↑ 点击上方“安全狗”关注我们
security
前言
在越来越关注攻防对抗实战防护能力的今天,尤其在部署了相对完善边界网络安全产品后,我们重新审视自身的网络安全纵深防御体系,发现在资产管理、内部隔离、漏洞运营等基础安全工作上依旧存在跟不上网络安全态势变化情况的问题;同时,随着内部网络架构从传统的 IT 架构向虚拟化、容器化升级与变迁,内部隔离不再是一件容易的事情。
为适应攻防对抗防护的要求,以及满足新的 IT 架构的要求,我们不得不再重新审视和分析隔离的重要性。
现在客户对主机安全服务的要求越来越高,迫切需要具有闭环价值的安全产品,即,产品不仅能够发现威胁,最好还可以提供切实可行的解决方案或解决建议,比如在检测到挖矿木马之后具备自动清理的能力;在发现漏洞后能提供修复能力;检测到暴破攻击后有阻断能力等等。
笔者结合一些大型企业案例经验,总结出以下场景。希望本文能够起到“抛砖引玉”的作用。如有更好的见解,望不吝赐教,笔者不胜感激。
场景.1 风险资产处置25问
摸清家底是安全检查的第一步,所以要确保做到资产有人建、有人管、有人用、有人防。
面向互联网侧资产暴露面的管理,可通过对资产细粒度的采集发现系统里的存活资产,实时监测资产的更新情况。结合内外威胁情报,全面监控系统整体漏洞风险。
安全狗云眼4.0为用户提供资产上帝视角,可采集主机所有web站点、账号、账号权限、账号状态、web应用、端口等资产并进行详细分类和变更分析,帮助安全人员快速定位和处置风险资产。
场景.2 如何监控并处置异常行为?
在事前、事中、事后三个阶段,安全狗云眼从资产聚合、反杀伤链、入侵响应三个维度对主机安全问题进行分析,通过主机EDR能力的增强,反哺SIEM或SOC平台,最终提升全网自动响应已知威胁的能力以及对未知定向攻击的检测告警能力。
场景.3 勒索挖矿病毒如何防范?
勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播,利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
勒索病毒文件一旦进入本地,就会自动运行。在这之后,勒索病毒利用本地的互联网访问权限连接至黑客的 C&C 服务器,进而上传本机信息并下载加密公钥,利用加密公钥对文件进行加密。
针对挖矿病毒,通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,服务器或PC访问[过]不受信任的地址,服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中,服务器或PC的定时任务发生变更的话,我们基本可以判定被挖矿。
为了避免被挖矿和中勒索病毒等情况的发生,我们需提前进行预防,根据以下十点安全建议对内网进行安全检查及安全加固,并形成常态化的安全巡检工作周期性开展:
场景.4 如何开展微隔离工作?
往期精彩文章
我们正在守护
中央部委及央企
网信办 | 公安部 | 教育部 | 招商局集团 | 国家电网 | 南方电网 | 航天科工 | 国药集团 | 中国建筑
地方政府及国企
北京政务云 | 江西政务云 | 厦门政务云 | 嘉兴政务云 | 越秀集团 | 建发集团 | 象屿集团 | 厦门港务
金融行业
中国银行 | 建设银行 | 兴业银行 | 广州证券 | 银联商务 | 安心财险 | 万达金融
教育科研
中国科学院 | 中国社会科学院 | 厦门大学 | 上海交通大学 | 国家会计学院 | 厦门市教育局
大型企业
京东 | 联想集团 | 复星集团 | 恒大集团 | 雪松控股 | 伊利集团 | 一加手机
云平台
华为云 | 金山云 | 京东云 | 紫光云 | 中科曙光 | UCloud | QingCloud
运营商
中国移动 | 中国电信 | 中国联通
