网络安全实战攻防演练是以获取指定目标系统(标靶系统)的管理权限为目标的攻防演练,由攻防领域经验丰富的红队专家组成攻击队,在保障业务系统稳定运行的前提下,采用“不限攻击路径,不限制攻击手段”的贴合实战方式,而形成的“有组织”的网络攻击行动。攻防通常是在真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击,拟通过演练检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。
近日,以“数治安全 智理未来”为主题的2020西湖论剑·网络安全线上峰会(以下简称“峰会”)成功启动。峰会上,“实战化防护七剑四式”,其网络攻防演练技术体系对外发布。安恒信息将自身7项技术能力化为招式中的“七剑”,将攻防演练中的四项服务化为“四式”,为客户提供更好的防护能力检验及升级服务。
七剑出鞘,锋芒毕露
据了解,“七剑”分别为莫问剑——Ailpha,游龙剑——Honeypot,青干剑——WAF,竞星剑——NGFW,日月剑——AiNTA,天瀑剑——APT以及舍神剑——EDR。其中莫问剑Ailpha是安恒信息旗下的大数据智能安全平台,采用大数据技术和机器学习,具备全网流量处理、异构日志集成、核心数据安全分析、办公应用安全威胁挖掘等前沿大数据智能安全威胁挖掘分析与预警管控能力,可远程实现对整个高级威胁攻击链的全面关联分析和网络系统安全态势感知。
游龙剑Honeypot则是安恒信息根据多年安全领域攻防经验与技术积累,利用Honeypot(蜜罐)技术打造的一款应对攻防实战场景的其片方与产品:明鉴迷网系统。该系统基于网络欺骗和主动防御理论,通过暗设陷阱(蜜罐,蜜饵),组件诱捕网络(蜜网),实现攻击发现、行为研判,以达到延缓攻击进城,保护真实网络的目的。
青干剑WAF为安恒的新一代智能Web应用防火墙,采用“5+3”新引擎,五大安全引擎有机协作对网站及APP业务流量进行多维度、深层次的安全检测和防护,通过主动安全与被动安全相结合方式识别可疑、已知、未知安全威胁。
此外,还有联合防御的NGFW(安全网关)竞星剑以及EDR(主机安全及管理系统)舍神剑。NGFW在做好边界防护的同时,加入EDR能更好地解决终端安全问题。而考虑到未安装EDR的终端入网存在安全隐患,使用防火墙可以很好地解决“网络准入”问题。
明鉴新一代威胁感知系统日月剑(AiNTA),可融合主动威胁检测和被动流量分析技术,能够实时深度检测各类已知安全威胁,及时发现并定位各种异常威胁,实现对异常行为的动态感知。APT预警平台天瀑剑,则可基于双向流量检测,掌握从外部到内部、内部到外部,以及内部之间的各种攻击行为。
这七项技术集成“七剑”,可以有效地联动形成攻击防护网,全方位立体地保护网络安全。
四式凌厉,变化莫测
而实践中的攻击行为往往是动态的,只有将静态立体防护与动态攻防行为结合操作才能检验真实的系统防护能力。因此,“四式”中的红队、蓝队、紫队以及威胁情报四项服务则可配合防护技术完成整个动态攻防过程。在攻防过程中,红队通过前期侦查、最初打点、持续控制、权限提升以及后渗透攻击来仅供参演防御系统。
而在防御方,蓝队通过建立Gartner自适应保护模型,有效覆盖预防(P)、保护(P)、检测(D)、响应(R)四个阶段,通过安全基线(基线/边界梳理、威胁模型、态势感知)、防御强化(网络加固、对抗演练、应急体系)、威胁狩猎(对攻击展开识别、响应、干预、诱捕)以及威胁分析(调查分析、复盘攻击、策略优化)四个阶段保护架构,形成PDCA安全防御闭环,达到安全纵深防御的效果,有效对应红队攻击路径。
出于对安全漏洞与攻防方式学习了解的需要,安恒信息还引入了“紫队”模式。与传统红/蓝对抗的模式不同,紫队模式是协作而迭代的。通过更透明而持续的过程,紫队模式将红蓝两队拧到一起,帮助防御者更高效地缓解来自现实世界高度复杂的攻击,更有效地帮助演练单位进行学习。
除此之外,安恒信息还为演练单位提供威胁情报。通过大数据与AI技术,利用蜜罐技术、Sumap网络空间测绘、国内外开源情报共享以及风暴中心云端情报等数据来源,构建大数据多元情报生态,为演练单位进行威胁评估与建模,完成攻防整体的重要一环。
“数字时代,一切皆服务。”范渊表示,“实战化防护七剑四式”是安恒信息基于多年攻防实践总结出的体系,不仅能够达成更好的学习效果,也可使服务在攻防演练过程中得到最快速、有效、全面的检验。
