散文網(wǎng) » 科技 »學習 » 攻防寶典七 | 亞信安全ImmunityOne體系化應對高烈度攻防對抗

攻防寶典七 | 亞信安全ImmunityOne體系化應對高烈度攻防對抗

2023-08-15 10:30 作者:亞信安全 0人讀過 | 我要投稿

攻防演練激烈進行中，作為防守方時刻不敢懈怠。此時不妨換個思路：想敵人之所想，先敵人之所先。當我們從攻擊方視角思考攻擊手段之時，或許能摸出解決辦法提前預防。在外圍打點階段，攻擊方可能以各種手段嘗試突破防御，比如通過漏洞利用，拿到目標應用權限等。

針對以下幾種攻擊場景，亞信安全ImmunityOne SaaS化解決方案，幫你全方位防護。

針對漏洞利用，拒絕邊界突破

在防守前期，安全加固工作做得不夠徹底，比如因時間不夠人手不足，導致無法做到100%加固，攻擊者可能探測到未被修復漏洞并利用其入侵網(wǎng)絡環(huán)境。

此時，借助亞信安全ImmunityOne 的防毒墻能力，通過深度數(shù)據(jù)包檢測針對服務器與終端的漏洞攻擊，在安裝補丁前屏蔽漏洞，阻止已知漏洞被無限利用，大大減少服務器與終端面臨漏洞攻擊的風險，保護易受攻擊的應用程序和操作系統(tǒng)，有效防范已知攻擊和Nday攻擊入侵。

當爆出0day漏洞時，亞信安全核心技術部漏洞研究團隊實時跟蹤漏洞POC，在24h內(nèi)編寫漏洞防御監(jiān)測規(guī)則。針對影響面大的關鍵漏洞，當日可發(fā)布漏洞防御規(guī)則，及時應用到客戶生產(chǎn)環(huán)境，實現(xiàn)漏洞防御快速響應，避免漏洞暴露過久，被攻方鉆空利用。

面對高級威脅，實時檢測報警

攻者在暗，防者在明，網(wǎng)絡安全防御技術往往存在一定滯后性。然而，但凡經(jīng)過，必留痕跡。

亞信安全ImmunityOne集成業(yè)內(nèi)具備領先威脅檢測能力的EDR組件，可深度識別多種技術組合攻擊的完整攻擊鏈并產(chǎn)生告警，幫助用戶有效進行提前防御，盡可能降低網(wǎng)絡及業(yè)務系統(tǒng)遭受攻擊的風險。

經(jīng)國內(nèi)權威第三方評測機構賽可達實驗室的全貌評估，在國際知名ATT&CK框架技術覆蓋面的測評中，亞信安全EDR ATT&CK框架攻擊技術覆蓋面 356 個(ATT&CK?框架攻擊技術覆蓋率達到 95.18%)，處于國內(nèi)領先地位。

杜絕社工釣魚，云地協(xié)同挖掘

條條大路通羅馬，攻防階段同樣如此，此路不通，另尋他路。服務器難以滲入，終端何嘗不可？針對關鍵人員利用社會工程學進行精心設計的郵件與社交網(wǎng)絡釣魚(WX、Linkin)成功幾率也很高，任何人都可能被誘導受騙，比如通過補貼下發(fā)等方式誘導。

演練期間，可能還會出現(xiàn)“請各位防守人員注意，最新發(fā)現(xiàn)XX漏洞，已針對性制作好檢測工具，請盡快下載排查環(huán)境，做好演練期間的防護！”，防守方也務必小心此類定制話術的釣魚。

對此，一旦釣魚郵件中的可執(zhí)行文件被執(zhí)行時，ImmunityOne平臺將立刻產(chǎn)生告警，并通過機器人實時通知安全團隊快速處理。

不僅如此，當釣魚事件發(fā)生后，核心技術部威脅情報團隊將根據(jù)釣魚網(wǎng)站的特征進行全面狩獵和威脅拓線，捕獲更多相同特性的釣魚網(wǎng)站IOC，并通過威脅指標評估引擎第一時間將檢測能力傳輸至產(chǎn)品側，由點及面解決安全威脅，一旦發(fā)現(xiàn)同類威脅，將立刻觸發(fā)告警并通知安全運營工程師及時響應處理。

針對近源攻擊，快速遏制防御

面對防守方的嚴陣以待，新型攻擊形式 — 近源滲透，在近年的攻防演練中被多次利用。包括利用無線網(wǎng)絡、物理接口、智能終端等進行滲透。其中，無線網(wǎng)絡是近源滲透的主要手段。

曾有攻擊者通過給目標單位寄送快遞形式，在快遞盒子中提前準備一個迷你樹莓派，當其探測到周圍的Wifi信號時，便偽造SSID與目標單位相同的WiFi信號源，當員工從信號源附近經(jīng)過時，就可捕獲到終端自動發(fā)起重連時的數(shù)據(jù)包，其中包含明文用戶名和NetNTLM哈希，從而捕獲到域、主機名或用戶名等信息。

面對如此隱蔽的攻擊手段，當端點或者域控系統(tǒng)中存在登錄后的異常行為時，亞信安全ImmunityOne平臺也可檢測到并立刻觸發(fā)告警，此時安全團隊可快速處置，進一步遏制威脅。

借勢反客為主，助力溯源反制

作為重要的防御工具，亞信安全ImmunityOne，不僅為盾，亦可作矛。借助SaaS化平臺，可聯(lián)合平臺內(nèi)多個組件通過“面包屑”式的各種線索，依靠強大溯源調(diào)查能力層層溯源，摸清攻擊鏈，助力回分，同時還獲取攻擊方的IP等關鍵信息，甚至可反客為主，變身“紅隊”角色，反攻對方機器。

“知攻”方能“善防”，亞信安全ImmunityOne SaaS化平臺的檢測能力以MITRE的ATT&CK框架攻擊模型為設計前提，平臺以設備聯(lián)動威脅情報為核心，依據(jù)標準化運營流程，通過運營組件對資產(chǎn)的漏洞、威脅、APT攻擊進行監(jiān)控，從而構建防御、檢測、分析、響應的安全運營閉環(huán)，構建面向實戰(zhàn)的安全防護體系，實現(xiàn)對入侵威脅的及時響應與防御。