设为首页加入收藏
群晖首页图片
网站标志
新闻详情
 
当前位置
新闻搜索
 
 
深信服“三二一”模式,如何有效提升攻防实战能力?
作者:管理员    发布于:2020-04-26 15:37:12    文字:【】【】【

为了不断强化关键信息基础设施系统的网络安全防护能力,网络安全攻防演练已经成为全球检验网络安全实战能力的常态化方式:


2019年3月美国国防部的“网络闪电2019”网络实战演习;

2019年4月欧盟的“EU ELEx19” 网络实战演习;

2019年6月美欧多国的 “军刀卫士19” 网络实战演习;

……

随着网络安全攻防演练的常态化,用户在构建网络实战防护能力时仍面临许多挑战。结合现有的安全标准规范和行业相关实践,各政企事业单位应如何落地实践呢?


攻防对抗趋势下
实战能力成为网络安全建设的重要目标

体系化的安全建设能够保障安全建设的水平、提升建设的“完善程度”、满足全面的建设要求,且针对大多数攻击行为都是有效的。

但目前网络空间态势复杂,0Day、定向攻击、高级可持续性攻击等针对性的攻击手法,已经成为攻防对抗中常用的手段。如何在实际攻防对抗环境中具备实战能力,成为了所有行业和组织单位网络安全建设的重要目标。

实战能力构建的现状与挑战

深信服安全专家认为,网络实战能力的构建,离不开体系化的防御能力和常态化的运营能力,从目前大量的实践案例来看,一些组织单位在构建以上安全能力的过程中普遍面临下述挑战:

(1)补丁式建设,难以形成体系化防御能力

受制于业务规模、资源投入等因素,大部分组织的网络安全都是“头痛医头、脚痛医脚”,逐步完善安全建设。这在战术上是合理的,但在战略上由于缺乏初期的“整体规划,分步建设”,导致往往会存在以下问题:

安全建设相对零碎,容易形成木桶短板,留给攻击者可乘之机;

安全产品各自为战,缺乏信息共享和协同响应,防护效率低下。

(2)阶段性外援,难以提升常态化运营水平

应对攻防演练,最常被组织单位采纳的措施是借助外部专业安全技术人员,在短时间内快速提升网络安全运营能力;然而如今攻击日趋专业化、密集化、随机化,攻防演练与日常所面临的攻击强度差距持续缩小,导致上述模式存在以下问题:

短期外援只能应急,演练结束后“人走茶凉”,无法提升常态化运营水平;

长期聘请安全人员驻场成本过高,其效果很大程度上依赖于个人能力高低;

组织单位自身培养网络安全技术人员的周期长、成本高、见效慢。


实战能力构建的破局之道

深信服安全专家建议,组织单位可以通过以下 “三二一”模式打造体系化安全建设,提升网络安全实战防护能力:

1. “三个重点”,提升安全基线

包含等级保护“一个中心、三重防护”核心思想、PDR模型等在内的安全建设方法论,都提到了以下三个关键点:

风险消除:通过收敛对外暴露面、修复高危漏洞、加固弱口令等措施,尽可能降低被攻击者嗅探和入侵的概率;如果条件允许,可主动搜索暴露在Github、网盘、文库等公共平台的内部关键信息并迅速整改;

立体保护:基于等级保护“一个中心、三重防护”核心思想,对信息系统所涉及的网络、主机、应用、数据等资产进行全面加固,包括补齐缺失的安全软硬件、优化策略配置、升级安全规则模型等,刷新整体防护效果;

监测响应:构建覆盖全网的威胁监测与响应能力,确保在边界被突破后尽早发现威胁并迅速处置,避免损失扩大,即尽量缩小Dt(检测时间)和Rt(响应时间)。目前较为高效的方式是SOAR技术的应用,即安全编排、自动化与响应,通过智能化检测模型还原攻击全貌,并联动各安全产品实现协同处置,大幅缩减检测与响应的时间。

2. “二项加强”,强化关键点防护

经典的安全建设方法论能够在宏观层面上对安全建设提出指导性建议,但在具体实战中,缺乏对于不同资产安全投入主次的指导,往往导致在网络关键点的保护不足,最终被集中火力突破。因此在安全基线之上,应当结合组织的实际业务特点,对关键点进行防护强化:

强化关键系统防护。攻击者一旦突破内网会优先选择受害者关键系统作为下一步攻击目标,如认证服务器、集中管理平台、域控服务器等,因此各组织应对关键系统提供额外的安全防护措施。

强化关键路径防护。除常规路径外,攻击者还会利用旁路实施攻击渗透,如下属单位与总部之间的内部网络,或获得内部用户的VPN账号等。因此各组织应对关键路径加强防护,如禁止无权限用户访问关键系统、细化下属单位与总部之间的访问控制等。

3. “一个中心”,构建常态化运营

网络安全的本质是对抗,对抗是持续化的过程,需要在提升安全基线、加强关键防护的基础上,建立安全运营中心并主动、持续地开展安全运营工作,并借助SOAR技术帮助人员提升安全运营效率,更好更快地执行信息收集、分析、研判与处置的流程,以确保防御能力的有效性。

相比于自运营模式下人员培养的成本高、周期长、见效慢等问题,联合运营模式更加符合当前组织的实际需求。联合运营指组织单位通过购买安全运营服务,无需对现有IT安全架构进行极大的调整,也无需花费雇佣第三方安全服务人员长期驻场的高昂成本,即可迅速复用安全运营服务商的云SOC以及安全专家团队开展安全运营工作,为业务提供7*24小时的安全保障,同时安全专家的专业能力有足够保障。这种模式建设成本适中,见效快,效果好,比较适合大多数组织单位。联合运营模式最大的优势在于能够以比较低的成本,通过复用安全专家团队,以更具经验的流程确保全天候的安全保障能力。

IT解决方案

移动办公安全解决方案  移动应用安全解决方案

在线业务优化解决方案  在线业务安全解决方案

企业数据安全解决方案

分支组网优化解决方案

业务容灾备份解决方案

互联网安全管控解决方案

新型智慧城市解决方案

政务数据中心建设方案  政务专网建设解决方案

互联网安全优化方案 政务移动安全接入方案

业务全网等级保护三级整改建设案例 业务内网等级保护三级整改建设案例

电子政务专网应用加速及传输优化解决方案

政府信息中心上网行为管理解决方案

企业办公无线解决方案  电子商务网站优化解决方案

企业办公桌面云解决方案  数字校园解决方案

桌面云解决方案  数字图书馆解决方案

业务与支撑系统安全  随势而变的ICT

云资源池安全与优化  广电网络解决方案

网络安全等级保护(等保2.0)解决方案

等保一体机解决方案  云安全解决方案

产品应用场景:

终端安全建设 办公网安全建设 数据中心安全建设

移动安全建设 构建网端云敏捷安全架构

关键业务上云 涉密虚拟化建设 私有云建设

分支云建设 容器云建设 托管专属云建设 同架构混合云建设

数据中心容灾备份 云数据中心建设 改善网络访问体验

服务器负载均衡 双活数据中心  IPv6改造

替换传统PC终端 云数据中心统一存储 海量非结构化数据存储

多分支组网 全球访问加速

企业级数据中心新建/改造

业务系统新建/改造

关键应用上云  容灾备份云

开发测试云  容器云

IT价值:

运维 稳定 安全

安全品类:

边界安全 云安全  终端安全 威胁检测

身份与访问安全 安全审计与运营

云产品HCI超融合一体机:

配置管理

资源监控

分布式防火墙

异构虚拟化管理

CDP及数据备份

集成docker

集成aSEC

产品方向:

安全类

云镜YJ 下一代防火墙NGAF 上网行为管理AC SSL VPN 终端检测响应EDR 合规类产品  EMM 安全感知平台  XSEC  WEB应用防火墙WAF 云眼/云盾 /云图 上网安全服务平台ISSP 等级保护 安全服务

云计算类

超融合 HCI 超融合云管平台aCMP 监控中心aMC 涉密虚拟化sCloud

基础架构类

桌面云aDesk 应用交付AD SDWAN-WOC SDWAN-MIG 集中管理平台SC&BBC SDWAN-aBOS SD-WAN 企业级分布式存储EDS SDW-R

云产品核心优势:

架构更简单

扩容更便捷

应用部署更简单

数据更可靠

稳定高效承载关键业务

多维度的安全防护能力

更高效的安全策略管理

可视化极简运维

产品:国行原装正品深信服科技官网

深信服官网:sangfor.com , 深信服科技官网

服务区域:

国外:新加坡  印度尼西亚  马来西亚  泰国  菲律宾

中东  美国  意大利    巴基斯坦

国内:

安徽  广东  广西  贵州  甘肃  辽宁  天津

北京  海南  河北  黑龙江  河南  湖北  湖南  内蒙古  宁夏  云南

重庆  江苏  江西  吉林  青海  浙江

福建  陕西  山东   上海  四川  山西         西藏

产品分类:

企业级安全

边界安全  下一代防火墙AF

云安全  信服云盾  信服云眼

重构入云业务安全边界  威胁检测  安全感知平台SIP

安全解决方案

网络安全等级保护(等保2.0)解决方案  云安全解决方案

网端云敏捷安全架构

终端安全

终端检测响应平台EDR  企业移动管理EMM

身份与访问安全

上网行为管理AC  SSL VPN  硬件VPN  EasyConnect

行为感知系统BA

安全审计与运营

数据库安全审计DAS

云计算

企业级云aCloud  超融合aCloud

新型智慧城市解决方案  服务器虚拟化

云管平台aCMP  大数据智能平台

超融合软件  超融合一体机

基础架构

桌面云aDesk  应用交付AD

软件定义统一存储系统EDS

一体化网关MIG  广域网优化WOC  安全SD-WAN2.0

下一代防火墙具体型号:

AF- 1000-D420  AF-1000-A 300

AF- 1000- D440  AF-1000-A 400

AF- 1000- D600  AF-1000- B400

AF- 1000- E440  AF-1000-C 600

AF-1 000- E800

企业级无线方案适用机型:

无线AC控制器

千兆无线控制器NAC-6100

千兆无线控制器NAC-6200

千兆无线控制器NAC-6300

千兆无线控制器NAC-6380

千兆无线控制器NAC-6600

万兆无线控制器NAC-7100

万兆无线控制器NAC-7200

万兆无线控制器NAC-7300

万兆无线控制器NAC-7600

小型无线控制器HG-2005-P

软件控制器SAC-1000

室内无线AP

11n型SMB无线接入点NAP-1500

11ac型无线接入点NAP-1600

11ac wave2型无线接入点NAP-1700

11n型SMB无线接入点NAP-2400-S

11ac wave2双频无线NAP-3600(MU)

11ac wave2双频无线接入点NAP-3700

11ax 高性能无线接入点NAP-3720-X

11ac蓝牙无线接入点NAP-4650

11ac wave2智能天线无线NAP-5600

11ax 高性能无线接入点NAP-5820-X

11ac wave2智能天线无线接入点SDU-1800

室外无线AP

11ac无线接入点NAP-8000

11ac无线接入点NAP-8000(L)内置天线

11ac无线接入点NAP-8000(L)外置天线

11ac wave2无线接入点NAP-8100

11ac wave2无线NAP-8100(L)内置天线

11ac wave2无线NAP-8100(L)外置天线

11ax 高性能无线接入点NAP-8220-X

面板无线AP

802.11n面板NAP-2800-P

802.11ac面板NAP-3500-P

802.11ac wave2面板NAP-3560-P

802.11ac wave2面板NAP-3600-P(MU)

特殊无线AP

NAP-1720-LTE室内wave2无线接入点

室外4G全网通无线接入点NAP-8100(L)-LTE

NAP-4100V全网通移动车载无线AP

NAP-3620电子书包场景专用无线AP

NAP-3620(R3)高密环境专用三频无线AP

NAP-3680医疗场景零漫游无线AP

11ac wave2高密定向无线NAP-3700(D)

NAP-8100工业级防爆无线AP

无线网络相关配件:

网口防雷器

天馈防雷器

室内专用美化天线

室外专用定向天线

室外专用全向天线

超远距离中继天线

成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商

无论您是解决企业级安全、云计算,还是IT基础架构,都可以使您的IT更简单、更安全、更有价值

成都科汇科技有限公司

地址:成都市人民南路四段1号时代数码大厦18F

电话:400-028-1235

QQ:    1325383361

手机:180 8195 0517(微信同号)

脚注备案信息
群晖技术群