消灭主机“刺客”，天融信自适应安全防御系统让威胁无处遁形

随着网络技术不断发展，网络攻击方法和能力不断升级，威胁利用也从已知到未知不断发展变化，网络攻击逐步形成一道黑色产业链，防守方也需随之升级防御方案，变被动防守为主动“威胁狩猎”。

什么是威胁狩猎？

威胁狩猎，是安全人员在网络安全中定位各类威胁攻击，它不是一款产品，而是一种方法，凭此方法可有效发现并阻断网络环境中的异常情况。

为什么需要威胁狩猎？

攻击者常通过高级威胁攻击、漏洞利用、恶意软件等方式避开各类安全规则，利用内网环境渗透行为获取目标主机数据或执行某种破坏行为。面对当下复杂多变的定向攻击，我们需要采用主动检测和实时响应的方式，获取攻击痕迹，发现潜伏在内网环境中的威胁，以此达到缩短攻击者潜伏时间等目标。

威胁狩猎的方式有哪些？

事前防御是威胁狩猎的主要思想，通过事前主动扫描发现可绕过安全设备的未知威胁。猎人狩猎通常采用人工测试+机器辅助的方式，安全人员收集相关入侵证据，定位隐匿的攻击，同时安全设备收集相关攻击信息，协助安全人员发现潜在风险。

为应对当下场景，天融信通过自适应安全防御系统构建主机侧防御闭环，融合自适应安全架构及CWPP核心理念，解决传统防护手段的被动局面，通过对主机进行持续的监控与分析，多角度定位安全风险与入侵攻击，为猎人提供丰富的原始数据。

光说不练假把式

话不多说

实战见真章！

9月X日

实战日记

我是天融信自适应安全防御系统，今天的工作任务是巡检某市数据管理局的多台主机。

首先，我通过资产管理功能，仔细梳理出主机庞杂的数据资产，展示主机进程、端口、计划任务等重点资产信息，方便安全人员构建主机侧资产指纹库；

随后，我利用风险发现功能，对主机系统漏洞、中间件漏洞、数据库漏洞、弱口令等安全风险进行全面扫描，并提出具体修复建议，帮助市局快速改进脆弱点，缩小风险面；

此时，我在一台IP为XX.X.XXX.206的主机内发现异常，拉响警报，进入应急响应模式！

经天融信专家团队追溯研判，确认存在病毒利用某系统漏洞进行攻击，攻击者试图进行本地提权，总局立刻采取响应措施：

第一步，通过威胁检测模块对病毒进行查杀，阻止病毒进一步扩散，降低主机损失持续扩散；

第二步，配置隔离策略，及时阻断非法流量，解决安全威胁在主机间横向移动等问题；

第三步，对相关主机进行安全加固，对漏洞、弱口令、账号风险、文件完整性等提供持续扫描与修复，扫除主机内部安全隐患；

最后，通过本系统快速分析和响应下，威胁解除，有效抵挡主机“刺客”！

天融信自适应安全防御系统

主机安全运营响应流程

四步缓解安全人员威胁捕获数据繁杂烦恼

TOPSEC

随着高级威胁攻击等威胁不断迭代更新，企业需要威胁捕获等主动检测的方法来减少攻击者带来的影响，提高主机安全能力。未来，天融信将继续深耕主机安全领域，为各行业客户提供更为稳固优质的产品、解决方案与服务，积极应对新的安全威胁与挑战，打造主机安全新体系！