一、被动防御的困境,关键在于缺乏主动情报视野
为了提升检测能力的全面性以及主动性,以降低未知攻击手法未知风险导致安全安全隐患,公司安全部门牵头建立并运行了一套情报主动作战及联防联控机制,以威胁拓线驱动威胁情报在防御体系内快速流转,在人工与自动化结合之下,达到“攻击者一旦在网络空间被我方感知,即自动全方位360度无死角情报主动画像,全集团多角度纵深提前打击”的效果。
二、主动情报作战架构
图- 情报拓线驱动的联合防控流程
三、数据融合,情报拓线,支撑主动联防交战
(1)各情报数据收集
内部的各类安全设备和外部的情报源,包括:
终端:终端杀软、终端EDR、终端DLP
服务器:RASP、EDR、HIDS
边界:情报网关、WAF、IDS、IPS
其他:邮件网关、NDR、安全沙箱、TIP
外部情报:针对行业&公司相关的战略战术级TTPs和IOC情报
样本拓线:文件名、doc文件元数据信息、宏文档模板代码信息、Lnk文件创建时间、配置信息、ISO卷等;
网络资产设施:静态IP、动态通讯IP、IP相关联样本、注册的私有邮箱、URL指纹等;
(3)情报持续评估、情报分发联控
高置信度情报将由API接口统一推送分子公司情报平台,联动相关安全设备进行自动封禁;
中置信度情报将推送至分子公司的威胁情报管理平台,由分子公司安全员进行二次验证后封禁;
低置信度情报不会进行推送,仅记录在威胁情报中心,由情报平台和集团安全运营人员持续跟踪,完善画像;
四、攻守之势异也,情报主动作战初显成效
情报主动拓线、提前打击及联合防控体系的应用,在一定程度上扭转了防守方被动防御的局面,甚至让防守方具备主动防御和威慑能力,在攻方杀伤链最初阶段甚至有效触达前,防守方就有对其提前主动打击的能力,从攻方样本到基础设施,乃至技战术都能进行有效提前防御,极大的增加攻击方的成本,让集团安全部门在提前布防和数据沉淀中达到了不凡的效果:
提前掌握对手的攻击样本能力、技战术以及基础设施,帮助集团更好的提前预判提前打击提前行动,在网络对抗战中增加主动性。例如在过往的情报运营工作中,某个持续关注的攻击团伙,其在某次攻击中暴露出的某个单点基础设施,被情报生产机制及时发现并进行有效拓线,发现其近三百个攻方基础设施,并依托自研TIP,提前下发处置。在之后的几天里,相关防御设备精准拦截了该攻击团伙的高危险攻击,实现了主动精准提前打击。 协同多家子公司,进行提前防御和协同防护,联动内部阻断设备结合情报及时有效的进行攻击阻断,真正实现联防联控功效,快速提升各子公司的安全水位,有效杜绝安全短板效应,化被动防护为主动防御。 同时根据对威胁的拓线,如黑灰产、APT的攻击样本进行拓线,丰富了情报库,沉淀了大量数据源,为后续攻击者画像和对手攻击内部知识库建立基础。
欢迎关注SFSRC公众号,获取一手资讯!
