無(wú)論是企業(yè)設備、BYOD還是個(gè)人設備,也無(wú)論這些設備如何與服務(wù)連接,都有可能成為惡意流量直接或間接的侵入點(diǎn)。攻擊者不僅會(huì )嘗試對基礎設施直接發(fā)送惡意流量,還有可能瞄準存在漏洞的環(huán)節,使之成為攻擊侵入點(diǎn),以此為支點(diǎn)感染其它環(huán)節或區域。在當前的業(yè)務(wù)中,安全和數據保護不能以“單次檢查”的方式執行,安全策略和保障措施的培訓和遵守不能只是一項強制性的要求,而應當成為自發(fā)的動(dòng)力。
企業(yè)的安全態(tài)勢取決于三個(gè)基本要素,即針對攻擊的保護、探測和響應。企業(yè)必須擁有適當的平臺,為這些元素提供深入、及時(shí)的前瞻性評估,并會(huì )同培訓、宣傳和既有的策略抵御當前和未來(lái)的各種威脅。要想實(shí)現智能驅動(dòng)的安全態(tài)勢,智能評估平臺還必須與企業(yè)生命周期管理工具和系統相互關(guān)聯(lián),以便自動(dòng)通報、跟蹤和啟動(dòng)下一輪行動(dòng)。如果沒(méi)有這些工具,企業(yè)的安全將永遠只能停留在防御性的態(tài)勢。以下我們來(lái)探討一下網(wǎng)絡(luò )安全評估平臺應具備的特點(diǎn)。
企業(yè)網(wǎng)絡(luò )安全評估解決方案
要想說(shuō)明網(wǎng)絡(luò )安全評估解決方案所需要的基本能力,一種有效的方法就是通過(guò)常見(jiàn)用例涵蓋此類(lèi)解決方案的功能。下面列出的便是典型用例的突出重點(diǎn)以及有效網(wǎng)絡(luò )安全評估解決方案的屬性。
- 在生產(chǎn)網(wǎng)絡(luò )中部署代理的能力,負責對安全區進(jìn)行評估
- 選擇網(wǎng)絡(luò )域或區的靈活性,這些區域有可能成為攻擊的源頭和目標,為安全的有效性提供積極的證明
- 調度控制的能力,也就是在當日的某個(gè)特定時(shí)間啟動(dòng)評估如非高峰時(shí)段,或是由某個(gè)事件觸發(fā)的評估,如安全事件解決或當日攻擊場(chǎng)景可用性等
- 利用持續更新數據庫和最新漏洞進(jìn)行評估的能力。數據庫中包含最新的當日攻擊和惡意軟件場(chǎng)景
- 按用戶(hù)需要查看、編輯和運行評估的能力,適用于具備多部門(mén)授權的企業(yè)
- 定制攻擊向量的靈活能力。定制方式可以是按用戶(hù)、按上下文環(huán)境(網(wǎng)絡(luò )域操作系統、應用等)或根據探測的結果,指導用戶(hù)發(fā)現網(wǎng)絡(luò )中存在的漏洞
- 在流量方向、網(wǎng)段序列和規避技術(shù)方面控制攻擊的能力,實(shí)施在攻擊計劃頂層,提高對網(wǎng)絡(luò )中已部署安全態(tài)勢的評估水平
- 使用真實(shí)的敏感數據評估數據丟失預防策略,使用部署中常見(jiàn)的格式(如PDF文件中包含的銀行賬號),敏感數據在網(wǎng)絡(luò )中傳輸,用以驗證和評估數據丟失預防策略的有效性
與企業(yè)生命周期工具的關(guān)聯(lián)將可以實(shí)現由安全評估驅動(dòng)的、可執行且可跟蹤的步驟。例如:
1、與安全信息和事件管理(SIEM)集成,對安全平臺因特定攻擊而觸發(fā)的事件進(jìn)行分析;
2、工單系統(ITS)實(shí)現互操作。ITS可直接觸發(fā)未發(fā)現問(wèn)題的任務(wù)單,并且能夠再次驗證任務(wù)單的解決情況
3、與安全平臺的集成,可在漏洞被披露時(shí)實(shí)現新策略的自動(dòng)響應
在評估執行過(guò)程中提供詳細的實(shí)時(shí)報告能力,暴露總體的漏洞趨勢和單個(gè)攻擊的屬性(例如描述、CVE ID、起始時(shí)間、是否因阻止而被消減等)
訪(fǎng)問(wèn)過(guò)往評估最終報告的能力。包含當前評估的信息,以及更多的詳情(例如調用流序列、包捕獲等)
在評估過(guò)程中模擬整個(gè)攻擊的引擎,比模擬或回放等其它技術(shù)更有效,能夠避免出現安全假象或可能的誤警
網(wǎng)絡(luò )安全評估解決方案中的上述能力具有無(wú)可估量的價(jià)值,能夠為使用滲透測試(紅隊評估)、防御性態(tài)勢(藍隊評估)或混合式解決方案(紫隊評估)等傳統方法的企業(yè)和部門(mén)提供巨大的幫助。這些傳統的方法通常缺乏深度和連續的綜合性查驗能力,而這些對于今天的企業(yè)都是至關(guān)重要的。思博倫全新解決方案能夠為您提供連續、深入的自動(dòng)化網(wǎng)絡(luò )安全漏洞評估。
思博倫CyberFlood數據漏洞評估(CF DBA)
接下來(lái),我們用幾分鐘來(lái)了解一下提供全面網(wǎng)絡(luò )安全評估能力和上文所述各種屬性的CF DBA。在實(shí)現這些能力的過(guò)程中,該解決方案所用的是輕量化的加密代理,不僅可以嵌入企業(yè)網(wǎng)段中,還能仿真各類(lèi)攻擊向量。為說(shuō)明CF DBA的基本能力,我們將通過(guò)下面的屏幕截圖來(lái)展示其測試配置。
CF DBA解決方案包含如下幾項廣泛的能力:
- 測試配置中定義了高級別的拓撲結構,包括每一個(gè)網(wǎng)區中的CF DBA代理,以及被測設備(例如防火墻),以及這些網(wǎng)區中的攻擊來(lái)源和目標
- 廣泛的調度能力可以按具體條件來(lái)啟動(dòng)評估,例如特定的時(shí)間頻率、特定的時(shí)戳、某個(gè)漏洞的問(wèn)題得到解決的時(shí)刻,或者是新漏洞配置可用的時(shí)候
- 可向個(gè)人或群組提供查看、編輯或運行測試配置的授權
- 可根據用戶(hù)定制、偵察或所有可用攻擊,啟動(dòng)各區之間或被測設備之間的攻擊
- 在發(fā)起攻擊時(shí),可以按順序、并列,或順序和并列組合的方式執行規避技術(shù)(如:模糊)
- 提供可添加常見(jiàn)文件類(lèi)型(例如MS-WORD/EXCEL/PPT和Adobe PDF等)下敏感數據的選項
- 除與Splunk、IBM QRadar等SIEM關(guān)聯(lián)并用于事件分析外,還提供對ITS管理進(jìn)行配置的選項,其中可使用的解決方案包括JIRA、Zendesk、ServiceNow和Redmine
CF DBA還可以利用安全平臺(例如防火墻)API來(lái)實(shí)現新策略的自動(dòng)響應,消減那些已經(jīng)探測到但尚未被阻止的攻擊。
實(shí)時(shí)報告和最終報告中都包含涉及評估的大量詳情,其中包括:
- 事件和任務(wù)項跟蹤趨勢的快照
- 總體攻擊拓撲結構狀態(tài)
- 區間攻擊發(fā)現匯總
區間攻擊向量詳情,包括攻擊描述、類(lèi)別/CVE ID、起始時(shí)戳、攻擊者、目標IP和端口,以及問(wèn)題狀態(tài)和初始報告時(shí)戳、攻擊的嚴重程度、攻擊是否被阻止,以及攻擊是否觸發(fā)與SIEM相匹配的事件等
每次攻擊消減的詳情,例如調用流等,都可以從最終中報告中獲得
CyberFlood數據漏洞評估解決方案提供可操作性強的見(jiàn)解,助您深入了解網(wǎng)絡(luò )在每次事件中或連續狀態(tài)下的安全態(tài)勢。通過(guò)在安全的情況下對安全策略執行壓力測試,不僅可以幫助企業(yè)降低風(fēng)險,還可以提升網(wǎng)絡(luò )的運營(yíng)效率。
此外,如果客戶(hù)需要,思博倫SecurityLabs團隊可以直接提供協(xié)助,確保CF DBA解決方案在網(wǎng)絡(luò )部署中高效、精確的運行。
如欲進(jìn)一步了解思博倫CyberFlood數據入侵評估解決方案如何幫助企業(yè)驗證網(wǎng)絡(luò )基礎設施的安全態(tài)勢,敬請點(diǎn)擊:https://www.spirent.cn/go/cyberflooddba
