人防、物防和技防是安全防范的三个范畴。"人防""物防"顾名思义就是通过人力、物力进行安全防范,比如人员巡逻、站岗等等。随着科学技术的不断进步,新科技不断融入这些传统的防范手段,"技术防范"在安全防范技术中的地位和作用将越来越重要。
一、常态化的重保工作
每年都会有很多重大活动,安全保障工作已渐渐成为常态化。但是,目前的安全机制与防护体系真的能让您轻松应对每一次重大活动的安全保障吗(以下简称"重保")?特别是近几年的安全攻防演练活动中,持续24小时无休的攻击状态、0day漏洞频发、低门槛的自动化工具攻击,造成了"攻易守难""亡羊补牢""疲于奔命"的困境。
二、攻击新特性:未知与变化
在近几年的安全攻防演练中,红队的攻击方法已经发生了深刻的变化。红队的攻击手段、攻击效率都有了质的飞跃,攻击方法也不断演进,在最近一次安全攻防演练中,红队通过零日漏洞发起攻击,给蓝队的防守造成了巨大困难。
三、 不一样的重保方案
面对攻击,仍然有一些企业的防护重心在于人员现场值守,但"人防"难以常态化,人力成本高、负荷过大,企业势必要从"人防"过渡到"技防",通过人技结合,解决批量的自动化攻击和人为的定点攻击。瑞数信息总结了近几年的安全攻防对抗经验,结合创新的防护思路及技术,让防守不再被动、响应不再滞后、提供业务与安全双保障。
一次完整的安全保障需要经历三个阶段:前期准备、中期坚守、后期总结。其中前期准备主要集中在人防工作,但是到了中期坚守时,人防的优势就不那么明显了,毕竟人不可能24小时不间断值守,其响应动作也没有专业防护设备来得快与准确,因此对待重保的重要阶段,中期坚守靠的就是技防。
四、技防重要指标
1.强主动
在中期坚守工作中,必须改变人防的被动弱势,不能被攻击牵着走,因此需要实行"主动防御",这也是等保2.0的重要变化。
2.准溯源
传统的溯源看安全设备记录,但基于特征库、规则库的防护系统,只有匹配了才做记录,对于漏过的攻击请求或正常访问均不会记录,无法实现精准攻击定位。精准的技防技术需要对访问进行全记录,才能够发现更隐蔽的攻击,精准追踪溯源。
3.高对抗
攻击不可能一成不变,因此对抗手段也应当动态变化,对于整体攻击链的任何环节实现软拦截,即实现可阻断、可延迟、可随机处理等,扭转安全对抗中的不平等。
五、瑞数信息在攻防不同阶段实现的 "技防"独特效果
六、瑞数信息重保解决方案特点
1.动态技术实现Web/APP安全防护
凭借"先发制人、掌握先机"的防护哲学,以动态封装、动态验证、动态混淆、动态令牌四大动态安全技术为支撑,不依赖特征库及规则库,动态隐藏攻击入口,主动验证访问真实性,实现防守反击,有效解决零日漏洞攻击、漏洞嗅探攻击、模拟合法用户操作的自动化工具攻击行为。
2.全访问记录实现威胁透视
全访问记录,就是对所有客户端到服务器的访问做记录,进行安全威胁感知,在正常访问中透视异常。通过"唯一标识(设备指纹)"和"全访问记录",可以快速定位攻击、精准追踪溯源;
3.全应用安全防护:安全前置 动态对抗
现在业务系统都是全渠道访问,攻击者对系统应用的攻击已经不满足于单单Web层面了,对于暴露面的防护应扩展到APP、API等。因此需要构建全应用安全防护体系,包括Web、APP、API,以实现安全前置、动态对抗。
4.可编程对抗:动态对抗,精准防护
攻击不可能一成不变,因此对抗手段也应当动态变化。对整体攻击链的任何环节实现软拦截,实现可阻断、可延迟、可随机处理等的细粒度针对性防护,通过自由组合的对抗能力扭转安全对抗中的不平等。
5.集中日志分析关联,构建防护闭环
日志集中关联分析,对用户的帐号及操作行为进行审计,重点关注OA、邮箱、VPN、堡垒机、服务器等帐号情况,发现帐号破解、异常访问、异常操作等威胁,并以不同视角的仪表盘快速呈现,全面透视数据安全。
七、总结:瑞数信息在重保工作中的核心价值
攻击无法,防守有序。基于历次重大活动安全保障任务的考验和累积,瑞数信息重保方案全面体现了"整体防御、协同联防;主动防护、内外兼防;动态防御、主动免疫;纵深防御、技管并重"的防护特点,重保能力也不断获得来自各方的认可与肯定。
未来,瑞数信息将一如既往不断加强技术创新和技术实力,全力为每一次重大活动提供全面网络安全保障。同时,瑞数信息也将持续为构建安全、健康、有序的网络环境,做出积极的贡献。