北京国舜科技股份有限公司

Beijing Guoshun Technology Co., Ltd.

北京市海淀区高梁桥斜街42号融汇国际大厦东区三层

安全产品

开发安全

SOAR

业务安全

网页防篡改

安全服务

安全培训

安全咨询

攻防演练

安全评估

解决方案

开发安全

实战攻防演练

城市安全运营

银行行业

关于我们

企业介绍

荣誉认可

加入我们

联系我们

联系我们

热线:400-696-8096

电话:010-82838085

邮编:100044

邮箱:contact@unisguard.com

关注我们

Copyright ?

unisguard.com All Rights Reserved.

北京国舜科技股份有限公司

版权所有

京ICP备09050222号

京公网安备110108000272号

实战攻防演练解决方案

基于丰富的安全服务经验,结合自有安全产品,国舜可以为客户提供一揽子实战攻防演练解决方案。不同行业、不同客户其网络安全和信息化建设的具体情况各有不同,国舜能够针对性提供轻量级、增强级和重量级三种不同复杂度的解决方案,供客户灵活选择。

立即咨询

演练挑战

实战攻防演练自2016年首次组织实施以来,涉及的单位逐年增加,攻守双方的战术不断升级,红队攻击难度和蓝队防守难度都在持续加大。

1、攻方手段更加高级

道高一尺魔高一丈,在网络安全建设不断完善的前提下,红队的攻击方式也在持续升级。这种情况下,仅靠FW+IPS+AV等传统的网络安全设备就很难发现攻击,必须要有更高级的检测和防御设备才能有效对抗。

2、得分规则愈发严格

扣分容易得分难,蓝队必须满足及时发现、及时处置以及还原攻击链才能少扣一点分,加分方式只有在实战攻防演练期间发现真实的黑客攻击。

3、处置时效要求更高

蓝队在发现被攻击后要及时处置才有可能不被扣分,非正常防守措施被发现后也会被扣分。因此,防守方发现威胁要准,处置威胁要快。

解决方案

基于丰富的安全服务经验,结合自有安全产品,国舜可以为客户提供一揽子实战攻防演练解决方案。不同行业、不同客户其网络安全和信息化建设的具体情况各有不同,国舜能够针对性提供轻量级、增强级不同复杂度的实战攻防演练解决方案,供客户灵活选择: 1)轻量级实战攻防演练方案:以APT产品为主,实时监控internet出入口流量及核心交换机镜像流量,利用APT设备的多种威胁检测能力和可视化工作界面,及时检测红队攻击,精准溯源取证。 2)增强级实战攻防演练方案:APT产品之外,增加安全运营平台,除了能够实时监控网络流量,还可以利用安全运营平台的对接APT产品的安全告警,实现告警事件的自动化取证、自动化分析研判、自动化应急方案制定、自动化溯源分析、自动化联动处置的安全运营能力,大幅提升实战攻防演练的应急响应效率。

轻量级实战攻防演练方案

轻量级实战攻防演练方案只需要一台(或多台,视客户需求与网络结构而定)APT设备,部署方式相对简单,如图所示。通过分光、镜像或经由TAP设备将Internet出入口的流量及内网重点关注流量接入设备,如果客户网络采用的是双路接入或主备链路等复杂组网方式,还应按需接入多条链路。 实战攻防演练前期,需要在APT设备上提前做好相关的准备工作,比如设备版本和特征库更新、资产网段和资产组配置、检测策略和检测规则优化、第三方平台对接、内网设备 ip 添加白名单等。

APT产品提供了“护网工作台”界面,基于该页面可以完成大部分实战攻防演练相关工作,安服人员或运营人员在值守期间可以通过该界面实时关注系统上报的各类攻击事件,并展开详细分析。 实战攻防演练工作台界面提供了三个功能操作区,自上而下分别为:搜索条件、统计信息(可折叠)以及三种视角(事件列表、攻击者模式、受害者模式)下的列表信息,如图所示。

搜索条件中提供了十几种预置检测场景,如隐蔽隧道、挖矿木马、勒索软件、暗网通信、恶意加密流量、钓鱼邮件、暴力破解、扫描探测等,用户还可以自定义多种条件组合搜索,每种都可以保存为一个新的检测场景。 搜索出来的结果展示在列表区,可在统计信息区查看所有命中结果的分类统计(默认为折叠状态,点击可展开)。列表区每一个事件都可以双击展示事件详情,方便进一步研判和分析: 实战攻防演练工作台界面提供了三个功能操作区,自上而下分别为:搜索条件、统计信息(可折叠)以及三种视角(事件列表、攻击者模式、受害者模式)下的列表信息,如图所示。

界面提供了样本下载和pcap下载功能,可以进一步深入研判分析,对于恶意文件样本,还可以查看其详细检测报告:搜索出来的结果展示在列表区,可在统计信息区查看所有命中结果的分类统计(默认为折叠状态,点击可展开)。列表区每一个事件都可以双击展示事件详情,方便进一步研判和分析: 实战攻防演练工作台界面提供了三个功能操作区,自上而下分别为:搜索条件、统计信息(可折叠)以及三种视角(事件列表、攻击者模式、受害者模式)下的列表信息,如图所示。

增强级实战攻防演练方案

增强级护网方案在轻量级护网方案的基础上,新增加了网络安全运营平台,除了能够监控网络流量之外,还可以覆盖用户网络中其他多种网络安全设备的日志和告警信息,并通过网络安全运营平台提供的数据预处理、威胁场景关联分析、SOAR自动化编排技术实现威胁告警的的自动化取证、自动化分析研判、自动化应急方案制定、自动化溯源分析、自动化联动处置等工作,并提供一键封堵、邮件、工单等方式的高效应急处置,为客户的护网工作提供更加完善的保障和响应。 增强级实战攻防演练方案部署方案如图所示。

增强级实战攻防演练方案中APT设备的部署与轻量级护网方案保持一致,网络安全运营平台需要将APT设备产生的安全告警事件接入。在客户许可的情况下,还应尽量接入现网更多网络安全设备或业务系统的告警日志。同时,还应配置打通客户网络环境中的堡垒机或自动化运维系统,以实现自动化取证的目标。 实战攻防演练前期,应对客户当前的网络安全防御体系建设进行调研,了解目前客户部署的安全设备情况,安全事件处置流程等,制定对应的实战攻防演练应急处置方案,完成对APT设备的检查和配置等相关准备工作,初始化安全运营平台的基础配置,结合威胁场景调整、优化、定制对应的数据分析策略、应急处置剧本。同时,针对实战攻防演练应急预案进行提前演练,持续优化。 实战攻防演练期间,安服人员可重点关注安全运营平台提供的运营分析->安全告警页面,如图所示:

每个安全告警都可以通过右侧的操作按钮来查看其告警详情,详情界面单独呈现,包括研判结果信息、告警内容信息、安全运营标准、告警处理方案、研判线索信息和告警溯源信息等。

在研判线索中,可以查看和检索通过SOAR剧本获取的系统信息、进程信息、网络信息等各种详细信息:

重量级实战攻防演练方案在运行实施过程中,以运营平台为主,同时兼顾APT设备。运营平台能够提供详细的主机设备或业务系统相关的溯源取证信息,而攻击pcap报文和恶意文件样本等数据则需要去APT设备上获取和查看。

方案特色

轻量级护网方案

1)部署方便,对现网业务系统和配置策略影响很少。 2)具备较强的攻击检测能力,能查看攻击报文、载荷信息和恶意文件样本。 3)提供专门的实战攻防演练工作台,能够有效提升实战攻防演练过程中的威胁分析和溯源取证效率。

增强级护网方案

1)同时监控现网流量和各类主机或业务系统上报的告警日志,覆盖面更广。 2)安全运营平台具备SOAR能力,能够自动化完成安全告警事件的取证、研判、应急方案制定、溯源分析、联动处置等功能,MTTD从小时/天级别提升为秒/分钟级别,MTTR从小时级别提升到秒级。 3)可以有效联动多种安全处置设备,及时封堵恶意IP或域名。

客户价值

1、持续监控攻击,时刻把握安全态势 持续监控关键节点的网络流量,基于设备提供的实战攻防演练工作台,可以实时发现红队攻击,帮助蓝队安服人员或客户安全运营人员时刻把握网络安全态势。 2、多元检测高级威胁,助力修补安全隐患 利用沙箱技术和人工智能技术等全面检测各种高级威胁,可以及时发现蓝队网络中各类信息系统存在的网络安全隐患,及时提醒客户用户修补安全漏洞或加固业务系统,减少内网安全隐患。 3、深入洞察安全事件,高效追溯攻击来源 APT设备和安全运营系统都提供了各类可视化分析面板,能够协助安服人员或运营人员深入分析各种红队攻击事件,形成详尽的分析报告。同时,利用系统留存的元数据和调查取证线索等价值信息,高效追溯攻击来源,形成对红队的快速反制。

四海彩色统一图库四海,香港水果奶奶开奖结果,www.kj000772.com <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>