在网络红蓝对抗中如何“守城”?
浏览:335 时间:2022-3-18

“后卫”的困惑

“我是网络安全工作者。最近我很烦躁。因为要保卫城市。”

牙齿城市是单位的整个网络系统,管道是网络链接,城门和哨所是安全设备(如防火墙),城内建筑物是业务主机等固定资产,城内人潮是流动的包,城内信息是数据资产。我认为牙齿城现在运营得很好,但敌军在不久的将来一定会发动围攻。

敌军到达之前,如何补充防御工事,减少破城的可能性?敌军伪装潜入城市,什么样的人允许进入城市?敌人埋伏在城市里,要在攻城市内外合租,如何及时发现这些细节作品?如果城堡不守备,又该如何歼灭城市敌军,修复破损的位置呢?敌军窃取我方城市内情时,如何检测敌军的潜入路线和盗窃方式,防止盗窃事件再次发生?牙齿问题都深深地困扰着我。

减轻对“流程安全”牙齿的担心。

在红蓝对抗和HW行动中,后卫经常出现“该怎么办”的感慨。不要担心。“过程安全”的概念可以放心。

什么是流程安全?流程安全体系结构(SIIP,Security is in Process)是一个网络安全管理和操作维护系统框架,其中安全桶概括了自己的技术和经验,强调网络安全不是结果,而是流程,安全只是阶段性的,威胁是持续的。本质上,网络攻击是持续的过程,网络保护是持续的过程,那么网络安全当然是持续的过程。

网络攻击过程示意图过程安全体系结构如何消除安全工作者的担忧?

SIIP流程安全体系结构问题1:在敌军到达之前如何补充防御工事?城市建筑物(主机)是否存在漏洞?

首先,必须了解内部网中有哪些业务主机、主机的详细资产信息、主机上运行的业务、开放通信端口、现有帐户等,并盘点主机资产。然后,必须明确主机存在哪些风险、漏洞、弱密码、web后门、恶意节目可执行性、外壳脚本等,以分析漏洞风险。

SIIP体系结构的主机安全可视化模块,用于字典防御最优化,确定和补充主机风险,提高城市自身的强度

SIIP体系结构的主机安全可视化问题2:如何减少打破城市的可能性,如何确定城市内外的公路、哨卡和入口人群特征?

为此,需要绘制安全域业务拓扑城市防御图,以可视化资产保护边界并确保主机受到保护。此外,通过整理城市内外有效的业务道路和哨声接入规则,整理业务路径和安全策略。最后确认哨声规则是否有问题,相关人员是否可以随意出入,是否可以分析战略风险和主机攻击面。

通过SIIP体系结构的安全体系结构可视化模块,分析保护战略的健壮性、资产保护的全面性和资产暴露风险,减少网络暴露,降低城市进入的可能性。

SIIP体系结构的安全体系结构可视化问题3:敌军是否会伪装成城市?

符合哨声接近规则的人可以进入城市,还可以混入伪装成符合小规则的样子。网络攻击使用防火墙开放通信端口和业务主机到达路径进行攻击,不会被防火墙阻挡,因此必须持续收敛攻击面。

安全体系结构可视化模块与主机安全可视化模块协同工作,持续直观地评估和聚合网络攻击面,将风险暴露面的可访问性降至最低,并降低网络风险。

SIIP体系结构的攻击面分析和收敛过程问题4:如果受到攻击怎么办?敌人埋伏在城里,攻城时要外合,如何及时发现这些细节作品?如果城堡不守备,又该如何歼灭城市敌军,修复破损的位置呢?

需要及时准确地检测攻击者的嗅探网络、攻击或异常外发等。攻击后,可以迅速识别、应对和阻止攻击源,防止威胁进一步扩散。

SIIP体系结构的攻击面可视化模块相关安全体系结构显示、主机安全显示和网络流量显示、自动安全策略编制、多维数据关联和加快调查响应

SIIP体系结构的安全监控和自动响应过程问题5:如何进行城市防御?敌军窃取我们城市的内情时,如何检测敌军的潜入路线和盗窃方式,防止再次发生盗窃事件?

对于发生的安全事件,SIIP体系结构可以通过通信量标记、主机标记、体系结构标记关联、通信量跟踪、嵌套威胁智能功能、了解事件详细信息、确定相关主机的风险、跟踪路径、恢复目标风险、控制赔偿或加强安全性来防止类似事件的再现。

SIIP体系结构的回溯分析和安全校正流程“互相了解,直观控制”“SIIP流程安全体系结构为字典防御最优化、后回溯分析提供了三维一体化闭环机制,收敛50%的城市网络暴露面,检测误报率下降30%,应急响应率提高50%,让守备方在红蓝对抗和硬件行动中放心。”

后期

“我是网络安全工作者。在这次红蓝对抗中,我不焦虑。可是,怎样才能不继续焦躁呢?”

答案是“流程安全”,网络安全的本质是过程,过程必须持续。

关于安全桶

北京安全通技术股份有限公司(“安全通”)是国内最好的可视化网络安全专用核心系统产品和安全服务提供商,2019年成为中国第一家在科学窗口登陆的网络安全企业。

自行开发的ABT SPOS可视化网络安全系统平台是众多一线供应商和大型解决方案集成商最广泛部署的网络安全系统套件,是国内众多部门和中央企业安全态势感知平台的核心组件和数据引擎。