到疑似对我防守方的攻击,发现疑似攻击后,立即交由安全分析组进行多源安全数据的关联分析,发现攻击者变换了多个IP,并变换手法尝试绕过Web应用防火墙。这一条条看起来平平无奇、看似无关的微妙“异常”,就这样被防守队大海捞针般地发现并准确告警。
3、全局分析研判,看见“威胁”
除了攻击队的异常行为进行预警,我们还要具体分析其攻击手法、使用了什么技战术,还原杀伤链。攻击队将流量、终端等不同安全设备上的安全数据进行分析,与威胁情报库的规则模型和算法进行匹配,实现对特定类别威胁的感知、分析、决策和处置,并不断积累与“知彼”有关的知识库。比如上面刚提到的这次攻击,通过分析,本次攻击者的攻击方式还原如下:攻击者利用了该银行单位某业务系统中任意文件上传的漏洞,植入经过编码混淆的文件,并利用重命名更改路径方式,生成可利用的木马,继而使用远程加密连接管理工具控制其植入的系统,并实施横向攻击。
4、设计近源陷阱,诱捕对手
上面提到,攻击者利用业务系统漏洞成功控制了某系统,这是不是意味着我们防守方被攻破了?其实,这是我们在靶标附近精心布置的一个陷阱——“蜜罐”。这是一种攻击欺骗防御工具,通过营造一个与真实业务系统高度相似的虚拟环境,在不影响业务的情况下,诱捕攻击者进入,并对其进行追踪溯源。因此,在本次看似成功实则陷阱的攻击事件中,防守队通过分析溯源最终成功定位,该攻击者来自某国内安全大厂。
5、自动响应编排,高效处置
摸清了攻击者的入侵方式,当类似特征的攻击再次出现时,我们即可采用类似的方式进行处置。为了提高处置效率,将相应的处置方式形成规则,实现自动化编排响应,从而显著降低安全人员的重复操作和时间投入。

 

IT解决方案

桌面终端安全管理平台,网络终端安全管控软件,终端安全管理,终端安全管理项目,终端安全防护项目,终端安全防护装置
内网终端安全管理系统,终端安全管理系统,终端安全管理系统升级服务,终端安全管理系统升级项目,终端安全管控系统维保项目,终端安全运维服务,

终端安全管理、准入控制系统,终端安全加固项目 ,终端安便管理平台,终端安全防御EDR,终端安全设备。终端安全及数据防泄露,网络准入及终端安全,

终端安合全管控,终端安全防护体系,终端安全杀毒软件,终端安全管理系统,终端安全管控,终端安全管理系统,终端安全杀毒项目 ,终端安全管理系统纽保服务,终端安全项目询价,终端安全管控平台,

服务器杀毒防护软件,杀毒软件,杀毒软件项目 ,杀毒病毒库维保,网络版杀毒安全系统,杀毒软件系统续保服务,杀毒软件windows版,杀毒软件引擎库,

杀维软件维保项目 ,杀毒软件运维服务,服务器杀毒防护软件,内网杀毒软件,云杀毒,网络版杀毒软件,服务器杀毒软件,网络版杀毒软件,

网络版杀毒安全系统,杀毒软件病毒库更新,杀毒软件企业版,网络安全杀毒软件,
杀毒软件edr, 杀毒项目 。防病毒终端安全

symantec网络版杀毒安全系统- symantec 防病毒软件,symantec软件维保,symantec软件续费。

360天擎防病毒系统,360杀毒软件,

亚信杀毒软件维保,

金山杀毒软件授权续保,

四川360企业安全 成都360企业安全 西藏360企业安全  重庆360企业安全 贵州360企业安全 贵阳360企业安全 云南360企业安全  昆明360企业安全四川360企业安全: 德阳360企业安全 绵阳360企业安全,攀枝花360企业安全,西昌360企业安全,雅安360企业安全,内江360企业安全,资阳360企业安全,南充360企业安全,眉山360企业安全,乐山360企业安全,自贡360企业安全泸州360企业安全广元360企业安全遂宁360企业安全  宜宾360企业安全 广安360企业安全  达州360企业安全   雅安360企业安全  巴中360企业安全  资阳360企业安全  攀枝花360企业安全  凉山彝族自治州360企业安全   甘孜藏族自治州360企业安全  阿坝藏族羌族自治州360企业安全360终端安全防护系统, 360终端安全管理, 360终端安全管理系统是进行监控吗, 360终端安全管理系统卸载密码,360终端安全管理系统报价, 360终端安全管理系统密码,360 终端安全管理系统软件怎么卸载,360终端安全管理系统卸载,360终端安全管理系统的账户密码,360终端安全管理系统软件贵州360企业安全:贵阳360企业安全、六盘水360企业安全、遵义360企业安全、安顺360企业安全、铜仁360企业安全、毕节360企业安全。 黔南360企业安全、黔西南360企业安全、贵州黔东南360企业安全

360终端安全防护系统,重庆360企业安全 合川360企业安全  南川360企业安全潼南360企业安全铜梁360企业安全长寿360企业安全   璧山360企业安全   荣昌360企业安全   綦江360企业安全   大足360企业安全   武隆360企业安全   垫江360企业安全   奉节360企业安全丰都360企业安全   城口360企业安全    巫溪360企业安全    云阳360企业安全     酉阳360企业安全    巫山360企业安全    梁平360企业安全    彭水360企业安全   秀山360企业安全   石柱360企业安全  开县360企业安全

360终端安全防护系统(信创版)昆明360企业安全、曲靖360企业安全、玉溪360企业安全、 保山360企业安全、昭通360企业安全、丽江360企业安全、普洱360企业安全、 临沧360企业安全。

文山壮族苗族自治州(文山360企业安全) 、红河哈尼族彝族自治州(红河360企业安全) 、西双版纳傣族自治州、(西双版纳360企业安全) 楚雄彝族自治州(楚雄360企业安全)、 大理白族自治州(大理360企业安全)、 德宏傣族景颇族自治州(德宏360企业安全)、 怒江傈僳族自治州(怒江360企业安全)、 迪庆藏族自治州(迪庆360企业安全)

360企业安全 官网
360企业安全 成都分公司 360企业安全 四川分公司

360企业安全 解决方案 合作伙伴 成都360企业安全 授权代理商 四川360企业安全授权经销商

360企业安全 中国合作伙伴 – 360企业安全 核心级和企业级合作伙伴 专业级合作伙伴

成都科汇科技有限公司
360政企安全  部署 实施  故障解决
360政企安全  专业级 四川 成都 技术服务中心
360政企安全 核心级 360企业安全备份服务中心
360政企安全

对以上内容感兴趣的可自行联系官网。

更多型号和解决方案请咨询:

成都科汇科技有限公司( IT解决方案商)

地址:四川省成都市武侯区人民南路四段一号时代数码大厦18楼A5

电话咨询热线:400-028-1235

QQ咨询热线: 1325383361

24小时咨询热线:180 8195 0517(微信同号)

本文章为转发的公开信息,如有相关侵权,敬请联系上述联系方式即可删除。

相关文章

返回顶部