随着网络技术不断发展,网络攻击方法和能力不断升级,威胁利用也从已知到未知不断发展变化,网络攻击逐步形成一道黑色产业链,防守方也需随之升级防御方案,变被动防守为主动“威胁狩猎”。
| 什么是威胁狩猎?
威胁狩猎,是安全人员在网络安全中定位各类威胁攻击,它不是一款产品,而是一种方法,凭此方法可有效发现并阻断网络环境中的异常情况。
| 为什么需要威胁狩猎?
攻击者常通过高级威胁攻击、漏洞利用、恶意软件等方式避开各类安全规则,利用内网环境渗透行为获取目标主机数据或执行某种破坏行为。面对当下复杂多变的定向攻击,我们需要采用主动检测和实时响应的方式,获取攻击痕迹,发现潜伏在内网环境中的威胁,以此达到缩短攻击者潜伏时间等目标。
| 威胁狩猎的方式有哪些?
事前防御是威胁狩猎的主要思想,通过事前主动扫描发现可绕过安全设备的未知威胁。猎人狩猎通常采用人工测试 机器辅助的方式,安全人员收集相关入侵证据,定位隐匿的攻击,同时安全设备收集相关攻击信息,协助安全人员发现潜在风险。
为应对当下场景,天融信通过自适应安全防御系统构建主机侧防御闭环,融合自适应安全架构及cwpp核心理念,解决传统防护手段的被动局面,通过对主机进行持续的监控与分析,多角度定位安全风险与入侵攻击,为猎人提供丰富的原始数据。
光说不练假把式
话不多说
实战见真章!
9月x日 | 实战日记
我是天融信自适应安全防御系统,今天的工作任务是巡检某市数据管理局的多台主机。
首先,我通过资产管理功能,仔细梳理出主机庞杂的数据资产,展示主机进程、端口、计划任务等重点资产信息,方便安全人员构建主机侧资产指纹库;
随后,我利用风险发现功能,对主机系统漏洞、中间件漏洞、数据库漏洞、弱口令等安全风险进行全面扫描,并提出具体修复建议,帮助市局快速改进脆弱点,缩小风险面;
此时,我在一台ip为xx.x.xxx.206的主机内发现异常,拉响警报,进入应急响应模式!
经天融信专家团队追溯研判,确认存在病毒利用某系统漏洞进行攻击,攻击者试图进行本地提权,总局立刻采取响应措施:
第一步,通过威胁检测模块对病毒进行查杀,阻止病毒进一步扩散,降低主机损失持续扩散;
第二步,配置隔离策略,及时阻断非法流量,解决安全威胁在主机间横向移动等问题;
第三步,对相关主机进行安全加固,对漏洞、弱口令、账号风险、文件完整性等提供持续扫描与修复,扫除主机内部安全隐患;
最后,通过本系统快速分析和响应下,威胁解除,有效抵挡主机“刺客”!
天融信自适应安全防御系统
主机安全运营响应流程
四步缓解安全人员威胁捕获数据繁杂烦恼
topsec
随着高级威胁攻击等威胁不断迭代更新,企业需要威胁捕获等主动检测的方法来减少攻击者带来的影响,提高主机安全能力。未来,天融信将继续深耕主机安全领域,为各行业客户提供更为稳固优质的产品、wepoker官网的解决方案与服务,积极应对新的安全威胁与挑战,打造主机安全新体系!
- 关键词标签:
- 天融信自适应安全防御系统 主机“刺客”