散文網(wǎng) » 科技 »學(xué)習(xí) » 攻防演練？別慌，信舷防毒墻馬到功成

攻防演練？別慌，信舷防毒墻馬到功成

2023-07-25 10:11 作者:亞信安全 0人讀過(guò) | 我要投稿

從企業(yè)安全到國(guó)家安全，從合規(guī)需求到業(yè)務(wù)驅(qū)動(dòng)，網(wǎng)絡(luò)安全防護(hù)及建設(shè)的重要性不斷升級(jí)。為業(yè)務(wù)轉(zhuǎn)型發(fā)展，企業(yè)在數(shù)字化“高速公路”上疾馳時(shí)，更加意識(shí)到“安全為基礎(chǔ)”的必要性；為國(guó)防事業(yè)與民生領(lǐng)域的安全運(yùn)行，隨著攻防實(shí)戰(zhàn)與重保任務(wù)的不斷深入，更多的企業(yè)加入到攻防博弈的“競(jìng)技”中，從被動(dòng)構(gòu)建升級(jí)為剛需保障。隨著安全建設(shè)的升級(jí)，挑戰(zhàn)與問(wèn)題也隨之進(jìn)化：

●攻擊手段層出不窮，邊界防線易于突破

近年來(lái)攻擊隊(duì)的攻擊手段不斷提升，0day漏洞、釣魚郵件等成為演練中的“?？汀?，導(dǎo)致盡管邊界重兵把守，攻擊者仍然可以進(jìn)入內(nèi)網(wǎng)。而目前多數(shù)用戶數(shù)據(jù)中心內(nèi)部未進(jìn)行較細(xì)的安全域劃分，以及沒(méi)有充分的訪問(wèn)控制手段，一旦進(jìn)入內(nèi)網(wǎng)，攻擊者即可自由地橫移和滲透，很難被發(fā)現(xiàn)及阻止。

●內(nèi)部攻擊面過(guò)大

內(nèi)部服務(wù)器存在較多無(wú)用端口開放的情況，除此之外，內(nèi)部較大的安全域劃分以及網(wǎng)段式的訪問(wèn)控制策略，均可能導(dǎo)致內(nèi)部攻擊面過(guò)大。

●響應(yīng)處置效率提升難度大

在決戰(zhàn)階段，對(duì)于風(fēng)險(xiǎn)點(diǎn)的封堵封禁，對(duì)于安全事件的分析研判和應(yīng)急響應(yīng)，到最終的策略優(yōu)化和整改加固，每個(gè)環(huán)節(jié)都應(yīng)進(jìn)行閉環(huán)管理，但往往存在團(tuán)隊(duì)分工配合難，響應(yīng)速度慢，處置難度大的問(wèn)題。

信舷AE抗飽和攻擊，風(fēng)險(xiǎn)識(shí)別精準(zhǔn)清晰

利用部署位置優(yōu)勢(shì)，部署在防火墻前；做威脅攔截的第一道防線，減輕防火墻、IPS以及終端的壓力。
利用防毒墻的高檢測(cè)能力實(shí)現(xiàn)飽和攻擊快速清洗：防毒墻通過(guò)病毒檢測(cè)引擎、威脅情報(bào)引擎、漏洞掃描引擎，擁有百萬(wàn)級(jí)的病毒庫(kù)，云端億級(jí)的威脅庫(kù)，實(shí)現(xiàn)病毒檢出率99%；因此可以針對(duì)邊界側(cè)的飽和攻擊快速清洗攔截，降低安全告警日志數(shù)量。
利用防毒墻的高性能能力實(shí)現(xiàn)大流量攻擊業(yè)務(wù)無(wú)感知：亞信安全防毒墻推出了40G大流量設(shè)備，可實(shí)現(xiàn)威脅吞吐20G，可抵抗百萬(wàn)級(jí)的風(fēng)險(xiǎn)攻擊；同時(shí)，亞信安全防毒墻采用了獨(dú)家的內(nèi)存池化技術(shù)、高效的流式文件還原引擎以及分段式預(yù)掃描技術(shù)，真正實(shí)現(xiàn)了降低對(duì)CPU與內(nèi)存的消耗，保證時(shí)延，從而實(shí)現(xiàn)即使面對(duì)大流量也無(wú)所抗拒，保證客戶業(yè)務(wù)；
利用快速聯(lián)動(dòng)能力實(shí)現(xiàn)高級(jí)風(fēng)險(xiǎn)識(shí)別：針對(duì)APT、0day等高級(jí)攻擊行為，通過(guò)亞信安全XDR聯(lián)動(dòng)方案，對(duì)行為分析裝置快速識(shí)別惡意文件，并將IOC情報(bào)快速下發(fā)至防毒墻設(shè)備進(jìn)行攔截。
利用統(tǒng)一風(fēng)險(xiǎn)展示及處置：統(tǒng)一展示互聯(lián)網(wǎng)出口的安全風(fēng)險(xiǎn)及攻擊告警行為，安全時(shí)間處置工作由原來(lái)的30分鐘縮短至5分鐘內(nèi)完成。

聯(lián)合測(cè)試案例

為了更好的驗(yàn)證信舷防毒墻在面對(duì)飽和攻擊時(shí)的響應(yīng)能力與防護(hù)能力，信舷防毒墻與某大型科技公司客戶進(jìn)行了為期一周的抗飽和攻擊的測(cè)試。通過(guò)分析測(cè)試結(jié)果和數(shù)據(jù)，評(píng)估了AE在抗飽和攻擊方面的性能，并提供相應(yīng)的指標(biāo)和度量。

【防毒墻部署位置：部署在某大型科技公司處的防火墻前面】

該大型網(wǎng)絡(luò)科技公司的網(wǎng)絡(luò)以防火墻為界，在防火墻的內(nèi)部為公司內(nèi)網(wǎng)，外部為外網(wǎng)即公網(wǎng)。
在該公司內(nèi)網(wǎng)部署了三臺(tái)HTTP靶機(jī)，在防火墻上通過(guò)映射方式把三臺(tái)靶機(jī)暴露到公網(wǎng)，請(qǐng)紅隊(duì)模擬場(chǎng)景對(duì)靶機(jī)進(jìn)行真實(shí)的掃描/攻擊/滲透，以達(dá)到最接近飽和攻擊的效果。
把防火墻外部和內(nèi)部的流量都鏡像到探針設(shè)備，通過(guò)對(duì)比探針設(shè)備檢測(cè)到經(jīng)過(guò)信舷防毒墻之前（即外網(wǎng)）和經(jīng)過(guò)防毒墻之后（即內(nèi)網(wǎng)）威脅數(shù)量的多少，利用對(duì)比實(shí)驗(yàn)來(lái)評(píng)估防毒墻對(duì)飽和攻擊流量的過(guò)濾能力。
測(cè)試結(jié)果表明，AE能有效減少到達(dá)該科技公司內(nèi)網(wǎng)的攻擊數(shù)量，減少該公司內(nèi)網(wǎng)安全設(shè)備的告警日志，從而提高安全運(yùn)維人員在分析內(nèi)網(wǎng)安全事件時(shí)的效率。
在整個(gè)攻擊測(cè)試的全時(shí)間段內(nèi)，AE攔截率為60.04%；在攻擊高峰的8小時(shí)內(nèi)，AE攔截率為75.94%。
在DoS場(chǎng)景中，測(cè)試期間AE經(jīng)受住在DoS攻擊的考驗(yàn)，產(chǎn)品本身穩(wěn)定性得到檢驗(yàn)，資源的申請(qǐng)和釋放都符合預(yù)期。
在防端口掃描的場(chǎng)景中，到達(dá)內(nèi)網(wǎng)的攻擊數(shù)量為全部攻擊數(shù)量的4.83%，AE的攔截效率為95.17%。

攻防實(shí)戰(zhàn)案例

對(duì)于攻防演練常態(tài)化的關(guān)基單位來(lái)說(shuō)，早已使用信舷防毒墻來(lái)應(yīng)對(duì)飽和攻擊了。在某電力公司攻防演練場(chǎng)景中，防毒墻不僅實(shí)現(xiàn)了對(duì)飽和攻擊快速清洗，同時(shí)還增加了其運(yùn)維人員的處置效率。

該電力公司通過(guò)將防毒墻部署在防火墻前，攻防演練期間實(shí)現(xiàn)了可達(dá)攻擊數(shù)從200萬(wàn)次攔截，降低到邊界防火墻的8000多次，核心交換機(jī)1000次攔截，防火墻可達(dá)攻擊防護(hù)率達(dá)到99.5%。幫助該電力客戶有效攔截了病毒與虛假攻擊、掃描、低級(jí)攻擊流量等，收斂、聚焦和降低邊界安全監(jiān)測(cè)分析設(shè)備的攻擊預(yù)警；同時(shí)通過(guò)亞信安全XDR聯(lián)動(dòng)，協(xié)同云、網(wǎng)、端、邊安全防護(hù)產(chǎn)品實(shí)現(xiàn)全網(wǎng)防護(hù)，快速清洗惡意攻擊IP地址；此外AE防毒墻獨(dú)有的自定義規(guī)則功能，有效的針對(duì)0day、Nday進(jìn)行防護(hù)，自動(dòng)攔截和屏蔽外部威脅流量，并且提高檢測(cè)分析和應(yīng)急處置人員的工作效率。

信舷AE防地址掃描&防端口掃描

●防止攻擊者通過(guò)對(duì)目標(biāo)主機(jī)進(jìn)行端口掃描和對(duì)指定網(wǎng)段進(jìn)行IP地址掃描，從而獲取目標(biāo)主機(jī)開放了哪些端口和可用的主機(jī)列表；

●防端口防地址掃描實(shí)現(xiàn)暴露面收斂，提高風(fēng)險(xiǎn)識(shí)別的效率。

信舷AE海量IP封堵，打造堅(jiān)不可摧的安全防御

亞信安全信舷AE支持海量IP封堵功能，最多可導(dǎo)入20萬(wàn)個(gè)IP地址，支持批量導(dǎo)入，同時(shí)支持IPv4和IPv6，對(duì)源IP和目的IP同時(shí)進(jìn)行封堵，此優(yōu)先級(jí)高于其他黑/白名單。用戶如果需要啟用海量IP封堵，勾選“啟用”，下載模板文件，根據(jù)格式要求自定義需要封堵的IP。