隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，網(wǎng)絡(luò)攻擊方法和能力不斷升級，威脅利用也從已知到未知不斷發(fā)展變化，網(wǎng)絡(luò)攻擊逐步形成一道黑色產(chǎn)業(yè)鏈，防守方也需隨之升級防御方案，變被動防守為主動“威脅狩獵”。

| 什么是威脅狩獵？

威脅狩獵，是安全人員在網(wǎng)絡(luò)安全中定位各類威脅攻擊，它不是一款產(chǎn)品，而是一種方法，憑此方法可有效發(fā)現(xiàn)并阻斷網(wǎng)絡(luò)環(huán)境中的異常情況。

| 為什么需要威脅狩獵？

攻擊者常通過高級威脅攻擊、漏洞利用、惡意軟件等方式避開各類安全規(guī)則，利用內(nèi)網(wǎng)環(huán)境滲透行為獲取目標(biāo)主機(jī)數(shù)據(jù)或執(zhí)行某種破壞行為。面對當(dāng)下復(fù)雜多變的定向攻擊，我們需要采用主動檢測和實(shí)時(shí)響應(yīng)的方式，獲取攻擊痕跡，發(fā)現(xiàn)潛伏在內(nèi)網(wǎng)環(huán)境中的威脅，以此達(dá)到縮短攻擊者潛伏時(shí)間等目標(biāo)。

| 威脅狩獵的方式有哪些？

事前防御是威脅狩獵的主要思想，通過事前主動掃描發(fā)現(xiàn)可繞過安全設(shè)備的未知威脅。獵人狩獵通常采用人工測試+機(jī)器輔助的方式，安全人員收集相關(guān)入侵證據(jù)，定位隱匿的攻擊，同時(shí)安全設(shè)備收集相關(guān)攻擊信息，協(xié)助安全人員發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。

為應(yīng)對當(dāng)下場景，天融信通過自適應(yīng)安全防御系統(tǒng)構(gòu)建主機(jī)側(cè)防御閉環(huán)，融合自適應(yīng)安全架構(gòu)及CWPP核心理念，解決傳統(tǒng)防護(hù)手段的被動局面，通過對主機(jī)進(jìn)行持續(xù)的監(jiān)控與分析，多角度定位安全風(fēng)險(xiǎn)與入侵攻擊，為獵人提供豐富的原始數(shù)據(jù)。

光說不練假把式

話不多說

實(shí)戰(zhàn)見真章！

9月X日 | 實(shí)戰(zhàn)日記

我是天融信自適應(yīng)安全防御系統(tǒng)，今天的工作任務(wù)是巡檢某市數(shù)據(jù)管理局的多臺主機(jī)。

首先，我通過資產(chǎn)管理功能，仔細(xì)梳理出主機(jī)龐雜的數(shù)據(jù)資產(chǎn)，展示主機(jī)進(jìn)程、端口、計(jì)劃任務(wù)等重點(diǎn)資產(chǎn)信息，方便安全人員構(gòu)建主機(jī)側(cè)資產(chǎn)指紋庫；

隨后，我利用風(fēng)險(xiǎn)發(fā)現(xiàn)功能，對主機(jī)系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、弱口令等安全風(fēng)險(xiǎn)進(jìn)行全面掃描，并提出具體修復(fù)建議，幫助市局快速改進(jìn)脆弱點(diǎn)，縮小風(fēng)險(xiǎn)面；

此時(shí)，我在一臺IP為XX.X.XXX.206的主機(jī)內(nèi)發(fā)現(xiàn)異常，拉響警報(bào)，進(jìn)入應(yīng)急響應(yīng)模式！

經(jīng)天融信專家團(tuán)隊(duì)追溯研判，確認(rèn)存在病毒利用某系統(tǒng)漏洞進(jìn)行攻擊，攻擊者試圖進(jìn)行本地提權(quán)，總局立刻采取響應(yīng)措施：

第一步，通過威脅檢測模塊對病毒進(jìn)行查殺，阻止病毒進(jìn)一步擴(kuò)散，降低主機(jī)損失持續(xù)擴(kuò)散；

第二步，配置隔離策略，及時(shí)阻斷非法流量，解決安全威脅在主機(jī)間橫向移動等問題；

第三步，對相關(guān)主機(jī)進(jìn)行安全加固，對漏洞、弱口令、賬號風(fēng)險(xiǎn)、文件完整性等提供持續(xù)掃描與修復(fù)，掃除主機(jī)內(nèi)部安全隱患；

最后，通過本系統(tǒng)快速分析和響應(yīng)下，威脅解除，有效抵擋主機(jī)“刺客”！

天融信自適應(yīng)安全防御系統(tǒng)

主機(jī)安全運(yùn)營響應(yīng)流程

四步緩解安全人員威脅捕獲數(shù)據(jù)繁雜煩惱

TOPSEC

隨著高級威脅攻擊等威脅不斷迭代更新，企業(yè)需要威脅捕獲等主動檢測的方法來減少攻擊者帶來的影響，提高主機(jī)安全能力。未來，天融信將繼續(xù)深耕主機(jī)安全領(lǐng)域，為各行業(yè)客戶提供更為穩(wěn)固優(yōu)質(zhì)的產(chǎn)品、解決方案與服務(wù)，積極應(yīng)對新的安全威脅與挑戰(zhàn)，打造主機(jī)安全新體系！