国庆假期来临、重要会议举办……今年的金秋十月格外欢腾。在举国欢庆之际,网络不法分子也开启了“狂欢”。
由于社会影响、监管要求等因素,组织单位对重要时期安全事件的容忍度更低,借机牟利的网络攻击者往往会利用智能化自动攻击工具发起更加疯狂的不间歇攻击。
对于组织单位来说,安全部门的“007”值守已经成为了重保标配。尽管如此,网络安全攻击引起的事故仍然频频发生。究其原因,组织单位在风险管控的流程、能力上仍存在差距:
值守人员有限,安全告警数量过多,无法及时分析出有效攻击。
面对突然披露的0Day漏洞,不知道该如何快速排查、遏制影响面。
攻击一旦突破边界,不能立即实行有效措施阻止内网横向扩散。
………
如今,仅仅依靠组织单位自身的“007”值守已经不足以应对新型攻击。深信服云地协同的重要时期网络安全保障方案采用“技防+人防”实行线上、线下协同合作的风险全流程管控,让您不必“007”,也能7*24H安全无忧!
备战重保:查漏补缺工作必不可少!
近两年受新冠肺炎疫情的影响,政府、教育、医疗等与民生密切相关的行业不断加速数字化进程,在“业务先行”的模式下,信息资产频繁变动、安全管理缺失、系统漏洞多、安全策略无暇更新……攻击暴露面不断增大。
然而,网络攻击者的首要动作就是收集组织单位的安全暴露面,如资产信息、开放端口、被泄露的敏感信息等,再以此突破边界,攻入内网。因此, 重保前的深度查漏补缺,是组织单位必不可少的准备工作。
脱缰资产管理
通过安全感知管理平台SIP和下一代防火墙AF的ACL策略,实时检测资产动态,分析资产离线、高危端口开放、无流量访问端口、无流量访问源等异常状态。
云端安全专家将会针对无防护、无流量、未知、离线、加密流量等脱缰资产与组织单位逐个确认,提前协助组织单位解决脱缰问题,将暂时无法处置的资产纳入全天候监测范围,防止遗漏资产在重要保障期间被攻击者利用。
脆弱性排查加固
基于多年的实战攻防与运营积累,深信服以暴露面、漏洞、弱口令为维度,创新研发了资产风险预防库和70+类安全策略。
在重保开始前,云端安全专家将会调用风险预防库对组织系统进行脆弱性排查,并针对性地进行重保时期的安全策略检查和加固。在确保策略准确性基础上,对策略应用范围、版本支持情况、交叉配置信息等内容进行检查,确保所有的安全策略“应用即有效”。
深度威胁狩猎
除了对内部脆弱性进行安全加固外,威胁也是网络安全中难以被发现的风险之一。基于组织单位的业务视角,深信服云端专家结合XDR平台开展深度威胁狩猎,以“人+AI+机器学习”多维检测形成合力,深度挖掘、处置潜伏的未知威胁攻击。
决战重保:不必“007”,也能7*24H安全无忧!
在查漏补缺后,真正的攻防战场也随之拉开序幕。
在重保期间,深夜、凌晨等值守困倦期也是网络攻击者频繁发起多轮攻击的时机。组织单位不仅仅要做到全天候高集中的安全值守,还要对突发安全事件进行高质量的应急处置,以最快速度遏制扩散风险、降低损失。
问题1:怎么做到全天水平一致的实时对抗值守?
从往年的重保经验来看,如果组织单位仅仅依靠本地驻场人员值守,受限于人员精力和能力,难免会有疏漏和困倦之时。而引入云端的安全托管服务MSS,以云地协同的机制可以帮助组织单位很好地弥补纯本地值守的不足。
MSS采用“人机共智”的创新模式,综合运用资深攻防专家经验和丰富的威胁情报库,驱动运营平台对安全日志、流量进行自动化关联分析,并由200+持续在线的云端安全专家实时进行更精细的人工分析、研判、定位,通过微信群、电话等方式及时同步精确的分析结果,协同线下人员共同开展闭环处置工作。
考虑到重保“要求高、任务重”,云端专家还会在不间断值守的基础上每两小时进行一次全网日志的深度分析和通报。同时,云端专家每日会汇总整理当日内外部威胁、攻击及响应处置情况,真正帮助组织单位摆脱“007”的内耗,省心高效地做好重保期间的网络安全保障工作。
问题2:面对突发安全事件,怎么快速遏制、处置?
在重保场景下,大部分用户缺乏规范的应急机制和相应流程,凭借自身的安全能力往往难以有效应对快速发生、扩散的攻击事件。据统计,平均响应时间超过48小时。
总结多次重保和大型攻防演练的防守经验,深信服基于云地协同的7*24小时监测,针对重保时期打造一套可落地、可闭环、可量化的响应处置流程:
实时风险研判+情报收集,准确率99%
通过每年万亿级日志分析,深信服沉淀下了2000+安全用例(Usecase),自动化实现96%设备无效告警过滤,还支持个性化定制开发,帮助用户基于业务视角实现更精准的检测。云端安全专家联动安全设备(如下一代防火墙AF、终端安全管理平台EDR等)进一步核实,确保上报告警准确率高达99%。
不仅如此,基于覆盖国内外的安全设备和安全云脑大数据分析平台,深信服构建了完整的内外部威胁情报一体化生产、应用和监控运营系统,不仅能快速收集重要保障期间爆发、新出现的流行安全威胁,还能分析溯源威胁攻击链,以覆盖“事前、事中、事后”的一体化威胁情报先一步预警组织单位。
15分钟内快速响应
在发生安全漏洞/威胁/事件后,云端专家将会通过微信、短信、邮件、电话等多种途径通知用户,并针对初步判断和下一步建议进行说明。
针对“简单风险”和“一般风险”,运营中心积累的大型事件调查和处置库可根据风险信息传递指令,自动化/半自动化响应处置,快速遏制安全风险;针对“重大风险”,云端专家会先进行恶意流量和外联行为阻断,控制影响面并向用户汇报风险信息和遏制方案,在授权下通过安全设备进行响应遏制操作以及下一步深度溯源分析。
1小时遏制
在快速响应后,云端专家、本地值守人员将会协同开展深度溯源和风险清除工作。通过历史攻击回溯和攻击面分析、关联相关攻击告警和行为,从攻击者视角审视业务资产的攻击面,精准定位到此次事件的根因入口,协助用户进行攻击暴露面管理。
同时,云端专家、本地值守人员也会对此次攻击进行可视化的过程还原,捕获每个攻击轨迹,对涉及的设备及时做好处置与防范管理。
100%跟踪闭环
云端专家每日跟进、协助用户完成所有遗留安全风险的修复加固。
凭借着多年来在国家级、省级攻防演练中沉淀下来的实战经验,及针对攻防对抗技术的深入研究,深信服已经具备了强大的攻防实战能力和丰富的重大活动网络安全保障经验,先后完成了建党100周年庆典活动、第十四届全运会、新中国成立七十周年庆典、多届全国两会、杭州G20峰会、厦门金砖会晤等多个国家级网络安全保障任务。
未来,深信服也将不忘初心,牢记使命,继续为维护网络环境、守卫国家安全持续奉献智慧与力量!
评论