首页 · 会议 · 正文

重保季 | NDR+安全湖防守三部曲,开启2024常态化实战攻防演练新篇章

随着国际、国内网络安全局面的复杂化、企业数字化程度的加深以及数字世界不同主体之间的联动加深,网络安全不再是某一家企业、某一个部门的责任,而逐渐成为兼具企业经济责任和社会责任的“广义”安全命题。因此,组织、参与实战演练就成为政府、企业及社会各界非常重视,也是我们安全建设者们一年一度的重要工作。实战演练也是对安全厂商的一次“大考”,通过真刀真枪的对抗,来检验安全产品的性能、安全体系的稳定程度、安全人才的实力。

在历年对抗中,蓝方(防守方)的经验越来越丰富,工具越来越强大,直接导致红方(攻击方)的手段花样翻新,且越来越真实。针对今年攻防演练行动的特殊变化,也需要相应的能力升级。

例如,时间长度的拉长和参与主体的增多,一方面会导致原有安全防御策略的失效,另一方面也会更大程度暴露攻击面,尤其是一些新纳入攻防演练的主体,可能会陷入“被攻破后原地躺平”的风险。

俗话说,“工欲善其事,必先利其器”,这里我们就针对2024年的一些新任务、新变化和新挑战,通过连载的方式,为大家推荐 “专季专用”的神器,在重点演练场景中的应用攻略。

— — NDR&安全湖 — —

由于攻防演练常态化,攻方最常用的手段就是侦查、渗透、提权、长期驻留,防守方对应的策略也可以利用这些攻击溯源反渗透和反侦察、因此,是否能够完整、全面、客观、敏捷的对攻防期间的数据和流量进行分析,就成了致胜的“胜负手”。

根据数世咨询发布的《NDR能力指南》,NDR&威胁情报可以在攻防演练场景的如下维度发挥重要作用:

●提供全流量会话PCAP文件形式的存储,还原攻击事件和异常行为,供用户随时调取;

●以时间为主线,分析黑客行为。要能清晰完整呈现攻击IP的攻击次数、攻击手法、攻击工具,为溯源提供数据支撑;

●接到监管单位、上级单位的预警通知,以及安全告警事件后,溯源分析关键时间点的数据包上下文,还原当时的攻击场景,为分析研判提供支撑;

●威胁情报关联分析,即对流量数据与内部威胁情报进行联动分析。通过匹配黑IP、黑域名的外部威胁情报库,记录告警资产与黑客的会话连接数据,同时,记录黑客在资产区的全部活动轨迹。

腾讯云NDR产品(由NDR御界高级威胁检测系统和NDR天幕安全治理平台组成)基于云端协同的全流量检测,覆盖勒索病毒、邮件安全、密码安全等八大安全场景,开箱即用,通过安全专题将威胁聚焦,结合可视化分析帮助客户针对性解决风险问题;在检测能力方面,AI算法+威胁情报+哈勃沙箱+规则引擎四大领先利器,强力对抗攻击绕过和0day漏洞;在响应速度上,腾讯云NDR具备全面的互联网漏洞检测机制及国内领先的威胁情报库,能实现实时联动,快速响应最新漏洞和事件;在阻断效果上,腾讯云NDR采用非侵入式旁路阻断攻击行为,闭环处置事件,阻断成功率高达99.99%。

image.png

由于参与攻防演练的政府部门和企业,大多属于“关基”范畴,相关的安全数据规模巨大、管理、查询、追溯的成本都非常高(既包括财务成本,也包括技术和人员成本)。

基于腾讯云安全湖产品,实现低成本、高性能、全栈国产化,为所有泛安全数据提供一体化的数据接入、架构、存储、分析、检索、报表和可视化能力,降低90%存储成本,PB级数据分析秒级响应。基于威胁情报的能力,提供全流量数据存储与分析溯源方案,能发现180天以上的长周期历史数据中的未知威胁,并提供情报回溯、威胁狩猎等能力,帮助企业快速应对APT、0day漏洞等高危事件,回扫历史数据,发现潜在威胁,御敌千里之外。

image.png

— — HVV高发场景及对策 — —

场景1:全流量数据存储与深度分析回溯

「行业发生大规模入侵,希望基于数据回溯快速了解公司安全状况,是否有关键业务置于高风险中;需要实时回溯全流量、长周期数据,从而全面了解攻击方的目标、手段以便制定对策。」

腾讯云NDR+安全湖:基于全流量的长周期威胁情报&APT检测;回溯情报和漏洞排查是否存在历史入侵和侵入;威胁狩猎,主动发现APT攻击和最新的漏洞攻击;仪表板可视化分析,了解安全态势、流量态势、攻击源IP和IP画像以及整改情况;支持180天以上的全流量分析、调查取证、回溯和可视化。

场景2:APT攻击识别与威胁回溯

「合规要求快速排查潜伏的APT,了解影响面以便提前应对监管。动态回溯半年乃至一年的数据情况,根据黑客行为判定企业业务单元和数据资产面临的威胁。」

腾讯云NDR+安全湖:构建狩猎/情报回溯任务,收集回扫历史数据并可视化分析、调查取证。基于威胁情报IOC、ATT&CK TTP,实现APT高级威胁狩猎;在攻防对抗场景识别对抗前就已经潜伏的、未发现的威胁。

场景3:0day漏洞及时响应与风险排查

「由于某新漏洞大规模爆发,不少企业系统瘫痪,企业希望能够快速排查0day漏洞及潜在风险。」

腾讯云NDR+安全湖:实现针对历史数据的快速完整回溯分析以及新增数据的实时检测;持续狩猎,基于数据和征兆进行安全分析主动防御,避免0day攻击防御天然滞后性带来的巨大安全风险;在0day漏洞入侵的整个时间线上,实现漏洞信息的获取、漏洞修复和漏洞潜在威胁的复查。

场景4:对现有SOC架构进行升级优化

「客户现有SOC平台节点多、性能低、效率慢,安全场景扩展能力差,无法实现长期数据的回溯。」

腾讯云NDR+安全湖:支持对现有SOC升级优化,对原有未加工的原始数据进行结构化,生成日志&告警,进入SOC平台实现告警处置与响应闭环,实现自主构建检测能力、更深度的调查/威胁狩猎,为SOC平台赋予更高的效率和扩展性,实现持续运营和处置闭环能力。