伴随數字化轉型的(de)全面深入,網絡安全戰場被無限延伸,網絡攻擊手段從過去(qù)的(de)“直接随機、簡單粗暴”轉變為(wèi)“目标精确、持久隐藏”,災難性會更加嚴重與頻繁。如(rú)果還僅僅依賴傳統本地(dì)特征庫的(de)靜态檢測方式,來抵禦新型網絡攻擊,往往将面臨防禦失效的(de)困境。
因此,實戰攻防演習成為(wèi)推進網絡安全建設的(de)必要需求。近日,360政企安全集團就通過真實還原一(yī)場為(wèi)期3天的(de)實戰攻防演習,為(wèi)國家、政府、行業和(hé)企業能夠構建起“能打實戰”的(de)安全能力體系提供參考借鑒!
在360政企安全實戰演習的(de)第1天中,攻擊方便企圖通過發起大規模的(de)釣魚郵件攻擊,以尋求深入防守邊界的(de)跳闆。然而,防守方經過快速的(de)溯源分析和(hé)樣本分類,并基于360終端安全管理(lǐ)系統的(de)主動威脅發現和(hé)攔截能力,高(gāo)效完成整個應急響應的(de)閉環,最終成功守住終端安全防線。
在此過程之中,360終端安全管理(lǐ)系統發揮出的(de)響應能力不可(kě)或缺,真正助力傳統終端安全管理(lǐ)從“合規驅動”走向“能力驅動”,能夠在浩如(rú)煙海的(de)網絡空間中發現到網絡威脅的(de)蛛絲馬迹,并有效增強終端面對各類威脅的(de)檢測對抗能力。
如(rú)今,我國攻防實戰演練開幕在即,360政企安全集團特别打造了一(yī)份關于360終端安全管理(lǐ)系統的(de)實用“秘籍”,幫助各企業高(gāo)效“備戰”。開放式的(de)網絡環境下,各類終端、設備和(hé)業務系統與互聯網直接關聯,惡意程序和(hé)腳本可(kě)輕松通過釣魚網站、發送釣魚郵件、網頁挂馬等多種主動或被動的(de)手段突破內(nèi)網。1.惡意代碼檢測:建立雲查殺引擎、鲲鵬引擎、QVM Ⅱ人工智能引擎以及 QEX 腳本引擎構造的(de)立體協同檢測機制,持續有效對抗木馬蠕蟲、惡意軟件、勒索病毒、APT 攻擊等各類威脅。
2.入口防護:圍繞終端與外部的(de)信息交互接口進行定向監測與防護,并通過對惡意鏈接進行信譽庫比對,對文件下載及傳輸安全性進行監測。3.浏覽器及上網防護:動态分析結合靜态匹配技術方案,以最低(dī)的(de)資源消耗,實現對惡意鏈接的(de)精确檢測。4.系統防護:建立包含攝像頭防護,鍵盤記錄防護,文件系統防護,驅動防護,注冊表防護等從驅動到系統的(de)縱深防護機制。出于安全保密需要,特定的(de)政企單位或者機要部門需要在隔離(lí)網環境辦公,切斷跟外部互聯網的(de)聯系。但如(rú)果存在非法連接外網或指定網絡的(de)行為(wèi),安全風險将油然而生。1.違規外聯管控:通過外聯探測功能,以域名解析、PING 地(dì)址探測、TCP 鏈接檢測、IP/MAC綁定等方式,及時發現終端非法外聯、非法出口聯網行為(wèi),封堵基于IP或MAC方式的(de)網絡繞過行為(wèi),并可(kě)對違規終端執行斷網處置。
2.網絡控制:提供基于IP、端口和(hé)域名三個維度通訊阻斷能力,在攻擊預防階段,降低(dī)風險暴露面。當遇到緊急病毒事件時,能夠有效抑制感染範圍。3.桌面加固:通過對終端賬号密碼強度、屏保和(hé)桌面壁紙的(de)策略控制,實現用戶桌面的(de)統一(yī)管理(lǐ),實現安全水平的(de)顯著提升。對于使用Windows7系統的(de)政企用戶而言,系統的(de)停服帶來了相當大的(de)安全困擾。1.系統加固:通過內(nèi)存保護檢查、堆噴射防護、零地(dì)址防護、棧置換、內(nèi)核攻擊防護以及系統調用過濾等多種方式,在操作系統層面進行安全加固。2.應用加固:應用程序漏洞往往集中在Office、IE 浏覽器和(hé) PDF 閱讀器等常用辦公工具上,以沙箱方式啓動這些高(gāo)頻應用,可(kě)有效避免宿主終端的(de)威脅影響。3.熱補丁修複:針對高(gāo)危漏洞,提供熱補丁修複能力。盡量縮減漏洞暴露時間,基于免重啓的(de)方式實現終端便捷防護。客戶端安裝成功後,終端需要上報自(zì)身的(de)資産信息,包括資産類型、資産用途、歸屬部門、使用人、電話、郵箱等,這些往往是攻擊方的(de)主要靶标。1.硬件資産管理(lǐ):支持計算機名稱、硬件配置、cpu/內(nèi)存、硬盤等配置變動告警。2.資産登記:新增資産登記類别,設置資産類型、資産用途、歸屬部門、使用人、電話、郵箱等信息要求終端登記,并通過資産IP等信息自(zì)動分組。系統的(de)缺陷或漏洞随時都可(kě)能造成不可(kě)挽回的(de)業務崩潰,因此,未修複漏洞依然是很多政企機構的(de)主要安全問題。1.補丁管理(lǐ)架構:通過漏洞檢測模塊檢查終端系統、應用是否存在漏洞,将漏洞信息第一(yī)時間彙總展示給管理(lǐ)員後,管理(lǐ)員統一(yī)下發漏洞修複策略,對終端進行漏洞修複。2.漏洞修複:全面支持對操作系統漏洞、Office高(gāo)危漏洞、第三方軟件漏洞的(de)修複。360終端安全管理(lǐ)系統提供互聯網環境典型部署和(hé)隔離(lí)網環境典型部署兩種部署方式,同時支持結合使用。360終端安全管理(lǐ)系統終端在網絡內(nèi)部部署管理(lǐ)控制平台和(hé)終端,将通過管理(lǐ)控制平台連接到360安全大腦升級服務器進行升級、更新等。管理(lǐ)控制平台具有緩存功能,同樣的(de)數據文件隻會下載一(yī)次,以減少對出口帶寬的(de)影響。
具體部署過程如(rú)下:
1、安裝360終端安全管理(lǐ)系統管理(lǐ)控制平台;360終端安全管理(lǐ)系統管理(lǐ)控制平台負責制定安全策略,進行終端殺毒和(hé)修複漏洞等安全操作。使用隔離(lí)網更新工具,定期從360安全大腦下載病毒庫、木馬庫、漏洞補丁文件,對管理(lǐ)控制平台進行更新。
1、安裝360終端安全管理(lǐ)系統管理(lǐ)控制平台;4、定時登錄管理(lǐ)控制平台,查看各終端安全情況;5、下發統一(yī)殺毒、修複漏洞等策略,确保終端安全;6、定期使用隔離(lí)網更新工具下載數據,并更新到管理(lǐ)控制平台。
