無論是企業(yè)設(shè)備、BYOD還是個(gè)人設(shè)備,也無論這些設(shè)備如何與服務(wù)連接,都有可能成為惡意流量直接或間接的侵入點(diǎn)。攻擊者不僅會(huì)嘗試對(duì)基礎(chǔ)設(shè)施直接發(fā)送惡意流量,還有可能瞄準(zhǔn)存在漏洞的環(huán)節(jié),使之成為攻擊侵入點(diǎn),以此為支點(diǎn)感染其它環(huán)節(jié)或區(qū)域。在當(dāng)前的業(yè)務(wù)中,安全和數(shù)據(jù)保護(hù)不能以“單次檢查”的方式執(zhí)行,安全策略和保障措施的培訓(xùn)和遵守不能只是一項(xiàng)強(qiáng)制性的要求,而應(yīng)當(dāng)成為自發(fā)的動(dòng)力。
企業(yè)的安全態(tài)勢(shì)取決于三個(gè)基本要素,即針對(duì)攻擊的保護(hù)、探測(cè)和響應(yīng)。企業(yè)必須擁有適當(dāng)?shù)钠脚_(tái),為這些元素提供深入、及時(shí)的前瞻性評(píng)估,并會(huì)同培訓(xùn)、宣傳和既有的策略抵御當(dāng)前和未來的各種威脅。要想實(shí)現(xiàn)智能驅(qū)動(dòng)的安全態(tài)勢(shì),智能評(píng)估平臺(tái)還必須與企業(yè)生命周期管理工具和系統(tǒng)相互關(guān)聯(lián),以便自動(dòng)通報(bào)、跟蹤和啟動(dòng)下一輪行動(dòng)。如果沒有這些工具,企業(yè)的安全將永遠(yuǎn)只能停留在防御性的態(tài)勢(shì)。以下我們來探討一下網(wǎng)絡(luò)安全評(píng)估平臺(tái)應(yīng)具備的特點(diǎn)。
企業(yè)網(wǎng)絡(luò)安全評(píng)估解決方案
要想說明網(wǎng)絡(luò)安全評(píng)估解決方案所需要的基本能力,一種有效的方法就是通過常見用例涵蓋此類解決方案的功能。下面列出的便是典型用例的突出重點(diǎn)以及有效網(wǎng)絡(luò)安全評(píng)估解決方案的屬性。
- 在生產(chǎn)網(wǎng)絡(luò)中部署代理的能力,負(fù)責(zé)對(duì)安全區(qū)進(jìn)行評(píng)估
- 選擇網(wǎng)絡(luò)域或區(qū)的靈活性,這些區(qū)域有可能成為攻擊的源頭和目標(biāo),為安全的有效性提供積極的證明
- 調(diào)度控制的能力,也就是在當(dāng)日的某個(gè)特定時(shí)間啟動(dòng)評(píng)估如非高峰時(shí)段,或是由某個(gè)事件觸發(fā)的評(píng)估,如安全事件解決或當(dāng)日攻擊場(chǎng)景可用性等
- 利用持續(xù)更新數(shù)據(jù)庫和最新漏洞進(jìn)行評(píng)估的能力。數(shù)據(jù)庫中包含最新的當(dāng)日攻擊和惡意軟件場(chǎng)景
- 按用戶需要查看、編輯和運(yùn)行評(píng)估的能力,適用于具備多部門授權(quán)的企業(yè)
- 定制攻擊向量的靈活能力。定制方式可以是按用戶、按上下文環(huán)境(網(wǎng)絡(luò)域操作系統(tǒng)、應(yīng)用等)或根據(jù)探測(cè)的結(jié)果,指導(dǎo)用戶發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞
- 在流量方向、網(wǎng)段序列和規(guī)避技術(shù)方面控制攻擊的能力,實(shí)施在攻擊計(jì)劃頂層,提高對(duì)網(wǎng)絡(luò)中已部署安全態(tài)勢(shì)的評(píng)估水平
- 使用真實(shí)的敏感數(shù)據(jù)評(píng)估數(shù)據(jù)丟失預(yù)防策略,使用部署中常見的格式(如PDF文件中包含的銀行賬號(hào)),敏感數(shù)據(jù)在網(wǎng)絡(luò)中傳輸,用以驗(yàn)證和評(píng)估數(shù)據(jù)丟失預(yù)防策略的有效性
與企業(yè)生命周期工具的關(guān)聯(lián)將可以實(shí)現(xiàn)由安全評(píng)估驅(qū)動(dòng)的、可執(zhí)行且可跟蹤的步驟。例如:
1、與安全信息和事件管理(SIEM)集成,對(duì)安全平臺(tái)因特定攻擊而觸發(fā)的事件進(jìn)行分析;
2、工單系統(tǒng)(ITS)實(shí)現(xiàn)互操作。ITS可直接觸發(fā)未發(fā)現(xiàn)問題的任務(wù)單,并且能夠再次驗(yàn)證任務(wù)單的解決情況
3、與安全平臺(tái)的集成,可在漏洞被披露時(shí)實(shí)現(xiàn)新策略的自動(dòng)響應(yīng)
在評(píng)估執(zhí)行過程中提供詳細(xì)的實(shí)時(shí)報(bào)告能力,暴露總體的漏洞趨勢(shì)和單個(gè)攻擊的屬性(例如描述、CVE ID、起始時(shí)間、是否因阻止而被消減等)
訪問過往評(píng)估最終報(bào)告的能力。包含當(dāng)前評(píng)估的信息,以及更多的詳情(例如調(diào)用流序列、包捕獲等)
在評(píng)估過程中模擬整個(gè)攻擊的引擎,比模擬或回放等其它技術(shù)更有效,能夠避免出現(xiàn)安全假象或可能的誤警
網(wǎng)絡(luò)安全評(píng)估解決方案中的上述能力具有無可估量的價(jià)值,能夠?yàn)槭褂脻B透測(cè)試(紅隊(duì)評(píng)估)、防御性態(tài)勢(shì)(藍(lán)隊(duì)評(píng)估)或混合式解決方案(紫隊(duì)評(píng)估)等傳統(tǒng)方法的企業(yè)和部門提供巨大的幫助。這些傳統(tǒng)的方法通常缺乏深度和連續(xù)的綜合性查驗(yàn)?zāi)芰Γ@些對(duì)于今天的企業(yè)都是至關(guān)重要的。思博倫全新解決方案能夠?yàn)槟峁┻B續(xù)、深入的自動(dòng)化網(wǎng)絡(luò)安全漏洞評(píng)估。
思博倫CyberFlood數(shù)據(jù)漏洞評(píng)估(CF DBA)
接下來,我們用幾分鐘來了解一下提供全面網(wǎng)絡(luò)安全評(píng)估能力和上文所述各種屬性的CF DBA。在實(shí)現(xiàn)這些能力的過程中,該解決方案所用的是輕量化的加密代理,不僅可以嵌入企業(yè)網(wǎng)段中,還能仿真各類攻擊向量。為說明CF DBA的基本能力,我們將通過下面的屏幕截圖來展示其測(cè)試配置。
CF DBA解決方案包含如下幾項(xiàng)廣泛的能力:
- 測(cè)試配置中定義了高級(jí)別的拓?fù)浣Y(jié)構(gòu),包括每一個(gè)網(wǎng)區(qū)中的CF DBA代理,以及被測(cè)設(shè)備(例如防火墻),以及這些網(wǎng)區(qū)中的攻擊來源和目標(biāo)
- 廣泛的調(diào)度能力可以按具體條件來啟動(dòng)評(píng)估,例如特定的時(shí)間頻率、特定的時(shí)戳、某個(gè)漏洞的問題得到解決的時(shí)刻,或者是新漏洞配置可用的時(shí)候
- 可向個(gè)人或群組提供查看、編輯或運(yùn)行測(cè)試配置的授權(quán)
- 可根據(jù)用戶定制、偵察或所有可用攻擊,啟動(dòng)各區(qū)之間或被測(cè)設(shè)備之間的攻擊
- 在發(fā)起攻擊時(shí),可以按順序、并列,或順序和并列組合的方式執(zhí)行規(guī)避技術(shù)(如:模糊)
- 提供可添加常見文件類型(例如MS-WORD/EXCEL/PPT和Adobe PDF等)下敏感數(shù)據(jù)的選項(xiàng)
- 除與Splunk、IBM QRadar等SIEM關(guān)聯(lián)并用于事件分析外,還提供對(duì)ITS管理進(jìn)行配置的選項(xiàng),其中可使用的解決方案包括JIRA、Zendesk、ServiceNow和Redmine
CF DBA還可以利用安全平臺(tái)(例如防火墻)API來實(shí)現(xiàn)新策略的自動(dòng)響應(yīng),消減那些已經(jīng)探測(cè)到但尚未被阻止的攻擊。
實(shí)時(shí)報(bào)告和最終報(bào)告中都包含涉及評(píng)估的大量詳情,其中包括:
- 事件和任務(wù)項(xiàng)跟蹤趨勢(shì)的快照
- 總體攻擊拓?fù)浣Y(jié)構(gòu)狀態(tài)
- 區(qū)間攻擊發(fā)現(xiàn)匯總
區(qū)間攻擊向量詳情,包括攻擊描述、類別/CVE ID、起始時(shí)戳、攻擊者、目標(biāo)IP和端口,以及問題狀態(tài)和初始報(bào)告時(shí)戳、攻擊的嚴(yán)重程度、攻擊是否被阻止,以及攻擊是否觸發(fā)與SIEM相匹配的事件等
每次攻擊消減的詳情,例如調(diào)用流等,都可以從最終中報(bào)告中獲得
CyberFlood數(shù)據(jù)漏洞評(píng)估解決方案提供可操作性強(qiáng)的見解,助您深入了解網(wǎng)絡(luò)在每次事件中或連續(xù)狀態(tài)下的安全態(tài)勢(shì)。通過在安全的情況下對(duì)安全策略執(zhí)行壓力測(cè)試,不僅可以幫助企業(yè)降低風(fēng)險(xiǎn),還可以提升網(wǎng)絡(luò)的運(yùn)營效率。
此外,如果客戶需要,思博倫SecurityLabs團(tuán)隊(duì)可以直接提供協(xié)助,確保CF DBA解決方案在網(wǎng)絡(luò)部署中高效、精確的運(yùn)行。
如欲進(jìn)一步了解思博倫CyberFlood數(shù)據(jù)入侵評(píng)估解決方案如何幫助企業(yè)驗(yàn)證網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全態(tài)勢(shì),敬請(qǐng)點(diǎn)擊:https://www.spirent.cn/go/cyberflooddba
