自動(dòng)化威脅檢測(cè)與響應(yīng)
威脅的檢測(cè)與響應(yīng)作為網(wǎng)絡(luò)安全體系建設(shè)的重要環(huán)節(jié),歷來(lái)受到政企機(jī)構(gòu)的高度重視。然而面對(duì)變幻莫測(cè)的攻擊手法和善于偽裝的惡意樣本,檢測(cè)與響應(yīng)手段仍然需要不斷創(chuàng)新。
在威脅檢測(cè)方面,此次亮相的奇安信新版天眼上線了智能助理、高級(jí)阻斷、沙箱防逃逸等多項(xiàng)功能,其中新版沙箱在延續(xù)原版本對(duì)惡意文件智能、精準(zhǔn)檢測(cè)的基礎(chǔ)上,大幅度提升了系統(tǒng)性能和安全性,同時(shí)檢測(cè)環(huán)境支持macOS和Android操作系統(tǒng),使得威脅檢測(cè)樣本覆蓋更全。同時(shí),為了避免威脅樣本逃逸現(xiàn)象,新版沙箱實(shí)現(xiàn)了TLS/HTTPS流量解密的功能,阻止惡意軟件采用TLS/HTTPS對(duì)自身流量進(jìn)行加密保護(hù)以躲避檢測(cè)的情況。
另一方面,新版天眼還增加了云上安全感知系統(tǒng)的“云天眼”,幫助用戶重點(diǎn)解決云上全網(wǎng)安全在東西向流量上的監(jiān)控盲區(qū),建立一套在“云”上的監(jiān)測(cè)預(yù)警、威脅檢測(cè)、溯源分析和響應(yīng)處置能力的高級(jí)威脅檢測(cè)平臺(tái)。
針對(duì)惡意網(wǎng)絡(luò)請(qǐng)求的檢測(cè),奇安信安全DNS(QDNS)基于奇安信威脅情報(bào)中心商業(yè)威脅情報(bào),能夠?qū)PT攻擊、勒索軟件、竊密木馬、遠(yuǎn)控木馬、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)蠕蟲、惡意下載、黑市工具、流氓推廣等幾十種網(wǎng)絡(luò)威脅請(qǐng)求進(jìn)行有效檢測(cè)和阻斷。
在響應(yīng)方面,作為安全編排自動(dòng)化與響應(yīng)的利器,此次亮相的奇安信SOAR3.0以實(shí)戰(zhàn)化為核心,能夠幫助企業(yè)和組織將繁雜安全運(yùn)行過(guò)程梳理為任務(wù)和劇本,把分散的安全工具與功能轉(zhuǎn)化為可編程的應(yīng)用和動(dòng)作,并且借助編排和自動(dòng)化技術(shù),將團(tuán)隊(duì)、工具和流程的高度協(xié)同起來(lái),覆蓋安全運(yùn)行的防護(hù)、檢測(cè)、響應(yīng)等各個(gè)環(huán)節(jié)。總體來(lái)看,奇安信SOAR3.0能夠?qū)踩录{(diào)查與響應(yīng)操作的效率提高10倍以上;對(duì)于需要重復(fù)性持續(xù)性的操作,提升的效率更是數(shù)以百倍計(jì)。
另外,奇安信新版天眼上線了高級(jí)阻斷功能,能夠結(jié)合250w+條威脅情報(bào)、3000+威脅檢測(cè)規(guī)則,實(shí)現(xiàn)對(duì)威脅的智能化阻斷。
實(shí)戰(zhàn)化安全運(yùn)行
隨著網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演習(xí)的開展,政企機(jī)構(gòu)對(duì)于檢測(cè)與響應(yīng)的重視程度日益提升,網(wǎng)絡(luò)安全體系建設(shè)越來(lái)越完善,但網(wǎng)絡(luò)攻擊事件依然處于高發(fā)狀態(tài)。資產(chǎn)不清、漏洞不明、情報(bào)缺失、流程不通等基礎(chǔ)安全問(wèn)題多年來(lái)一直困擾企業(yè)客戶,沒有對(duì)資產(chǎn)安全形成運(yùn)行服務(wù)閉環(huán)流程,就難以滿足當(dāng)前安全運(yùn)營(yíng)實(shí)戰(zhàn)化、體系化、常態(tài)化的要求。
系統(tǒng)安全并非一蹴而就,也不是加強(qiáng)某個(gè)環(huán)節(jié)就能解決的,需要提升整體的防護(hù)水平。對(duì)此,“系統(tǒng)安全運(yùn)行構(gòu)想圖”強(qiáng)調(diào),需要用數(shù)據(jù)驅(qū)動(dòng)的實(shí)戰(zhàn)化安全運(yùn)行模式,打通資產(chǎn)管理、配置管理、漏洞管理和補(bǔ)丁管理等四大基礎(chǔ)安全流程,環(huán)環(huán)相扣融入整個(gè)大運(yùn)維環(huán)節(jié),從而收縮攻擊面、有效控制數(shù)字化運(yùn)營(yíng)的基礎(chǔ)風(fēng)險(xiǎn)。
通過(guò)構(gòu)建系統(tǒng)安全運(yùn)行服務(wù)支撐平臺(tái),建立多源異構(gòu)資產(chǎn)和漏洞數(shù)據(jù)的融合治理、統(tǒng)一管理,達(dá)到全面掌握自身網(wǎng)絡(luò)資產(chǎn)真實(shí)安全狀況的目標(biāo);同時(shí),幫助政企客戶實(shí)現(xiàn)流程的通暢&閉環(huán),達(dá)到管理更有序的目的;平臺(tái)自動(dòng)化能力體現(xiàn)到實(shí)際運(yùn)營(yíng)工作中,讓原本重復(fù)的安全運(yùn)營(yíng)工作變得更智能、更簡(jiǎn)單、高效,讓安全運(yùn)行真正成為日常。從而建立與大運(yùn)維深度融合的安全運(yùn)營(yíng)體系,為安全運(yùn)營(yíng)的常態(tài)化、實(shí)戰(zhàn)化奠基。
另外,為幫助客戶檢驗(yàn)防護(hù)體系的有效性,奇安信此次發(fā)布的自動(dòng)化滲透測(cè)試系統(tǒng),在學(xué)習(xí)總結(jié)奇安信攻擊隊(duì)的多年實(shí)戰(zhàn)攻防經(jīng)驗(yàn)基礎(chǔ)上,自主研發(fā)了高級(jí)漏洞利用框架以及大量漏洞利用插件,通過(guò)自動(dòng)化完成信息搜集、社會(huì)工程、漏洞利用、權(quán)限提升、持續(xù)控制、橫向滲透等滲透測(cè)試全過(guò)程,將傳統(tǒng)“手工作坊”式的滲透測(cè)試轉(zhuǎn)變?yōu)樽詣?dòng)化標(biāo)準(zhǔn)化可量化的滲透測(cè)試體系。
常態(tài)化核心資產(chǎn)防護(hù)
作為存儲(chǔ)機(jī)構(gòu)核心數(shù)據(jù)的地方,服務(wù)器一旦被攻破很可能會(huì)導(dǎo)致大量敏感數(shù)據(jù)丟失或被竊,因此在網(wǎng)絡(luò)安全體系里,服務(wù)器安全防護(hù)通常是最后一道防線,其重要性不言而喻。
基于服務(wù)器端輕量級(jí)Agent的云鎖服務(wù)器安全管理系統(tǒng),同時(shí)支持單機(jī)版、公有云和私有云的部署。通過(guò)統(tǒng)一的Web控制中心,RASP、IN-APP WAF以及服務(wù)器操作系統(tǒng)內(nèi)核加固探針,實(shí)現(xiàn)對(duì)傳統(tǒng)物理服務(wù)器和云服務(wù)器一致的風(fēng)險(xiǎn)排查、內(nèi)核加固、已知威脅的精準(zhǔn)檢測(cè)和未知攻擊的有效防護(hù)。
此次發(fā)布的新版云鎖重點(diǎn)新增了針對(duì)無(wú)文件攻擊、帶外(OOB)攻擊、惡意掃描、惡意文件上傳等檢測(cè)能力,對(duì)反彈Shell、RCE利用和EDR檢測(cè)做了重點(diǎn)優(yōu)化。
同時(shí),云鎖還創(chuàng)新性的在服務(wù)器安全領(lǐng)域引入了微隔離和零信任的理念,基于不同角度(端口、外連、文件、應(yīng)用等)的白名單機(jī)制,以攻促防,從惡意流量“打點(diǎn)->拿權(quán)限->橫向滲透”的攻擊邏輯出發(fā),實(shí)現(xiàn)不同階段對(duì)高危行為的高效防護(hù)。
在工業(yè)安全方面,工業(yè)物聯(lián)網(wǎng)是工業(yè)信息系統(tǒng)的神經(jīng)末梢,直接影響著的系統(tǒng)運(yùn)行質(zhì)量,保障工業(yè)物聯(lián)網(wǎng)安全就成為工業(yè)信息化發(fā)展的重中之重。針對(duì)工業(yè)物聯(lián)網(wǎng)接入設(shè)備自身防護(hù)水平差,網(wǎng)絡(luò)接入缺乏監(jiān)測(cè)、感知能力,安全事件缺少有效技術(shù)處置手段,系統(tǒng)存在極大被遠(yuǎn)程入侵風(fēng)險(xiǎn)等問(wèn)題,“天擇”工業(yè)物聯(lián)網(wǎng)接入安全防護(hù)系統(tǒng),對(duì)入網(wǎng)終端進(jìn)行精準(zhǔn)、持續(xù)、嚴(yán)格的細(xì)粒度管控,確保接入網(wǎng)合法、合規(guī)、可信的同時(shí),全方位掌控網(wǎng)絡(luò)邊界動(dòng)態(tài),及時(shí)、靈活、高效的處置安全事件,確保網(wǎng)絡(luò)無(wú)風(fēng)險(xiǎn)運(yùn)行。
體系化供應(yīng)鏈安全
供應(yīng)鏈連接了這個(gè)世界的每個(gè)角落,無(wú)論物理空間還是網(wǎng)絡(luò)空間。一個(gè)組織已經(jīng)不能僅僅通過(guò)保護(hù)自己的基礎(chǔ)設(shè)施來(lái)保護(hù)自己。在網(wǎng)絡(luò)空間對(duì)抗不斷升級(jí)、數(shù)字化加速轉(zhuǎn)型、國(guó)家戰(zhàn)略推動(dòng)、開源代碼被普遍使用的情況下,體系化的軟件供應(yīng)鏈安全建設(shè)勢(shì)在必行。
據(jù)奇安信威脅情報(bào)中心發(fā)布的《全球高級(jí)持續(xù)性威脅(APT)2021年中報(bào)告》顯示,在愈演愈烈的APT攻擊中,APT攻擊團(tuán)伙攻擊目標(biāo)開始更加側(cè)重于在供應(yīng)鏈中負(fù)責(zé)提供服務(wù)的公司。例如,去年12月,黑客在針對(duì)網(wǎng)管軟件提供商SolarWinds發(fā)動(dòng)了供應(yīng)鏈攻擊,在軟件更新包中植入了后門程序,全球超過(guò)18000家機(jī)構(gòu)都受到了此次事件的影響;又例如,全球航空電信協(xié)會(huì)SITA——管理著全球超過(guò)400家航空公司的機(jī)票和旅客數(shù)據(jù)處理,便曾在今年3月宣布服務(wù)器被黑客通過(guò)高度復(fù)雜的攻擊手段入侵。而在國(guó)內(nèi),奇安信威脅情報(bào)中心也曾監(jiān)測(cè)到多起安全公司被入侵造成的供應(yīng)鏈攻擊事件。
供應(yīng)鏈安全建設(shè)面向兩個(gè)主要的場(chǎng)景:第一是用戶視角的供應(yīng)鏈安全管理場(chǎng)景;第二是開發(fā)者視角的供應(yīng)鏈安全開發(fā)場(chǎng)景。針對(duì)這兩大場(chǎng)景,奇安信提供的軟件供應(yīng)鏈安全解決方案,包括代碼安全能力、軟件空間測(cè)繪能力、感知與自主測(cè)試能力、自動(dòng)化流程管理能力等四個(gè)部分。