在攻防演練過程中,作為防守方��,監(jiān)控攻擊事件���、溯源分析反制和應(yīng)急處置是重要工作。其中溯源分析反制�����,對安全人員的能力要求很高���,是安全人員攻防能力的核心體現(xiàn)�����。但往往因?qū)I(yè)能力限制����,防守方在溯源分析反制的過程中����,對信息的排查和攻擊事件的還原,需要耗費(fèi)大量的時(shí)間和精力��,影響整體安全工作效果和效率。
基于這種情況�,盛邦安全網(wǎng)絡(luò)安全單兵偵測系統(tǒng)(RayBox)上線事件調(diào)查功能,可以幫助用戶方安全人員大幅提升信息排查的效率和準(zhǔn)確性�����。
RayBox可自動對失陷主機(jī)的系統(tǒng)信息�、惡意文件、主機(jī)操作日志����、惡意進(jìn)程、網(wǎng)絡(luò)鏈接����、后門、賬戶權(quán)限�����、配置變更日志�����、webshell等風(fēng)險(xiǎn)項(xiàng)進(jìn)行檢測���,返回檢測結(jié)果及疑似攻擊方在失陷主機(jī)上的行為記錄����。除了對本地失陷主機(jī)進(jìn)行事件調(diào)查之外,在反制過程中�,通過反制拿到的目標(biāo)往往都屬于攻擊方的跳板�����,在跳板中使用事件調(diào)查同樣也可以協(xié)助安全人員快速追蹤溯源和抓取攻擊方的真實(shí)信息�����。
系統(tǒng)通過將安全事件攻擊信息排查和溯源標(biāo)準(zhǔn)化�����、自動化��、規(guī)范化��,可以幫助安全人員快速分析攻擊事件�,提煉攻擊線索,還原攻擊路徑�����,協(xié)助開展溯源取證工作,從而提高溯源分析反制工作的效率��,有效解決人員專業(yè)能力瓶頸問題�����。
RayBox事件調(diào)查功能除了能夠在攻防對抗中發(fā)揮重要作用�����,也可以應(yīng)用在日常安全檢查工作中��。目前的安全檢查大多數(shù)以安全漏洞掃描為主���,但是當(dāng)下的攻防對抗環(huán)境已經(jīng)從個(gè)人的“單打獨(dú)斗”變成了大規(guī)模����、有組織的團(tuán)體攻擊行為���,并且往往都具有更強(qiáng)的隱蔽性和潛伏性��。因此�����,單一的安全漏洞掃描已無法應(yīng)對當(dāng)下對高級威脅的檢測需求�����,難以發(fā)現(xiàn)內(nèi)網(wǎng)已失陷或潛伏的安全風(fēng)險(xiǎn)���。
RayBox事件調(diào)查功能�,能夠?qū)ζ髽I(yè)資產(chǎn)進(jìn)行基于黑客攻擊路徑分析的安全自檢�����,檢測目標(biāo)的系統(tǒng)信息��、惡意文件�����,監(jiān)測系統(tǒng)的開放端口��、惡意程序�、后門�����、webshell,分析系統(tǒng)的賬戶日志����、操作日志、安全日志�����、瀏覽器訪問記錄�、U盤插拔記錄等;在進(jìn)行安全自檢后�,可分別針對定向入侵行為及橫向入侵行為進(jìn)行有序完整的檢測排查;并利用rootkit����、NPS、公鑰檢測����、隱藏文件、隱藏進(jìn)程等檢測手段����,提供入侵的檢測鏈條關(guān)聯(lián)分析和入侵行為排查���,最終形成和輸出檢測結(jié)果及疑似入侵記錄等報(bào)告。
網(wǎng)絡(luò)安全的本質(zhì)在對抗����,對抗的本質(zhì)是攻防兩端能力的較量。溯源反制是網(wǎng)絡(luò)安全建設(shè)中降低安全損失的必備手段之一����,也是安全人員攻防能力的集中體現(xiàn)。但溯源反制對安全人員專業(yè)能力要求非常高�,而且培養(yǎng)起來非常耗時(shí)。
盛邦安全網(wǎng)絡(luò)安全單兵偵測系統(tǒng)(RayBox)����,可以對攻防對抗中的溯源反制提供有效支持�����,降低安全人員事件調(diào)查取證門檻���,提升溯源反制的效率��,有效提取安全事件的取證信息并還原�����,協(xié)助用戶做到安全體系建設(shè)的閉環(huán)管理�。
