“兵者百岁不一用,然不可一日忘也。”当前,网络空间安全态势恶化,攻防博弈不断加剧,攻防演练需要赋予实践化安全运营保障能力。为践行常态化攻防演练新理念,绿盟科技基于多年攻防经验,构建体系化安全防护能力,为客户实现“场景化防护,智能化分析,自动化响应”的可持续安全运营保障。
绿盟科技中台保障服务
绿盟科技中台保障服务依托 20 年来的经验沉淀,在攻防演练前期统筹指挥全国进行安全防护体系建设、产品风险闭环、人员能力提升等;中期建立以情报驱动为核心,协同研判分析、攻击溯源、应急响应、产品支持四大能力模块的一体化安全保障体系,以点带面,实现“一点发现,全国风险闭环”的联防联控,通过流量回溯,快速评估影响面,并从中提取攻击手法,对非法攻击者或攻击组织进行画像,实现全面防护和精准打击;最后,对中台保障服务期间的数据进行提炼和能力转化,推动企业保障方案优化以及网络安全建设。
启动阶段:团队组建,理清资产
前期:专项检查,清理风险
拉通调度,做好攻防演练的一切准备
绿盟科技保障团队将依据过往总结的重点专项对防守单位的资产进行全面的风险检查。
中期:云地协同,高效处置
统筹指挥,守好每一道防线
由中台统筹组进行指挥决策和管理调度,面向全国保障项目提供情报运营能力、研判分析能力、攻击溯源能力、应急响应能力及产品支撑能力,借助于“中台一体化平台”实现全国保障数据实时展示和动态分析。
研判分析
中台集结绿盟科技资深技术专家, 7*24 小时轮班值守,为全国项目组提供攻击研判、漏洞研判、态势研判以及消息研判等能力。
攻击研判能力:攻击事件辅助研判、处置建议以及攻击者信息溯源;
漏洞研判能力:突发漏洞复现与分析,提供漏洞情报、漏洞防护,漏洞排查手段;
态势研判能力:重大攻击应急事件二次分析,提供攻击防护和排查手段;
消息研判能力:辅助小道消息(如:漏洞信息、非法攻击团伙信息等)真实性研判
攻击溯源
中台依托绿盟科技三大实验室对于 APT、黑灰产组织的研究和监测,实时捕获非法攻击组织动向,结合溯源前置方案,主动出击,诱捕非法攻击者或攻击组织。同时,为全国项目组进行 7*24 小时攻击溯源能力支撑,一旦发现真实恶意攻击事件,立即开展溯源分析,定向追踪和抓捕。
大数据分析能力:基于海量日志依托 NTI 大数据威胁情报进行关联威胁分析,快速追踪,快速定位;
社工追踪能力:基于社工案例,针对性反向诱导追溯;
APT 追踪能力:基于境外威胁 IP 的关联性分析,快速追踪 APT 攻击;
威胁追踪能力:对威胁 IP 进行常态化的关联分析追溯。
应急响应能力
中台依托绿盟科技应急响应中心(CERT),提供 7*24 小时应急响应服务。
后门提取:对系统或应用中的后门进行排查提取,如:病毒木马、系统后门、WebShell脚本等;
样本分析:对捕获的样本进行动态与静态分析,包括:X86、 ARM、 MIPS 等多平台样本;
日志分析:对日志进行数据分析,如:web 日志、操作系统日志、应用日志、设备相关日志等;
攻击溯源:对事件中涉及攻击者进行溯源,包括:IP 地址、地理位置、个人信息等逆向分析能力。
产品支撑能力
中台依托于 400 电话支持反馈渠道,以技术支持二线代表做紧急重大问题接口人进行7*24 小时待命,背后集结多产品各产研接口人、产品维护代表,以保障产品稳定运行,及时检测防护和快速事件回溯。
故障排查:产品问题咨询解答,产品故障排查处置;
检测防护:自定义防护规则添加支持,提供检索回溯条件配置文档,新增漏洞检测升级包发布。
总结:成果沉淀,持续提升
上帝视角,经验沉淀和能力转化
总结阶段:由中台牵头对全国保障数据进行梳理与汇总,形成保障成果,并提炼问题和总结经验,形成改进计划以及技战法。有必要的情况下,可开展专场复盘总结会议,对核心能力需求进行转化,优化保障解决方案,纳入赋能计划,提升全员保障能力;同时推动安全规划和建设,落实优化和整改工作,进一步完善企业安全防护体系。