伴随數(shù)字化轉型的全面深入,網絡安全戰場(chǎng)被無限延伸,網絡攻擊手段從過去的“直接随機、簡單粗暴”轉變為(wèi)“目标精确、持久隐藏”,災難性會(huì)更加嚴重與頻繁。如果還(hái)僅僅依賴傳統本地特征庫的靜态檢測方式,來(lái)抵禦新型網絡攻擊,往往将面臨防禦失效的困境。
因此,實戰攻防演習成為(wèi)推進網絡安全建設的必要需求。近日,360政企安全集團就通(tōng)過真實還(hái)原一場(chǎng)為(wèi)期3天的實戰攻防演習,為(wèi)國家(jiā)、政府、行(xíng)業和(hé)企業能夠構建起“能打實戰”的安全能力體(tǐ)系提供參考借鑒!
在360政企安全實戰演習的第1天中,攻擊方便企圖通(tōng)過發起大(dà)規模的釣魚郵件攻擊,以尋求深入防守邊界的跳(tiào)闆。然而,防守方經過快速的溯源分析和(hé)樣本分類,并基于360終端安全管理(lǐ)系統的主動威脅發現和(hé)攔截能力,高(gāo)效完成整個(gè)應急響應的閉環,最終成功守住終端安全防線。
在此過程之中,360終端安全管理(lǐ)系統發揮出的響應能力不可(kě)或缺,真正助力傳統終端安全管理(lǐ)從“合規驅動”走向“能力驅動”,能夠在浩如煙海的網絡空(kōng)間(jiān)中發現到網絡威脅的蛛絲馬迹,并有(yǒu)效增強終端面對各類威脅的檢測對抗能力。
如今,我國攻防實戰演練開(kāi)幕在即,360政企安全集團特别打造了一份關于360終端安全管理(lǐ)系統的實用“秘籍”,幫助各企業高(gāo)效“備戰”。開(kāi)放式的網絡環境下,各類終端、設備和(hé)業務系統與互聯網直接關聯,惡意程序和(hé)腳本可(kě)輕松通(tōng)過釣魚網站(zhàn)、發送釣魚郵件、網頁挂馬等多(duō)種主動或被動的手段突破內(nèi)網。1.惡意代碼檢測:建立雲查殺引擎、鲲鵬引擎、QVM Ⅱ人(rén)工智能引擎以及 QEX 腳本引擎構造的立體(tǐ)協同檢測機制(zhì),持續有(yǒu)效對抗木馬蠕蟲、惡意軟件、勒索病毒、APT 攻擊等各類威脅。
2.入口防護:圍繞終端與外部的信息交互接口進行(xíng)定向監測與防護,并通(tōng)過對惡意鏈接進行(xíng)信譽庫比對,對文件下載及傳輸安全性進行(xíng)監測。3.浏覽器(qì)及上(shàng)網防護:動态分析結合靜态匹配技(jì)術(shù)方案,以最低(dī)的資源消耗,實現對惡意鏈接的精确檢測。4.系統防護:建立包含攝像頭防護,鍵盤記錄防護,文件系統防護,驅動防護,注冊表防護等從驅動到系統的縱深防護機制(zhì)。出于安全保密需要,特定的政企單位或者機要部門(mén)需要在隔離網環境辦公,切斷跟外部互聯網的聯系。但(dàn)如果存在非法連接外網或指定網絡的行(xíng)為(wèi),安全風險将油然而生(shēng)。1.違規外聯管控:通(tōng)過外聯探測功能,以域名解析、PING 地址探測、TCP 鏈接檢測、IP/MAC綁定等方式,及時(shí)發現終端非法外聯、非法出口聯網行(xíng)為(wèi),封堵基于IP或MAC方式的網絡繞過行(xíng)為(wèi),并可(kě)對違規終端執行(xíng)斷網處置。
2.網絡控制(zhì):提供基于IP、端口和(hé)域名三個(gè)維度通(tōng)訊阻斷能力,在攻擊預防階段,降低(dī)風險暴露面。當遇到緊急病毒事件時(shí),能夠有(yǒu)效抑制(zhì)感染範圍。3.桌面加固:通(tōng)過對終端賬号密碼強度、屏保和(hé)桌面壁紙的策略控制(zhì),實現用戶桌面的統一管理(lǐ),實現安全水(shuǐ)平的顯著提升。對于使用Windows7系統的政企用戶而言,系統的停服帶來(lái)了相當大(dà)的安全困擾。1.系統加固:通(tōng)過內(nèi)存保護檢查、堆噴射防護、零地址防護、棧置換、內(nèi)核攻擊防護以及系統調用過濾等多(duō)種方式,在操作(zuò)系統層面進行(xíng)安全加固。2.應用加固:應用程序漏洞往往集中在Office、IE 浏覽器(qì)和(hé) PDF 閱讀器(qì)等常用辦公工具上(shàng),以沙箱方式啓動這些(xiē)高(gāo)頻應用,可(kě)有(yǒu)效避免宿主終端的威脅影(yǐng)響。3.熱補丁修複:針對高(gāo)危漏洞,提供熱補丁修複能力。盡量縮減漏洞暴露時(shí)間(jiān),基于免重啓的方式實現終端便捷防護。客戶端安裝成功後,終端需要上(shàng)報自身的資産信息,包括資産類型、資産用途、歸屬部門(mén)、使用人(rén)、電(diàn)話(huà)、郵箱等,這些(xiē)往往是攻擊方的主要靶标。1.硬件資産管理(lǐ):支持計(jì)算(suàn)機名稱、硬件配置、cpu/內(nèi)存、硬盤等配置變動告警。2.資産登記:新增資産登記類别,設置資産類型、資産用途、歸屬部門(mén)、使用人(rén)、電(diàn)話(huà)、郵箱等信息要求終端登記,并通(tōng)過資産IP等信息自動分組。系統的缺陷或漏洞随時(shí)都可(kě)能造成不可(kě)挽回的業務崩潰,因此,未修複漏洞依然是很(hěn)多(duō)政企機構的主要安全問題。1.補丁管理(lǐ)架構:通(tōng)過漏洞檢測模塊檢查終端系統、應用是否存在漏洞,将漏洞信息第一時(shí)間(jiān)彙總展示給管理(lǐ)員後,管理(lǐ)員統一下發漏洞修複策略,對終端進行(xíng)漏洞修複。2.漏洞修複:全面支持對操作(zuò)系統漏洞、Office高(gāo)危漏洞、第三方軟件漏洞的修複。360終端安全管理(lǐ)系統提供互聯網環境典型部署和(hé)隔離網環境典型部署兩種部署方式,同時(shí)支持結合使用。360終端安全管理(lǐ)系統終端在網絡內(nèi)部部署管理(lǐ)控制(zhì)平台和(hé)終端,将通(tōng)過管理(lǐ)控制(zhì)平台連接到360安全大(dà)腦(nǎo)升級服務器(qì)進行(xíng)升級、更新等。管理(lǐ)控制(zhì)平台具有(yǒu)緩存功能,同樣的數(shù)據文件隻會(huì)下載一次,以減少(shǎo)對出口帶寬的影(yǐng)響。
具體(tǐ)部署過程如下:
1、安裝360終端安全管理(lǐ)系統管理(lǐ)控制(zhì)平台;360終端安全管理(lǐ)系統管理(lǐ)控制(zhì)平台負責制(zhì)定安全策略,進行(xíng)終端殺毒和(hé)修複漏洞等安全操作(zuò)。使用隔離網更新工具,定期從360安全大(dà)腦(nǎo)下載病毒庫、木馬庫、漏洞補丁文件,對管理(lǐ)控制(zhì)平台進行(xíng)更新。
1、安裝360終端安全管理(lǐ)系統管理(lǐ)控制(zhì)平台;4、定時(shí)登錄管理(lǐ)控制(zhì)平台,查看各終端安全情況;6、定期使用隔離網更新工具下載數(shù)據,并更新到管理(lǐ)控制(zhì)平台。
