攻防|“兵器譜”:實戰攻防演習九大利器之一——天眼
釋出日期:2021-03-26 作者: 奇安信
“為了和平,我們需要武器。”——中國原子彈之父鄧稼先
2021實戰攻防演習“兵器譜”
無論是戰爭還是和平年代,武器都是國家安全的重要保障。在網絡空間也是如此,習近平總書記曾指出,“網絡安全的本質是對抗,對抗的本質是攻防兩端能力的較量”。而技術硬核的產品裝備,無疑是防守能力的重要保障。
本期《網安26號院》重磅推出《實戰攻防演習“兵器譜” 》,一共精選了奇安信旗下天眼(新一代威脅感知系統)、雲鎖(服務器安全管理系統)、NGSOC(態勢感知與安全運營平台)、天擎(終端安全管理系統)、郵件威脅檢測系統、蜜罐(網神攻擊誘捕平台)、SOAR(安全編排自動化)、開源衞士、實戰攻防演習平台等九款產品及解決方案,旨在為每位安全從業人員提供最實用的裝備指南。
其中,天眼被譽為實戰攻防“標配武器”,物如其名,任何異常流量、網絡攻擊、高級威脅等都逃不過它的“法眼”;
雲鎖幫助客户構建面向實戰化的服務器安全防護能力,為核心業務及數據提供一個固若金湯的防護;
NGSOC憑藉強大的安全感知能力、一流的大數據分析技術和安全可視化能力,成為實戰場景下的防守“司令部”;
天擎作為奇安信安全家族的老大哥,集防病毒、終端安全管控、終端准入、EDR等功能於一體,在實戰化場景下不可或缺。
郵件威脅監測系統雖一向低調,但可以抵禦“老生常談”卻屢試不爽的釣魚郵件攻擊,避免讓防守方在陰溝裏翻船;
蜜罐(攻擊誘捕平台)將“欺騙防禦”演繹到極致,完美詮釋“兵不厭詐”的軍事哲學;
SOAR在實戰中如同一位交響樂指揮大師,讓各種安全產品構成的樂隊各施所長,協作演奏出一曲曲優美樂章,並可將安全處置效率提升十倍以上;
開源衞士實現了“正本清源”,從源頭阻斷來自軟件供應鏈攻擊的隱患;
而實戰攻防演習平台可提供與實戰效果一致的仿真預演,更強大的實戰攻擊團隊服務,以及一站式整體解決方案。
“沙場秋點兵,演習驗真功”。從被動防禦到主動防禦,從事後補救到事前防控,從單兵作戰各自為陣到產品協同無縫聯動,新的攻擊手段、防護技術層出不窮,防守方和攻擊方的對抗交鋒更加激烈。“兵器譜”上的主角們有更出色的表現。
兵器一 實戰攻防演習標配利器:奇安信天眼
在安全服務圈流行着一種説法,“無天眼,不實戰!”充分體現了天眼在實戰化攻防演習中的重要地位。那麼,天眼為何被認為是攻防演習中必不可少的標配,並被列為本次“兵器譜”之首呢?本文就來看看天眼在實戰中能發揮哪些作用。
天眼的全稱是奇安信新一代安全感知系統,它以攻防滲透和數據分析為核心競爭力,聚焦威脅檢測和響應,為安全服務和分析人員提供一套在監測預警、威脅檢測、溯源分析和響應處置上得心應手的威脅檢測平台。
圖 天眼威脅感知系統
和安服組成“最佳CP”攻防演習屢立奇功
好武器,用起來才是關鍵;而好不好用,一線人員説了算!
在天眼在攻防演習中之所以擁有優異口碑,注重實戰效果,注重一線人員的操作是重要原因。
從2018年開始,天眼與安全服務體系進行了整合,奇安信內部將這次調整戲稱為這是天眼與安服的聯姻。事實證明,這次聯姻非常成功,它讓天眼最快的速度,滲入到了廣大政企客户攻防對抗的現場一線,產品的實戰化水平和防守效果迅速邁上大台階。天眼、安服可以説是一對“最佳CP”,兩者聯袂,立下戰功無數。
在2020年某部委的實戰攻防演習中,通過天眼的日誌和流量分析,防守方快速溯源了整個APT攻擊行為,最終確定是海蓮花。
在某銀行單位的實戰攻防演習中,防守方反饋,天眼的全流量檢測模式比其他同類產品更加徹底,很好解決漏報難題。
更重要的是,天眼的威脅狩獵圖非常直觀,攻擊方何時攻進,訪問哪些服務器,對哪些設備攻擊,都可以一目瞭然。
更精準的威脅檢測 破解“誤報”、“漏報”兩大難題
長期以來,讓安全人員最頭疼的難題,莫過於“誤報”和“漏報”。
IDC的最新報告調查了350位內部人士、MSSP安全分析師和管理人員,結果顯示,由於廣泛的“警報疲勞”導致警報被忽略,以及擔心漏報(遺漏安全事件),安全分析師的壓力不斷增加,而生產力則在下降。在攻防演習中,防守方面臨海量“誤報”會忙的焦頭爛額,而“漏報”更讓攻擊方有機可乘、輕鬆攻入。
與傳統檢測產品基於自身流量發現威脅不同,天眼基於自主研發的QNA大數據人工智能威脅檢測引擎,創新性的從互聯網數據進行發掘和分析,極大提升位置威脅和攻擊的檢出效率,達到更高的準確率和更低的誤報率。
隨着攻防演習的不斷進階,新型攻擊手法層出不窮,利用ODay漏洞攻擊屢見不鮮。為此,天眼特別增強了行為分析功能,通過多年積累的成功經驗對行為分析進行分類,主要包括DNS分析、非常規服務分析、郵件行為分析、登錄行為分析等超過30中場景,顯著增強了未知威脅的檢測準確性。
為了提升防守方效率,天眼採用了雙向會話WebIDS檢測引擎,只對攻擊成功進行告警,從而大大降低了無效報警數量,讓管理人員可以集中應對有效的告警事件。
同時,天眼對沙箱技術進行升級,從操作系統層升級到CPU指令層級,強大的細粒度檢測能力讓沙箱逃逸無所遁形。
更全面的溯源分析 實現威脅狩獵可視化
在攻防演習過程中,防守方必須要知道幾個答案:誰攻擊了我的什麼?使用了什麼手法?竊取了什麼信息?
因此,安全人員需要基於攻擊鏈的視角,通過可視化方式,重現整個攻擊過程。
對此,天眼具備強大的告警關聯分析能力,可以告警和日誌進行關聯產生精準攻擊事件,為精準封禁提供依據,告警和流量日誌智能關聯分析引擎。
同時,它具備全包存儲和分析的取證能力,並提供線索可視化圖譜拓線分析能力(威脅狩獵),能為企業用户呈現一次攻擊的完成過程,幫助防守方對網絡攻擊進行回溯和深度分析。
圖 天眼威脅狩獵可視分析系統
更快速的響應處置 效率提升10倍以上
實戰攻防強調“兵貴神速”,一旦發現威脅告警,防守方需要最短時間能完成處置,避免攻擊得手。
天眼率先將SOAR技術應用於告警的閉環處理,通過自動化編排,讓響應處置效率獲得了10倍以上提升,對於需要重複性持續性的操作,提升的效率更是數以百倍計。
同時,天眼還能和其他安全產品實現無縫聯動,提高響應效率。其中包括通過與防火牆進行NDR聯動,及時在邊界阻斷威脅;通過與終端進行EDR聯動,及時處置失陷主機;通過與流量傳感器聯動,及時阻斷異常流量;與郵件威脅檢測系統聯動,及時處置異常郵件等等。
圖 天眼威脅事件態勢呈現
更好用的產品體驗 小白也能看得懂、用起來
2020年天眼獲得多項榮譽,在數世諮詢中獲得應用創新力和市場執行力“雙第一”,並榮膺全球權威諮詢機構Frost&Sullivan的“2020年中國威脅檢測與響應(TDR)市場領導獎”,以及美國知名權威網絡安全雜誌《Cyber Defense Magazine》(簡稱CDM)頒發的“Next Gen(下一代)”大獎。
在實戰攻防演習規模不斷擴大、走向常態化的浪潮之下,在公安部提出了的“三化六防”新思想的背景下,為實戰而生的天眼,已經成為各大政企單位攻防演習中不可或缺的標配。