网络安全攻防演练解决方案
重保季来临,腾讯云在网络安全攻防演练期间对企业客户提供重保组织架构设计、风险评估、防御构建、实时监测、专家指导等安全服务。
网络安全攻防演练解决方案
为客户构建防护、监测、响应全方面安全保障服务
攻防演练蓝方攻击入侵链路分析
根据腾讯安全多年演练沉淀,蓝方入侵可归纳为以下五大步骤:
什么是演练的蓝方(攻击方)
- 在演练中,蓝方会针对红方的网络系统进行各种攻击,包括但不限于:利用已知或未知的漏洞进行攻击、进行社会工程攻击、尝试窃取敏感数据等
- 蓝方的成员通常包括网络安全专家、渗透测试人员、安全研究员等
攻击案例
攻击案例1:外网突破
核心洞察
通过弱口令 + “弱漏洞”渗透未授权API服务,进一步打入目标数据库获取关键数据
案例2:小程序业务防护不到位也可能成为突破口
核心洞察
“小程序安全”并不单纯指客户端安全,而是包括客户端安全、传输链路安全、Web服务器安全在内的一体化全链路安全
核心洞察
小程序的传输链路为公网,在重保期间可能成为劫持、伪造、重放和中间人攻击的突破口,进一步导致服务端重要数据泄漏
案例3: 通过供应链 + 钓鱼轻松进入办公网
核心洞察
社工 + 钓鱼防不胜防,除了提升全员安全意识以外,内网隔离是防守核心关键
核心洞察
0Day漏洞是运维系统被攻破的关键,也直接导致核心数据被获取
核心洞察
API未授权问题和容器逃逸问题
攻防演练红方防守最佳实践
通过3道防线全链路布控布防,一体化提升安全运营与应急响应效率:
红方在防守中主要关注以下事项:
- 事前:对目标系统进行安全加固,确保系统配置、安全策略和防护措施得当。同时,进行安全培训和演练,提高团队的安全意识和应对能力
- 事中:持续监控网络和系统状况,及时发现并应对攻击行为。在攻防演练过程中,防守方需迅速响应攻击,分析攻击手段,并采取相应的防御措施
- 事后:总结演练经验,分析攻击过程和防御效果,找出安全漏洞和不足,制定改进措施。
防守方如何应对重保 —— 最佳实践三要素
安全团队
攻防博弈本质是人与人之间对抗:
1、组建企业自身的安全团队建制 2、购买安全厂商服务 3、利用AI
安全产品
起到重保防守中工具的作用
从自身业务分布出发,部署业务内、业务间的防护体系
应急响应机制
将工具与安全团队串联
分级机制:不同等级的事件交由不同团队闭环
上升机制:交由更高级别团队处理
重保应对两要素之【工具】1
3 道防线能力再升级,重保黑名单自动封禁、专属漏洞防护规则、自定义规则等稀缺能力
云安全三道防线助力网络安全攻防演练
第一道防线:云防火墙
拦截网络攻击,封禁IP,监测并过滤所有流量
2024云防火墙攻防演练新功能:
- NTA与沙箱:流量镜像、安全分析与文件沙箱
- 封禁能力弹性扩展:按需购买IP封禁列表、ACL、地址模版
- 重保工具包:重保黑IP自动封禁、流量基线、网络蜜罐(8个)
第二道防线:Web应用防火墙
保护网站、API等Web应用安全,防薅防刷防爬
2024攻防演练新功能:
- 小程序安全加速:针对小程序业务的专属网络防护
- API安全防护:API资产发现、恶意请求拦截、敏感数据泄漏检测
- 重保工具包:重保黑IP自动封禁;专属漏洞防护规则、自定义header头部和body长度
第三道防线:云安全中心
工作负载保护、安全运营管理中心
2024云安全中心攻防演练新功能:
- 用户行为管理:云用户操作行为审计,异常风险操作检测
- AI告警处置:自动化告警分析、解释与研判
第三道防线:主机安全
黑客入侵检测和漏洞风险预警服务
2024主机安全攻防演练新功能:
- 重保防御模式:高危命令、恶意请求、恶意文件自动阻断
- 客户端日志:采集云服务器原始日志、DNS日志、进程日志
- 流量可视化:自学习业务访问关系,自动生成防护策略,基于白名单策略检测异常访问
云安全产品购买清单
应对网络安全攻防演练,推荐按照以下规格购买云安全产品
重保应对两要素之【工具】2
小程序安全加速,在重保期间提供小程序业务的一站式全链路安全,让小程序可达微信同等安全水位
价值1 :有机会达到微信同级安全水位
基于微信网关与微信网络链路提高全链路可信度,服务器可设定为仅允许WAF回源的重保严格策略,原生杜绝伪造、非真人请求
价值2 :小程序业务的一站式安全
- 一站式搞定 客户端安全 + 传输安全 + Web业务安全的小程序全链路安全
- 1、客户端安全:微信私有协议加密、流量风控与原生抗DDoS
- 2、传输安全:全链路加密与加速,防劫持、重放与中间人攻击,数据防泄漏
- 3、Web业务安全:Web攻击拦截、CC防护、BOT识别与API防护
重保应对两要素之【工具】3
腾讯iOA:基于零信任能力管控所有接入点,收敛暴露面;通过EDR能力发现高级威胁,防钓鱼 / 社工攻击
腾讯iOA在重保中的作用
通过零信任能力管控所有终端接入
- 支持私有化 / SaaS化部署,可使用SaaS模式在重保期间快速上线:
- 1、极简部署:5分钟即可上线,无硬件,可弹性扩容
- 2、精细化访问控制:持续验证、永不信任 —— 根据用户身份、设备状态、用户行为等因素评估请求合法性;支持服务、进程、端口、外设、文件接入管控
EDR:防钓鱼 / 社工,发现更多高级威胁
- 支持私有化 / SaaS化部署,可使用SaaS模式在重保期间快速上线:
- 1、极简部署:5分钟即可上线,无硬件,可弹性扩容
- 2、防钓鱼 / 社工攻击:持续采集所有终端的进程、文件、网络行为等数据,云端实时分析,检测并识别钓鱼 / 社工引起的恶意文件下载、主动外联行为
- 3、与杀软零冲突共存:支持mini-edr安装,采用旁路终端探针技术,重保期间可作为轻量补充,短期无需顾虑大规模替换
重保应对两要素之【应急流程】
关键洞察
一个标准案例:事件分级、上升与审批机制的响应流程,把“人”和“工具”高效串联
