如今网络安全对企业越来越重要,企业也开始注重安全防御措施。因此就出现了很多企业都在建构安全防御现象。那么企业建构安全防御现象有哪些?在下文的四个安全防御象限中,结合了安全分析服务的安全产品可以在实际的进攻和防御演练中,快速将防御者的防御能力提高到更高的水平。攻防对抗的实质是在不断纠正已发现的隐藏问题的同时,充分暴露问题并验证现有保护方法的有效性,这将是一个连续的过程。防御者还需要持续控制自己的资产动态,漏洞更新,并且威胁情报和其他信息已得到全面使用,以实现足够的防御效果。
1、防御象限
防御象限是最重要的象限,包含了企业防护的底线产品,以具有防御阻断黑客攻击能力的产品为主,在真实世界的攻防对抗中,它们能够将大多数攻击者抵挡在外,这里重点介绍WAF、FW、HIPS。WAF能够抵挡大部分来自Web的入侵,尤其是可编程的WAF,在面对攻防演练中出现的新漏洞时,能够第一时间通过运营编写脚本实现阻断,新一代的WAF还具备语义分析技术,可以有效减少误报,提升防守方对未知威胁的防御能力。防火墙能够对边界的资产进行有效的管控以及发现、阻断网络中的恶意通讯行为。而对于服务器上的资产这类黑客攻击的重点目标,安装在服务器操作系统内的HIPS能够在第一时间检测到如Webshell、Rootkit、黑客操作行为等攻击特征并执行拦截和防护,提升对核心资产的防御水平。
2、检测象限
检测象限以发现和诱捕黑客为主,此象限的产品能够快速进行入侵检测、发现黑客的攻击行为并对其进行诱捕、画像,如HIDS、NTA、Honeypot,这里重点介绍NTA和Honeypot。NTA类的产品全称为Network Traffic Analysis,但这里更倾向于理解其为Network Threat Analysis,即通过流量对网络中的威胁进行建模和分析,实时感知预警,此类产品相比传统的IPS在流量覆盖以及威胁建模方面更加完整和全面。蜜罐是很好的发现黑客入侵行为的工具,在真实的网络环境中,防守方不会触发到蜜罐,而通过蜜罐发现的攻击者IP可以直接联动到防火墙进行封锁,且其特有的JSONP探针可以对黑客进行攻击画像,以便第一时间掌握黑客入侵活动,该画像功能对于攻击溯源有着至关重要的作用。
3、安全运营象限
安全运营象限是一个组合象限,是对前面两个的结合,这里推荐产品配合安全分析师的模式。在过去的几年中,渗透测试工程师非常受欢迎,这是很多项目以结果为导向反推企业安全建设造成的。随着安全漏洞层出不穷,黑客攻击事件数量上升,未来安全分析师将更加重要,他们可以分析防守方已经部署的各个安全产品配置策略、部署位置的有效性,并将其调整至最佳,同时对安全事件进行排查和追溯,协助企业解决安全的最后一公里问题。产品工具类可以选择安全编排与自动化响应的SOAR,可以结合安全分析师的策略编排与各个系统的API对接,调整防护和响应策略,做到统一分析、集中展示、快速处理,实现安全的闭环。
4、威胁情报象限
威胁情报象限中的情报工作分为两类。第一类是实时情报的收集与分析,在攻防演练的过程中尤其是大型的攻防演练中,情报变得极其重要。防守方应当持续收集攻击情报,如攻击队的攻击方法、攻击者源IP、常用工具等信息,并及时将这些情报加入防御象限的产品运维中。第二类属于被动情报收集,以扫描器类产品为例,新一代的扫描器往往都具备资产快速分析与漏洞检测能力,考虑到攻击者的手法,此处的漏洞检测应以Web漏洞为主,同时涵盖系统漏洞扫描支持。此类扫描器可以帮助安全分析人员实时对防护期间的资产进行快速探测,并对漏洞进行主动或者被动的扫描,以便将安全问题尽早解决。
以上就是关于企业建构安全防御现象有哪些的全部内容介绍,想了解更多关于网络安全的信息,请继续关注中培伟业。