伴隨數字化轉型的全面深入,網絡安全戰場被無限延伸,網絡攻擊手段從過去的“直接隨機、簡單粗暴”轉變為“目標精確、持久隱藏”,災難性會更加嚴重與頻繁。如果還僅僅依賴傳統本地特征庫的靜態檢測方式,來抵御新型網絡攻擊,往往將面臨防御失效的困境。
因此,實戰攻防演習成為推進網絡安全建設的必要需求。近日,360政企安全集團就通過真實還原一場為期3天的實戰攻防演習,為國家、政府、行業和企業能夠構建起“能打實戰”的安全能力體系提供參考借鑒!
在360政企安全實戰演習的第1天中,攻擊方便企圖通過發起大規模的釣魚郵件攻擊,以尋求深入防守邊界的跳板。然而,防守方經過快速的溯源分析和樣本分類,并基于360終端安全管理系統的主動威脅發現和攔截能力,高效完成整個應急響應的閉環,最終成功守住終端安全防線。
在此過程之中,360終端安全管理系統發揮出的響應能力不可或缺,真正助力傳統終端安全管理從“合規驅動”走向“能力驅動”,能夠在浩如煙海的網絡空間中發現到網絡威脅的蛛絲馬跡,并有效增強終端面對各類威脅的檢測對抗能力。
如今,我國攻防實戰演練開幕在即,360政企安全集團特別打造了一份關于360終端安全管理系統的實用“秘籍”,幫助各企業高效“備戰”。
終端風險分析+應對策略
針對病毒防護
威脅分析:
開放式的網絡環境下,各類終端、設備和業務系統與互聯網直接關聯,惡意程序和腳本可輕松通過釣魚網站、發送釣魚郵件、網頁掛馬等多種主動或被動的手段突破內網。
360終端安全管理系統應對策略:
1.惡意代碼檢測:建立云查殺引擎、鯤鵬引擎、QVMⅡ人工智能引擎以及QEX腳本引擎構造的立體協同檢測機制,持續有效對抗木馬蠕蟲、惡意軟件、勒索病毒、APT攻擊等各類威脅。
2.入口防護:圍繞終端與外部的信息交互接口進行定向監測與防護,并通過對惡意鏈接進行信譽庫比對,對文件下載及傳輸安全性進行監測。
3.瀏覽器及上網防護:動態分析結合靜態匹配技術方案,以最低的資源消耗,實現對惡意鏈接的精確檢測。
4.系統防護:建立包含攝像頭防護,鍵盤記錄防護,文件系統防護,驅動防護,注冊表防護等從驅動到系統的縱深防護機制。
針對終端管控
威脅分析:
出于安全保密需要,特定的政企單位或者機要部門需要在隔離網環境辦公,切斷跟外部互聯網的聯系。但如果存在非法連接外網或指定網絡的行為,安全風險將油然而生。
360終端安全管理系統應對策略:
1.違規外聯管控:通過外聯探測功能,以域名解析、PING地址探測、TCP鏈接檢測、IP/MAC綁定等方式,及時發現終端非法外聯、非法出口聯網行為,封堵基于IP或MAC方式的網絡繞過行為,并可對違規終端執行斷網處置。
2.網絡控制:提供基于IP、端口和域名三個維度通訊阻斷能力,在攻擊預防階段,降低風險暴露面。當遇到緊急病毒事件時,能夠有效抑制感染范圍。
3.桌面加固:通過對終端賬號密碼強度、屏保和桌面壁紙的策略控制,實現用戶桌面的統一管理,實現安全水平的顯著提升。
針對Win7支持
威脅分析:
對于使用Windows7系統的政企用戶而言,系統的停服帶來了相當大的安全困擾。
360終端安全管理系統應對策略:
1.系統加固:通過內存保護檢查、堆噴射防護、零地址防護、棧置換、內核攻擊防護以及系統調用過濾等多種方式,在操作系統層面進行安全加固。
2.應用加固:應用程序漏洞往往集中在Office、IE瀏覽器和PDF閱讀器等常用辦公工具上,以沙箱方式啟動這些高頻應用,可有效避免宿主終端的威脅影響。
3.熱補丁修復:針對高危漏洞,提供熱補丁修復能力。盡量縮減漏洞暴露時間,基于免重啟的方式實現終端便捷防護。
針對資產管理
威脅分析:
客戶端安裝成功后,終端需要上報自身的資產信息,包括資產類型、資產用途、歸屬部門、使用人、電話、郵箱等,這些往往是攻擊方的主要靶標。
360終端安全管理系統應對策略:
1.硬件資產管理:支持計算機名稱、硬件配置、cpu/內存、硬盤等配置變動告警。
2.資產登記:新增資產登記類別,設置資產類型、資產用途、歸屬部門、使用人、電話、郵箱等信息要求終端登記,并通過資產IP等信息自動分組。
針對漏洞與補丁管理
威脅分析:
系統的缺陷或漏洞隨時都可能造成不可挽回的業務崩潰,因此,未修復漏洞依然是很多政企機構的主要安全問題。
360終端安全管理系統應對策略:
1.補丁管理架構:通過漏洞檢測模塊檢查終端系統、應用是否存在漏洞,將漏洞信息第一時間匯總展示給管理員后,管理員統一下發漏洞修復策略,對終端進行漏洞修復。
2.漏洞修復:全面支持對操作系統漏洞、Office高危漏洞、第三方軟件漏洞的修復。
實用部署技巧
360終端安全管理系統提供互聯網環境典型部署和隔離網環境典型部署兩種部署方式,同時支持結合使用。
互聯網環境典型部署
360終端安全管理系統終端在網絡內部部署管理控制平臺和終端,將通過管理控制平臺連接到360安全大腦升級服務器進行升級、更新等。管理控制平臺具有緩存功能,同樣的數據文件只會下載一次,以減少對出口帶寬的影響。
具體部署過程如下:
1、安裝360終端安全管理系統管理控制平臺;
2、部署360終端安全管理系統客戶端;
3、設置安全策略;
4、終端集中管理。
隔離網環境典型部署
360終端安全管理系統管理控制平臺負責制定安全策略,進行終端殺毒和修復漏洞等安全操作。使用隔離網更新工具,定期從360安全大腦下載病毒庫、木馬庫、漏洞補丁文件,對管理控制平臺進行更新。
具體部署過程如下:
1、安裝360終端安全管理系統管理控制平臺;
2、部署360終端安全管理系統客戶端;
3、部署私有云查殺平臺;
4、定時登錄管理控制平臺,查看各終端安全情況;
5、下發統一殺毒、修復漏洞等策略,確保終端安全;
6、定期使用隔離網更新工具下載數據,并更新到管理控制平臺。
