在以往的重保经历中,你是否曾怀疑过自己,高危端口、服务、IP都关了,防火墙都在公司网络门口“排排坐”了,流量、态势都覆盖了,24H值守也安排上了,就差拔网线了,却总是有漏网之鱼能够溜进来?
上篇(点此查看)提到针对互联网资产的重保服务方案应立足于“事前”、“事中”、“事后”三个维度,本篇主要在“事中”维度阐述全生命周期互联网业务安全治理。
图1
在重保中期,各单位部门需要做的是围绕保障团队、工作流程、攻防博弈等主要内容进行“守城作战”。
重保期间,为了高效、科学对网络安全事件发现、处理,在成立信息安全处理小组,其主要成员包含:公司相关领导、信息安全部、业务运维部、信息中心和安全厂商的技术人员共同组成。
小组由公司分管领导牵头,技术专家辅助,负责领导、组织、协调重保期间安全方面工作。组织架构如下图所示:
图2
详细如下:
组织机构职责
技术保障团队按照预定方案,科学分配人员力量,严密组织环节衔接,做到一般事件第一时间处置上报,重大事件通过手动拦截、专家研判、现场调研、溯源处置、总结上报等方式,有效做到“先切断隔离、再研究判断、后处置完全、终消除影响”的目的。
图3
攻击队重保前进行扫描踩点时,由于大量的敏感数据和暴露端口已经进行清除或加固,绝大多数极易被利用的攻击面无法被攻击队利用,从而大大降低被攻破的几率。因此,可以根据企业现有网络资产,利用威胁情报平台关联企业互联网资产开放的服务端口,并利用市场上外部威胁情报监控平台对企业相关的敏感信息进行识别。发现开放在互联网上且非必要的服务端口、管理后台,及时进行关闭,对无法关闭的端口和管理后台进行秘密加固和重点监控,红队如果利用尚未关闭的端口或管理后台或泄露邮箱进行攻击,企业可以对早已进行重点监控的脆弱点进行监控,及时出发告警,进行封禁和溯源。
利用情报共享交换群组或者第三方威胁情报厂商快速获取重保演练IP,并导入自动化研判验证工具。情报研判工具关联情报上下文信息,去除带有CDN、移动基站、网关等IP,并结合IP关联签名信息,对IP进行真实可信加权计算,进而联动防火墙进行封禁,避免大量误拦或者拦截策略条目过多,导致防火墙过载。针对研判筛选出的IP,在进一步关联情报信息,例如IP是否关联域名、域名是否具备注册信息,并结合外部溯源价值验证接口,综合判定溯源价值,企业根据高价值IP进一步溯源分析。
通过自适应微隔离系统建立精细化访问控制策略,实现内部网络微隔离,“横向渗透”从此无隙可乘。相比在内网堆叠安全设备,自适应微隔离系统部署成本低、对内部网络改造小、具备零信任访问机制,能解决攻击请求绕过防火墙的问题,黑客在进入内网后,往往像只无头苍蝇,到处“碰壁”。此外,通过自适应微隔离系统采集主机工作负载之间的网络流量,提供多维度流量合并功能,能够对业务关系进行梳理分析,辅助策略规则的设计,解决东西向访问流量庞大,业务拓扑复杂,无法看清业务间访问关系问题,协助快速梳理出各节点间端口调用关系,以可视化视图和流量日志清晰展示阻断、放行流量。
图4
建立基础设施:建立一个支持事件响应活动的基础设施,获得处理问题必备的资源和人员,进行相关的安全培训,可以进行应急反映事件处理的预演方案;
洞悉敌情:布局入侵检测设备、全局预警系统,确定网络异常情况;
风险评估:预估事件的范围和影响的严重程度,来决定启动相应的应急响应的方案;确定事件的风险危害,确定事件责任人人选,确定攻击者利用的漏洞的传播范围,通过汇总,确定是否发生了全网的大规模入侵事件;
监测闭环:通过安全设备联动分析以及技术专家协同分析完成事件监测闭环工作。
收集信息:收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;
应急处置:通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位,采取措施将其中断;
恢复措施:确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。
通过提取钓鱼邮件或者终端取证的恶意样本,结合沙箱对样本威胁类型、行为签名、网络行为进行动态分析,并自动提取用于远程控制通信的域名或IP地址。通过上网行为管理等设备的内部主机对外访问日志,发现内网全部与该远控该地址通信的失陷主机。同时,将该远控域名或IP,与其他机构共享情报,实现更大范围的被控主机发现能力。
通过WAF的重定向功能,攻击者触发WAF拦截策略后,将被重定向至拦截页面,拦截页面具备溯源能力,攻击者信息会传递至蜜罐系统后台。虽然WAF虽然有强大的防护功能,但其在统计分析方面与专业的日志分析系统无法比拟,为实现对攻击趋势的统计分析,在重保准备阶段将WAF中告警事件信息发送至日志分析平台,通过日志分析平台强大的统计功能,进行趋势分析判断,并将统计结果中IP攻击频率排名较高的IP直接交由防火墙进行封禁。
我们在制作沙箱时,配合重点系统需要下载指定软件的特性,可以将VPN系统访问所需要下载的软件绑定免杀反制程序,当攻击者误攻击仿真沙箱来下载访问VPN的应用程序并且安装之后,攻击者的主机便能在反制模块中上线,达到反制的目的,并且还能进一步获取攻击者团队中其他成员的更多信息。
通过部署微蜜罐,模拟生产环境达到“以假乱真”,诱敌深入的效果。通过在区域内每台服务器、虚拟机都部署主机防护Agent客户端,在Agent客户端上引入“微蜜罐”诱饵功能,相当于每台主机都成为蜜罐诱饵点,通过端口持续进行监听,一旦Agent客户端发现蜜罐端口被攻击,则实施反馈事件信息并将攻击流量引入蜜罐系统,使其远离真实网络,争取应急响应时间。与此同时,对攻击者进行全程监控,详细记录攻击步骤、攻击工具和攻击手段,作为溯源取证的依据,扭转被动局势。
|
服务期 |
服务编号 |
服务内容 |
服务描述 |
|
决战重保 |
1 |
现场值守服务 |
1.重保期间7*24小时安全监控与值守,针对网站可用性、黑链、暗链、篡改、挂马及其他安全事件进行分析和处置 2.同步外部威胁情况,提前添加IP黑名单和设置安全策略 3.每小时专属群汇报,每日提供日报,每周提供周报 4.远程人工日志分析,每日分析当天web全流量、各类告警、安全设备等日志 |
|
2 |
应急响应服务 |
值守期间,发生入侵等严重安全事故,及时关停站点,降低影响,提供事件初步分析 |
|
|
3 |
安全通告与预警 |
重保期间,发生的重大外部安保事件、高危漏洞威胁,第一时间通报预警,并协助修复 |
|
|
4 |
入侵审计服务 |
专家级入侵取证人员现场入驻,分析入侵路径和手段,攻击溯源 |
|
|
5 |
司法取证服务 |
专业司法取证设备和专家现场取证,分析结果可作为司法鉴定使用 |
|
|
6 |
舆情分析服务 |
重保期间,互联网空间对贵单位谣言、诽谤及恶意中伤等舆情分析 |
在经历过重保前期对互联网资产安全的治理(点此查看完整治理TIPS)后,重保前、中、后的资产安全风险口缩小,安全加固的同时,也确保远程办公的安全。而在重保中期,通过保障团队、工作流程、攻防博弈等构造起来的安全城池也确保了用户单位能安然度过重保时期。度过重保时期是否就意味着重保结束?重保后期还有哪些事很重要?我们下期揭晓~
自2013年成立以来,安全狗连续多年担任CNCERT、CNVD、CNNVD等国家级安全部门的技术支撑单位,曾在十九大、杭州G20、厦门金砖会晤、青岛上合峰会、数字中国建设峰会等多场高级别活动承担网络安保工作,零失误完成任务。
面对即将到来的国庆、二十大重保敏感时期,安全狗可持续为用户单位提供重保支撑服务,通过提供覆盖互联网资产全生命周期安全的服务,以防攻击、防破坏、防泄密、防重大故障为重点,构建多层次多方面的安全防护体系,助您在重要敏感时期零安全事件!
如果您有任何的安全问题或重保服务需求,欢迎致电18750226470,安全狗实战经验丰富的安全专家们将以专业的技术、强大的解决方案、全面的重保服务为您的网络安全重保持续护航。
