伴随數字化轉型的全面深入,網絡安全戰場被無限延伸,網絡攻擊手段從(cóng)過去的“直接随機、簡單粗暴”轉變爲“目标精确、持久隐藏”,災難性會(huì)更加嚴重與頻繁。如果還僅僅依賴傳統本地特征庫的靜态檢測方式,來(lái)抵禦新型網絡攻擊,往往将面臨防禦失效的困境。
因此,實戰攻防演習成爲推進網絡安全建設的必要需求。近日,360政企安全集團就通過真實還原一場爲期3天的實戰攻防演習,爲國家、政府、行業和(hé)企業能(néng)夠構建起“能(néng)打實戰”的安全能(néng)力體系提供參考借鑒!
在360政企安全實戰演習的第1天中,攻擊方便企圖通過發起大(dà)規模的釣魚郵件攻擊,以尋求深入防守邊界的跳闆。然而,防守方經過快(kuài)速的溯源分析和(hé)樣本分類,并基于360終端安全管理(lǐ)系統的主動威脅發現(xiàn)和(hé)攔截能(néng)力,高(gāo)效完成整個應急響應的閉環,最終成功守住終端安全防線。
在此過程之中,360終端安全管理(lǐ)系統發揮出的響應能(néng)力不可或缺,真正助力傳統終端安全管理(lǐ)從(cóng)“合規驅動”走向“能(néng)力驅動”,能(néng)夠在浩如煙(yān)海的網絡空(kōng)間中發現(xiàn)到(dào)網絡威脅的蛛絲馬迹,并有效增強終端面對(duì)各類威脅的檢測對(duì)抗能(néng)力。
如今,我國攻防實戰演練開(kāi)幕在即,360政企安全集團特别打造了(le)一份關于360終端安全管理(lǐ)系統的實用(yòng)“秘籍”,幫助各企業高(gāo)效“備戰”。開(kāi)放(fàng)式的網絡環境下(xià),各類終端、設備和(hé)業務系統與互聯網直接關聯,惡意程序和(hé)腳本可輕松通過釣魚網站(zhàn)、發送釣魚郵件、網頁挂馬等多種主動或被動的手段突破内網。● 360終端安全管理(lǐ)系統應對(duì)策略:
1.惡意代碼檢測:建立雲查殺引擎、鲲鵬引擎、QVM Ⅱ人工(gōng)智能(néng)引擎以及 QEX 腳本引擎構造的立體協同檢測機制,持續有效對(duì)抗木(mù)馬蠕蟲、惡意軟件、勒索病毒、APT 攻擊等各類威脅。
2.入口防護:圍繞終端與外(wài)部的信息交互接口進行定向監測與防護,并通過對(duì)惡意鏈接進行信譽庫比對(duì),對(duì)文(wén)件下(xià)載及傳輸安全性進行監測。3.浏覽器及上(shàng)網防護:動态分析結合靜态匹配技術方案,以最低(dī)的資源消耗,實現(xiàn)對(duì)惡意鏈接的精确檢測。4.系統防護:建立包含攝像頭防護,鍵盤記錄防護,文(wén)件系統防護,驅動防護,注冊表防護等從(cóng)驅動到(dào)系統的縱深防護機制。出于安全保密需要,特定的政企單位或者機要部門(mén)需要在隔離網環境辦公,切斷跟外(wài)部互聯網的聯系。但(dàn)如果存在非法連接外(wài)網或指定網絡的行爲,安全風(fēng)險将油然而生。●360終端安全管理(lǐ)系統應對(duì)策略:
1.違規外(wài)聯管控:通過外(wài)聯探測功能(néng),以域名解析、PING 地址探測、TCP 鏈接檢測、IP/MAC綁定等方式,及時(shí)發現(xiàn)終端非法外(wài)聯、非法出口聯網行爲,封堵基于IP或MAC方式的網絡繞過行爲,并可對(duì)違規終端執行斷網處置。
2.網絡控制:提供基于IP、端口和(hé)域名三個維度通訊阻斷能(néng)力,在攻擊預防階段,降低(dī)風(fēng)險暴露面。當遇到(dào)緊急病毒事(shì)件時(shí),能(néng)夠有效抑制感染範圍。3.桌面加固:通過對(duì)終端賬号密碼強度、屏保和(hé)桌面壁紙(zhǐ)的策略控制,實現(xiàn)用(yòng)戶桌面的統一管理(lǐ),實現(xiàn)安全水(shuǐ)平的顯著提升。對(duì)于使用(yòng)Windows7系統的政企用(yòng)戶而言,系統的停服帶來(lái)了(le)相當大(dà)的安全困擾。●360終端安全管理(lǐ)系統應對(duì)策略:
1.系統加固:通過内存保護檢查、堆噴射防護、零地址防護、棧置換、内核攻擊防護以及系統調用(yòng)過濾等多種方式,在操作(zuò)系統層面進行安全加固。2.應用(yòng)加固:應用(yòng)程序漏洞往往集中在Office、IE 浏覽器和(hé) PDF 閱讀器等常用(yòng)辦公工(gōng)具上(shàng),以沙箱方式啓動這(zhè)些(xiē)高(gāo)頻應用(yòng),可有效避免宿主終端的威脅影響。3.熱補丁修複:針對(duì)高(gāo)危漏洞,提供熱補丁修複能(néng)力。盡量縮減漏洞暴露時(shí)間,基于免重啓的方式實現(xiàn)終端便捷防護。客戶端安裝成功後,終端需要上(shàng)報(bào)自(zì)身的資産信息,包括資産類型、資産用(yòng)途、歸屬部門(mén)、使用(yòng)人、電話(huà)、郵箱等,這(zhè)些(xiē)往往是攻擊方的主要靶标。● 360終端安全管理(lǐ)系統應對(duì)策略:
1.硬件資産管理(lǐ):支持計(jì)算(suàn)機名稱、硬件配置、cpu/内存、硬盤等配置變動告警。2.資産登記:新增資産登記類别,設置資産類型、資産用(yòng)途、歸屬部門(mén)、使用(yòng)人、電話(huà)、郵箱等信息要求終端登記,并通過資産IP等信息自(zì)動分組。系統的缺陷或漏洞随時(shí)都可能(néng)造成不可挽回的業務崩潰,因此,未修複漏洞依然是很(hěn)多政企機構的主要安全問題。● 360終端安全管理(lǐ)系統應對(duì)策略:
1.補丁管理(lǐ)架構:通過漏洞檢測模塊檢查終端系統、應用(yòng)是否存在漏洞,将漏洞信息第一時(shí)間彙總展示給管理(lǐ)員後,管理(lǐ)員統一下(xià)發漏洞修複策略,對(duì)終端進行漏洞修複。2.漏洞修複:全面支持對(duì)操作(zuò)系統漏洞、Office高(gāo)危漏洞、第三方軟件漏洞的修複。360終端安全管理(lǐ)系統提供互聯網環境典型部署和(hé)隔離網環境典型部署兩種部署方式,同時(shí)支持結合使用(yòng)。360終端安全管理(lǐ)系統終端在網絡内部部署管理(lǐ)控制平台和(hé)終端,将通過管理(lǐ)控制平台連接到(dào)360安全大(dà)腦(nǎo)升級服務器進行升級、更新等。管理(lǐ)控制平台具有緩存功能(néng),同樣的數據文(wén)件隻會(huì)下(xià)載一次,以減少對(duì)出口帶寬的影響。
具體部署過程如下(xià):
1、安裝360終端安全管理(lǐ)系統管理(lǐ)控制平台;360終端安全管理(lǐ)系統管理(lǐ)控制平台負責制定安全策略,進行終端殺毒和(hé)修複漏洞等安全操作(zuò)。使用(yòng)隔離網更新工(gōng)具,定期從(cóng)360安全大(dà)腦(nǎo)下(xià)載病毒庫、木(mù)馬庫、漏洞補丁文(wén)件,對(duì)管理(lǐ)控制平台進行更新。
1、安裝360終端安全管理(lǐ)系統管理(lǐ)控制平台;4、定時(shí)登錄管理(lǐ)控制平台,查看(kàn)各終端安全情況;5、下(xià)發統一殺毒、修複漏洞等策略,确保終端安全;6、定期使用(yòng)隔離網更新工(gōng)具下(xià)載數據,并更新到(dào)管理(lǐ)控制平台。
