向安全攻擊說NO,請翻開體系化防禦的三頁“教科書”
2020年,大大小小的實戰攻防演練活動接踵而至,讓許多企業有了從攻擊者視角重新審視自身網路安全防禦體系的機會。如何提高自身的體系化防禦能力依然是未能全面解決的當務之急。日前綠盟科技釋出了《2020年度安全事件響應觀察報告》,其中的資料梳理與核心觀點或可為眾多面對這一難題的企業提供攻守方略。
觀點一:攻擊方更有針對性,精準溯源是關鍵
2020年,綠盟科技處理攻防演練相關的應急響應事件,相比2019年同比增長300%。其中,處理入侵事件成功率高達36%。如今,攻防演練中攻擊隊伍的手段越來越多樣化,如利用各種技術隱匿身份、躲避安全裝置偵查等。事實上,專業的攻擊隊已經成為特定行業的滲透專家,他們對特定行業的網路架構、資產關係、運維管理、網路通路已經非常熟悉。不管被攻擊方的資產有多龐大、網路結構多複雜,他們一旦進入企業內網,便能輕鬆定位到重要資產和關鍵裝置,利用儲備的反序列化、遠端命令執行等0day/NDay漏洞,可在短短几個小時內將目標拿下。
例如,綠盟科技演練防護中臺團隊在一次防守溯源中還原攻擊路徑後發現,某攻擊隊透過迂迴路線,從地方專網經過四次網路跨越,在短短的十幾個小時內打入目標單位並獲取大量系統許可權,期間,攻擊隊多次利用0day/NDay漏洞進行網路突破。因此,當下的網路攻擊已不再是單一的漏洞利用,而是採取了有計劃性、針對性的打法。
面對這一情況,防守方亟需擺脫被動挨打的局面,可使用威脅情報、安全防護產品、蜜罐部署等方式對攻擊者進行精準溯源,甚至進行反制。
觀點二:釣魚攻擊偽裝方式新奇,企業員工成為突破口
2020年,綠盟科技處理的安全事件中釣魚相關攻擊佔全部安全事件的33%。在釣魚攻擊中,攻擊者透過釣魚郵件附件進行投放木馬的事件佔全部釣魚事件的75%。
另外,攻防對抗中的釣魚攻擊已呈現出劇本精準、籌備充分等特點,攻擊者結合Cobalt Strike、冰蠍等成熟工具,可使用域前置技術實現更好地攻擊隱匿。
除傳統的郵件釣魚之外,一些令人耳目一新的攻擊方式也漸漸出現。攻擊隊員偽裝成面試者,利用通訊軟體向HR傳送偽裝成簡歷的病毒程式,實現釣魚與社工相結合。面對這類新奇的攻擊方式,經驗不足的員工往往會“繳械投降”,企業內部人員的安全意識也面臨著新的考驗。
回顧歷年來的攻防演練,其體現的攻防對抗性逐漸加強,攻防演練不再是單純的漏洞利用,隨著時間發展,攻擊隊自動化武器、自研工具逐漸普及並且專業化,0day漏洞、APT級別的社會工程學也多被使用,鏈式打擊源源不斷。面對各種攻擊手段的狂轟濫炸,很難有企業能夠保證自身體系沒有任何的瑕疵。安全事件發生後,及時採取有效措施,將損失降到最小十分必要,如開展系統恢復備份、病毒與後門清除、病毒樣本分析、調查追蹤、取證溯源等操作。
觀點三:關鍵基礎設施是攻擊重點,要提升常態化防禦能力
2020年所記錄的安全事件當中,政府、交通、衛生、教育、能源、運營商、金融這些涉及國家重要資訊與民生的設施依然是駭客熱衷的攻擊物件,所佔比例高達80%。隨著國家對網路空間安全愈發重視,網路安全常態化防禦的理念逐漸深入人心,政府和相關企業等在網路安全保障方面的投入不斷增加,安全事件中的發現能力有所提升。透過對2020年安全事件的入侵成功時間和事件發現時間進行統計發現(此統計中排除勒索軟體類事件),入侵事件平均潛伏時間為116天,相較去年359天縮短了2/3。
據《2020年度安全事件響應觀察報告》顯示,透過日常運維、滲透演練和員工上報,去年66.76%的安全事件被主動發現。在攻守時間線上,攻擊者處於先手位置,攻擊者發起了攻擊,防守方才有可能發現異常,且防守反擊存在一定的滯後性。因此,企業等需要建立常態化的防禦管控體系。例如,透過日常運維發現入侵痕跡,開展專項培訓提高員工的網路安全意識,進行內外部安全演練查漏補缺,從而全方位構建企業的事件發現機制,提高主動防禦能力和事件響應速度。
為全面提高體系化的安全能力建設,網路運營者應依據《網路安全等級保護基本要求》、《網路安全等級保護安全設計技術要求》等國家標準,梳理分析是否全面覆蓋了網路安全等級保護的基線要求,並結合等級測評過程中發現的安全隱患,按照“一箇中心,三重防護”這一核心要義,即圍繞安全管理中心,從安全通訊網路、安全區域邊界、安全計算環境,構建面向風險的縱深防禦體系。
在常態化的安全運營方面,特別是重點行業的關鍵單位,應積極配合行業主管單位以及公安機關的安全監測、通報預警等工作,落實7x24小時值班值守的常態化措施,同時從安全意識、資產和脆弱性管理、威脅情報、實戰對抗、全流量分析、未知威脅發現、自動化處置等方面著手,完善安全運營的能力框架。
近年來,綠盟科技作為等級保護安全建設服務機構,始終踐行網路安全等級保護制度,將多年積累的安全能力和等級保護標準體系相結合,並充分考慮行業特性,推出了囊括通用安全、雲端計算安全、工控安全等場景的“綠盟科技等級保護2.0系列解決方案”。此外,針對中小企業通用場景下的等級保護建設,綠盟科技還發布了 “等保一體機”,作為等保2.0系列解決方案重要補充,以防禦、監測、響應、評估為核心能力,助力客戶高效地完成等保合規建設。
相關文章
- 10大網路安全攻擊手段及防禦方法(二)!
- 5個常見的網路安全攻擊手段及防禦方法
- 建立ddos防禦體系的方法
- DDos防禦體系的構建
- CSRF攻擊與防禦
- CSRF 攻擊與防禦
- WEB攻擊與防禦Web
- 高防伺服器主要防禦的攻擊伺服器
- DDOS伺服器防禦的方法有哪些,如何防禦DDOS攻擊伺服器
- WMI 的攻擊,防禦與取證分析技術之防禦篇
- 向高段位請教
- CSS keylogger:攻擊與防禦CSS
- 漫說安全|智慧的雲WAF,開掛的Web防禦Web
- DDoS攻擊、CC攻擊的攻擊方式和防禦方法
- 抵禦勒索攻擊,戴爾科技構築三位一體的終極防線
- cc攻擊防禦解決方法
- 網站被攻擊如何防禦網站
- 淺談DDos攻擊與防禦
- DDoS攻擊的手段有哪些?如何防禦?
- Akamai淺談網路攻擊的防禦AI
- 【虹科分享】一種動態防禦策略——移動目標防禦(MTD)
- 如何有效防禦DDoS攻擊和CC攻擊?
- 如何向大牛請教問題?
- CC攻擊的原理是什麼?如何防禦CC攻擊?
- DDoS攻擊的危害是什麼?如何防禦DDoS攻擊?
- 高防伺服器如何防禦網路攻擊伺服器
- Jenkins如何使用CrumbIssuer防禦CSRF攻擊Jenkins
- 伺服器如何防禦CC攻擊伺服器
- 跨域攻擊分析和防禦(中)跨域
- DevOps 團隊如何防禦 API 攻擊devAPI
- DDOS攻擊原理,種類及其防禦
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- 什麼是CSRF攻擊?如何防禦CSRF攻擊?
- 什麼是SSRF攻擊?如何防禦SSRF攻擊?
- 應對CC攻擊的自動防禦系統——原理與實現
- 1+2+3體系化防禦能力|綠盟科技定向勒索攻擊防護解決方案讓你不再"談虎色變"
- 【知識科普】高防伺服器防禦CC攻擊的原理伺服器
- 全面助力勒索軟體病毒防禦 銳捷有話要說