SINE安全蓝队防守的7步法

           两条通路触达运维终端,防守队则针对当前的网络环境,制定了7步法,进行布防。第一步安全能力评估,基于攻防能力成熟度,评估模型中4个基本能力模块,3个能力中心,39个能力单元模型,当前安全能力加体,同时结合防守目标,对当前参战的人员方法工具的情况进行评价和盘点,导出针对每项能力的具体防御原则和思路。第二步安全风险评估,通过安全评估系统针对现网资产进行全量的漏洞评估,同时结合人工的方式对对重点资产进行威胁评估。

第三步线的防护能力及构建边界防护能力及收敛对外映射的IP及端口,仅开放必要的外部服务,同时将SINESAFE web应用防护系统部署在网络边界上,用于检测和阻断外部层的应用攻击。第四步面的防护能力及构建内网横向防护能力及部署全息全流量攻击检测系统。通过对镜像流量的监控分析,捕获内网存在的危险行为。

第五步点的防护能力及构建服务器以及终端的防护能力,即将sine hids系统全量部署在重点安全域的服务器,严密监视针对主机层面的危险行为,坚守最后一道防线。第六步,基于主动防御策略,构建溯源反制能力,即在内外网中部署SINE欺骗防御系统。依据方案设计定制仿真应用系统,尝试对攻击者进行溯源和反制。

第七步基于安全运营中心策略,构建关联分析和联动防御能力,即通过SINE态势感知系统,统一采集SINE全息等安全设备日志,建立关联飞行模型及自动化编排的响应机制,由与边界阻断设备联动,形成自动化,提升整体防御效果与能力。看起来防守队只需要对汇总关联后的安全日志进行监控,即可实现整体防护设备监控,但实战下真的能按防守队所想吗?矛与盾战役交战正式开始,攻击队接触到目标后,利用长平内部工具和SINE安全扫描器的被动代理模式,对目标进行互联网测,信息收集和初步探测,发现目标使用了较为严格的自动封禁策略,于是在使用代理池结合手工继续探测的同时,在另外的独立VPS上部署aws等多款扫描器,挂载IP代理池对目标进行漏洞扫描,希望利用代理池加漏扫的方式对防守队进行大流量干扰,企图牵扯防守队。

分享: