无论是企业设备、BYOD还是个人设备,也无论这些设备如何与服务连接,都有可能成为恶意流量直接或间接的侵入点。攻击者不仅会尝试对基础设施直接发送恶意流量,还有可能瞄准存在漏洞的环节,使之成为攻击侵入点,以此为支点感染其它环节或区域。在当前的业务中,安全和数据保护不能以“单次检查”的方式执行,安全策略和保障措施的培训和遵守不能只是一项强制性的要求,而应当成为自发的动力。
企业的安全态势取决于三个基本要素,即针对攻击的保护、探测和响应。企业必须拥有适当的平台,为这些元素提供深入、及时的前瞻性评估,并会同培训、宣传和既有的策略抵御当前和未来的各种威胁。要想实现智能驱动的安全态势,智能评估平台还必须与企业生命周期管理工具和系统相互关联,以便自动通报、跟踪和启动下一轮行动。如果没有这些工具,企业的安全将永远只能停留在防御性的态势。以下我们来探讨一下网络安全评估平台应具备的特点。
企业网络安全评估解决方案
要想说明网络安全评估解决方案所需要的基本能力,一种有效的方法就是通过常见用例涵盖此类解决方案的功能。下面列出的便是典型用例的突出重点以及有效网络安全评估解决方案的属性。
- 在生产网络中部署代理的能力,负责对安全区进行评估
- 选择网络域或区的灵活性,这些区域有可能成为攻击的源头和目标,为安全的有效性提供积极的证明
- 调度控制的能力,也就是在当日的某个特定时间启动评估如非高峰时段,或是由某个事件触发的评估,如安全事件解决或当日攻击场景可用性等
- 利用持续更新数据库和最新漏洞进行评估的能力。数据库中包含最新的当日攻击和恶意软件场景
- 按用户需要查看、编辑和运行评估的能力,适用于具备多部门授权的企业
- 定制攻击向量的灵活能力。定制方式可以是按用户、按上下文环境(网络域操作系统、应用等)或根据探测的结果,指导用户发现网络中存在的漏洞
- 在流量方向、网段序列和规避技术方面控制攻击的能力,实施在攻击计划顶层,提高对网络中已部署安全态势的评估水平
- 使用真实的敏感数据评估数据丢失预防策略,使用部署中常见的格式(如PDF文件中包含的银行账号),敏感数据在网络中传输,用以验证和评估数据丢失预防策略的有效性
与企业生命周期工具的关联将可以实现由安全评估驱动的、可执行且可跟踪的步骤。例如:
1、与安全信息和事件管理(SIEM)集成,对安全平台因特定攻击而触发的事件进行分析;
2、工单系统(ITS)实现互操作。ITS可直接触发未发现问题的任务单,并且能够再次验证任务单的解决情况
3、与安全平台的集成,可在漏洞被披露时实现新策略的自动响应
在评估执行过程中提供详细的实时报告能力,暴露总体的漏洞趋势和单个攻击的属性(例如描述、CVE ID、起始时间、是否因阻止而被消减等)
访问过往评估最终报告的能力。包含当前评估的信息,以及更多的详情(例如调用流序列、包捕获等)
在评估过程中模拟整个攻击的引擎,比模拟或回放等其它技术更有效,能够避免出现安全假象或可能的误警
网络安全评估解决方案中的上述能力具有无可估量的价值,能够为使用渗透测试(红队评估)、防御性态势(蓝队评估)或混合式解决方案(紫队评估)等传统方法的企业和部门提供巨大的帮助。这些传统的方法通常缺乏深度和连续的综合性查验能力,而这些对于今天的企业都是至关重要的。思博伦全新解决方案能够为您提供连续、深入的自动化网络安全漏洞评估。
思博伦CyberFlood数据漏洞评估(CF DBA)
接下来,我们用几分钟来了解一下提供全面网络安全评估能力和上文所述各种属性的CF DBA。在实现这些能力的过程中,该解决方案所用的是轻量化的加密代理,不仅可以嵌入企业网段中,还能仿真各类攻击向量。为说明CF DBA的基本能力,我们将通过下面的屏幕截图来展示其测试配置。
CF DBA解决方案包含如下几项广泛的能力:
- 测试配置中定义了高级别的拓扑结构,包括每一个网区中的CF DBA代理,以及被测设备(例如防火墙),以及这些网区中的攻击来源和目标
- 广泛的调度能力可以按具体条件来启动评估,例如特定的时间频率、特定的时戳、某个漏洞的问题得到解决的时刻,或者是新漏洞配置可用的时候
- 可向个人或群组提供查看、编辑或运行测试配置的授权
- 可根据用户定制、侦察或所有可用攻击,启动各区之间或被测设备之间的攻击
- 在发起攻击时,可以按顺序、并列,或顺序和并列组合的方式执行规避技术(如:模糊)
- 提供可添加常见文件类型(例如MS-WORD/EXCEL/PPT和Adobe PDF等)下敏感数据的选项
- 除与Splunk、IBM QRadar等SIEM关联并用于事件分析外,还提供对ITS管理进行配置的选项,其中可使用的解决方案包括JIRA、Zendesk、ServiceNow和Redmine
CF DBA还可以利用安全平台(例如防火墙)API来实现新策略的自动响应,消减那些已经探测到但尚未被阻止的攻击。
实时报告和最终报告中都包含涉及评估的大量详情,其中包括:
- 事件和任务项跟踪趋势的快照
- 总体攻击拓扑结构状态
- 区间攻击发现汇总
区间攻击向量详情,包括攻击描述、类别/CVE ID、起始时戳、攻击者、目标IP和端口,以及问题状态和初始报告时戳、攻击的严重程度、攻击是否被阻止,以及攻击是否触发与SIEM相匹配的事件等
每次攻击消减的详情,例如调用流等,都可以从最终中报告中获得
CyberFlood数据漏洞评估解决方案提供可操作性强的见解,助您深入了解网络在每次事件中或连续状态下的安全态势。通过在安全的情况下对安全策略执行压力测试,不仅可以帮助企业降低风险,还可以提升网络的运营效率。
此外,如果客户需要,思博伦SecurityLabs团队可以直接提供协助,确保CF DBA解决方案在网络部署中高效、精确的运行。
如欲进一步了解思博伦CyberFlood数据入侵评估解决方案如何帮助企业验证网络基础设施的安全态势,敬请点击:https://www.spirent.cn/go/cyberflooddba
