企業動態

歷屆實戰攻防演習排名靠前的防守機構中，多家使用奇安信NGSOC作為主力監控平台。

實戰攻防對抗形勢日趨激烈，安全管理者難以有效地摸家底、識風險、控態勢，安全運營人員缺乏深度檢測、持續監測、精準預警、趨勢研判、追蹤溯源、運營保障等方面能力。政企機構亟需提升實戰化安全能力，加強安全運營人員能力和持續的運營體系建設。

奇安信網神態勢感知與安全運營平台（簡稱NGSOC）具備強大的實戰能力，結合奇安信專業的安全運營團隊，可以有效強化政企機構實戰化安全能力。在往屆國家級實戰攻防演習中，奇安信NGSOC曾發現多起0day攻擊事件和大量新型攻擊手法，協助防守方取得優秀的成績。歷屆演習排名前十的防守機構中，多家使用NGSOC作為主力監控平台。

圖：NGSOC安全監測大屏

下面介紹NGSOC在實戰化中的應用場景。

圖：NGSOC實戰攻防演習作戰策略

戰前準備：自查整改，強化安全基線

戰前階段，防守方的主要工作是自查整改，清查被防護業務系統涉及的資產及其暴露面，並進行修補整改。

圖：資產和脆弱性閉環管理

第一，資產和脆弱性梳理。自查整改工作的重點是對被防護業務系統的資產與脆弱性進行梳理，NGSOC能夠提供一個完整的閉環管理工具，包括資產梳理、脆弱性梳理、閉環處置、持續監測等。

第二，快速接入日誌數據。NGSOC擁有豐富的數據理解能力、可視化的交互式解析配置、靈活的部署方式，可以快速接入日誌數據，為戰中的集中監測、分析、溯源提供數據支撐。

戰中階段：攻防對抗，監測異常與0day攻擊

實戰演習期間，核心工作是攻防對抗，對威脅的監測、發現及快速處置成為關鍵。

第一，超前威脅預警和指揮。在攻防對抗中，發生大規模重大攻擊時，防守方需要第一時間瞭解是否遭受到攻擊？首個被攻擊的資產？影響了哪些部門？攻擊的範圍有多大？影響面趨勢情況？事件整體處置情況？NGSOC具備威脅超前預警功能，在發生重大攻擊時，第一時間通過平台下發威脅預警包，快速解決以上問題，對已發生和有可能發生的威脅態勢進行全面掌控。

圖：威脅預警態勢大屏效果圖

第二，攻防態勢統一指揮。NGSOC預置了眾多維度的態勢監測大屏，其中針對實戰攻防場景專門推出了攻防演練監控態勢大屏和攻擊者態勢大屏，包含安全部署情況、攻擊源監控、威脅監控、目標資產監控等信息。安全管理人員能夠從宏觀態勢縱覽整個戰場，掌握當前的攻防情況並作出指揮決策。

圖：攻防演練指揮大屏

第三，威脅快速建模。攻防對抗過程中，如攻擊方使用了新型攻擊手法或0day漏洞，繞過現有的檢測措施，實現對失陷主機的遠控。這時，防守方分析人員通過流量或日誌回溯掌握攻擊手法及過程後，可利用NGSOC的日誌關聯分析能力，通過圖形化配置界面快速構建檢測模型，實現對新型威脅的檢測告警。

第四，一鍵處置。這個場景在攻防對抗過程中非常常見，是威脅應急響應的一種必要手段。當NGSOC檢測到威脅併產生告警後，經分析人員確認後，可通過聯動處置功能模塊，對天擎（終端安全系統）、防火牆或上網行為管理網關等產品直接下發一條指令，對告警中的惡意IP、域名或URL進行封禁。

戰後覆盤：總結匯報

戰後階段，將把本次攻防演習的工作成果及不足進行彙報總結，為後續改進、完善安全運營體系提供依據。
數據與報表的支撐。演習結束後，安全運營或安全管理人員在編寫此次演習的工作總結時，可通過NGSOC上記錄的監測、分析、處置等工作成果數據，形成豐富的可視化報表，直接插入到工作總結中。

圖：NGSOC擁有豐富的可視化報表模版

同時，安全分析人員可通過NGSOC的調查分析、日誌搜索等功能模塊，結合平台接入數據，可對攻防演習中的攻擊事件進行調查回溯，分析現有監測防護體系的薄弱點，提供整改建議。

經過多年打磨，奇安信NGSOC憑藉強大的安全感知能力、優秀的使用體驗、權威的威脅情報、一流的大數據分析技術和安全可視化能力，已經成為實戰場景下的防守“司令部”，在部委、地市政府、央企、金融機構、高校等各行業超600+政企機構落地實踐。