2021年3月11日,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》正式发布,其中“加快数字化发展,建设数字中国”章节中里明确提出 “加强网络安全保护,加强网络安全基础设施建设,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”等内容,再次凸显出国家对网络安全的重视程度,必将加速网络安全基础设施的建设进程。在政策大趋势下,各行业的网络安全基础设施建设已经不再局限于安全产品的简单堆叠,而更加关注如何通过安全运营提升整体安全防护能力。
在安全运营中需要在安全事件发生后对其进行细粒度的追踪溯源分析,以此来应对四大安全灵魂拷问:谁攻进来过?干了什么?使用哪条路径?失陷的核心原因是什么?为解决这些问题,天融信安全运营方案从失陷分析、威胁画像、检索分析、资产画像、外联分析、横向移动等多维度提供追踪溯源分析能力,为客户构建一套从攻击者、攻击过程到被攻击者的高效分析取证平台。
拷问1:谁攻进来过?
q:一旦发生攻击行为,确定攻击者一般是定损止损快速恢复业务之后的第二反应。可是在网络攻击行为中“人海茫茫”,找到人或者组织谈何容易。
a:天融信安全运营方案利用失陷分析确定出失陷资产及失陷资产外联的互联网对象后,通过威胁画像可将各资产、日志、流量、情报等数据进行有效整合分析,从攻击链、攻击端口、攻击资产、攻击内联行为、威胁情报标记、黑白名单标记等不同维度进行攻击源安全摸底,展示攻击者行为轮廓,快速甄别出对企业及组织网络有威胁的攻击源及攻击源危险程度。
拷问2:干了什么?
q:确认攻击事件后,如何利用技术手段摸清攻击者或者是攻击组织的攻击行为,防止损失进一步扩大,是紧接着要考虑的第二个问题。
a:天融信安全运营方案围绕攻击源,检索分析并提供多维条件检索能力,给出攻击源在网络中的行为日志、攻击日志、通联关系、活动类型、关注目标,实现原始日详细信息查看,留存下载攻击行为的原始pcap文件,预览攻击者进入到网络中做过哪些“坏事”。
拷问3:使用哪条路径?
q:圈定“人”和“地”,还原攻击者的攻击手法以及攻击思路,才是防患于未然的首要之道。这个过程比分析更难,需要综合利用多种技术手段进行细粒度分析。
a:天融信安全运营方案通过对失陷资产进行资产画像、外联分析、横向移动分析,掌握资产失陷前后的通联关系、攻击行为,完整回溯整个攻击的发生传播路径,辅助客户识别攻击路径及加固路径中存在的薄弱点,避免攻击路径未来被再次利用。
拷问4:失陷的核心原因是什么?
q:复盘,不是事无巨细的罗列,而是需要确认事件发生的核心原因。在网络攻防战中,复盘是上一次安全事件的必要结尾,同时也是下一次安全事件的最好准备。
a:天融信安全运营方案以资产画像了解资产的存在的脆弱性、常用端口、访问ip、部署的业务、活跃时间、活跃主体、以及流量分布和外联行为等,从中找出异常点,进而挖掘出攻击者攻陷资产的核心原因。
目前,天融信安全运营方案已在税务、公安、运营商、海关、金融等多个行业帮助客户开展了事件调查分析研判,加速了安全问题分析过程。未来,天融信将继续秉承开放、创新的研发理念持续深耕追踪溯源技术领域,进一步提升安全运营中效率,促进网络安全防护能力的长效提升。
- 关键词标签:
- 天融信 安全运营方案 追踪溯源分析能力