正文

攻鉴产品之旅(七):面对威胁如何由被动防御变主动防御

admin
admin V管理员 /0 评论 /50 阅读
0819
此篇文章发布距今已超过31天,您需要注意文章的内容或图片是否可用!
“知己知彼,百战百胜”,《孙子·谋攻篇》中详细阐述了这句话的涵义:“知彼知己,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆”。这意味着,只有当双方的情况都被充分理解时,作战才最有可能取得胜利,如果只了解自己或对方但不知道双方的实际情况,那么胜率就会大大降低,甚至可能导致全军覆没。
在当前的网络安全领域,随着网络空间对抗的日益激烈,传统的安全技术越来越难以全面满足防护需求。目前,业界普遍认可的理念是:“仅靠单一的安全防御已经不足以应对持续、多变的挑战了,更需要持续的监测与响应。”
想要做到持续有效的检测与快速的响应,其中极为重要的一环便是威胁情报防护工作。

什么是威胁情报防护

威胁情报防护覆盖了传统的安全防御思路,他以威胁情报为核心,通过多维度、全方位的情报感知,安全合作,协同处理的情报共享,以及情报信息的深度挖掘与分析,帮助信息安全管理人员即时了解系统的安全态势,并对威胁动向做出合理预判,从而将创痛的“被动防御”转变为积极的“主动防御”,提高信息系统的安全应急响应能力。
如果说了解漏洞信息是“知己”,那么掌握安全威胁则是“知彼”。

场景概述

攻鉴(AS BAS)突破与攻击模拟系统基于企业面临的安全威胁现状,结合矢安科技安全研究和威胁追踪分析能力,跟踪全球威胁并采集威胁情报,研发出威胁情报场景。
威胁情报,是以攻鉴客户端,部署在被验证网络业务域下的终端/主机环境上,通过云端的即时威胁情报驱动,客户端模拟用户被钓鱼攻击、C&C外联、供应链投毒外联、APT攻击、挖矿连接访问矿池等攻击场景,并通过及时更新的威胁情报库,以情报为驱动力,实时评估用户实网环境下是否具备即时情报驱动威胁检测的能力,帮助企业及时发现情报威胁源缺漏,降低潜在风险。

方案特点

跟踪威胁变化

即时更新情报(小时级),评估实网安全防御能力,通过对全球网络威胁的跟踪和分析,确保获取到最新的威胁情报,并及时将其赋能到产品中,以帮助用户及时应对网络威胁

时刻验证

任务发放包括即时任务、定时任务以及设定周期性任务,持续性的进行安全验证任务

样本无害化

攻鉴内置了丰富的无害化样本,对业务不侵入、无影响、攻击样本均为自主开发“灭活”样本

情报类型丰富

威胁情报支持HTTP、HTTPS、DNS、TCP等多种协议类型,支持恶意 IP、恶意域名、恶意 URL、远控 C&C、 钓鱼URL、恶意文件 Hash、 SSL 数字证书等多种情报类型

更好的决策

威胁情报能够在事前预防、事中检测、事后溯源场景中均可以有效落地应用,有着极强的可操作性。并且通过对威胁情报的分析评估,能够帮助安全团队更快、更准确地做出安全决策

专业的团队

矢安科技安全研究团队具有深厚的安全技术背景和丰富的威胁分析经验,为企业提供及时、精准、全面的安全情报和威胁信息,帮助企业更好地应对网络威胁,提升网络安全水平

运营流程

威胁情报场景需要在主机上部署客户端并连通攻鉴平台,然后选择模板和对应的客户端即可下发任务。

开箱即用

只需订阅攻鉴(AS BAS)突破与攻击模拟系统,确保与其网络环境畅通

安装客户端

威胁情报基于攻鉴客户端的部署在验证网络业务环境中,通过云端即时威胁情报的引导,模拟多种攻击场景实时评估用户实际网络环境的威胁检测能力

运行模拟

选择模拟攻击的目标客户端,下发任务对目标客户端进行模拟攻击

报告生成

根据实时监控生成模拟攻击的结果报告,并支持导出下载,以便企业查看任务情况,结合报告的结果及建议,组织可以采取必要的行动来修复漏洞和加强网络安全防御能力

实现方案

情报收集

情报收集厂商主要包括商业情报厂商提供的专门数据流、开源情报平台公开信息进行整合的情报资源以及自建情报源通过人工收集和分析的情报数据流

运行监测

攻鉴威胁情报场景通过内部方式(需要安装和部署客户端)持续性向恶意站点、链接或文件进行访问。客户端在拉取到C&C和钓鱼网站后,在本地网络模拟HTTP请求,计算模糊HASH,结果上传给平台

结果对比

平台比对和自身访问结果,在相似度达到一定范围内,认同为访问一致,即客户端所在的环境拦截失败

总结

威胁情报可以帮助企业安全人员了解其所在行业的威胁环境,帮助其了解企业自身正在遭受或未来面对的威胁,并为高层决策提供建议。
网络威胁情报是当今高度互联的世界的基础,了解网络对手的行为可以使组织具备阻止攻击、保护有价值的信息和维护安全的数字环境所需的知识。它具有优秀的预警能力、快速响应能力,并且能改善管理层之间的沟通、加强策略规划和投资。
我国在威胁情报应用方面已经取得一定的进展,但仍存在一些挑战和问题。要达到预期标准,需要加强技术研发和人才培养并进一步提高威胁情报的收集、分析和利用能力。

攻鉴(AS BAS)突破与攻击模拟系统

矢安科技作为Gartner《2023中国安全技术成熟度曲线》BAS代表厂商,产品攻鉴依托于攻防研究团队多年的实战经验和技战法沉淀,以自动化、无害化的方式持续开展攻击模拟,验证企业安全有效性。产品覆盖完整杀伤链的安全验证场景,包括钓鱼邮件、邮件安全、威胁情报、Web安全、流量安全、终端安全、数据防泄漏、容器安全等。产品形态为SaaS和私有化部署,为用户提供灵活的产品订阅服务,用户可以按需、按服务周期订阅安全场景。攻鉴不引入靶场环境、不直接使用恶意样本进行测试,不会改变执行环境,以高度自动化、高安全性、无害化的方式持续进行攻击模拟和安全验证。
搜索下方链接或点击底部阅读原文可以了解更多呦~
https://www.asants.com/request.html
往期推荐


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com