攻防演练之-网络安全产品大巡礼二

书接上文,《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼一,这里。

“咱们中场休息一会,我去接杯水哈”,看着认真听讲的众人,王工很是满意,经常夹在甲乙两方受气的他,这次终于表现了一把,随后就去接热水去了。

“没想到王工懂的这么多,以他的能力,将来进入甲方也只是时间的问题把”。

“只要甲方有坑位,他应该问题不大”,众人附和道,一阵窃窃私语之后,有的去接水,有的去放水,老烟枪抽华子,新手们伸懒腰去了。

在这里插入图片描述

SOAR

一炷香时间悄然而逝,王工开始接着介绍了SAOR(Security Orchestration, Automation, and Response,安全编排、自动化与响应)系统。

“从SAOR名字可以看出,这类产品强调的是安全编排,自动化响应,很多的同事在刚接触到此类的产品也是一头的雾水。事实上能够成功落地的SOAR 产品,且被甲方所接受的都是在告警/案件/工单管理方面比较突出的。“

“案件管理,工单管理指的是什么意思”,亮哥团队很少发言的检测专家突然问道。

“我们的告警中存在大量的误报以及unwanted的告警,这块需要先排除,这块会由SOC人员分析。但是通常一个告警如果是真实的攻击,往往会上升到案件。案件的处理需要认真对待,由于案件的处理周期长,涉及的安全分析师不止一个人,会进行深度分析,会进行威胁狩猎等活动,需要威胁情报TI的人支持,同时往往需要IT修复人员的支持,需要输出案件的报告等。多人员的配合则需要工单的流转,纪录案件相关的上下文记录,这块是大型企业安全成熟度高的团队所需要的。传统的SIEM在案件的上下文记录,工单的管理是偏弱的,这就是催生出SOAR的直接原因。当然SOAR名字中的安全编排,自动化响应目前更多的是对于案件、工单处理流程的编排,至于自动化的响应,说实话没有几家企业敢第一个吃螃蟹的。试想一下,一台DNS服务器发生了病毒感染,你会按照剧本对该DNS服务器实施网络隔离吗。也许你认为自己做了正确的是,但是恐怕CISO会直接将你开除。总的来说自动化响应这块应用的范围较窄,对于一些安全等级不是很高的系统可以尝试使用,可以更快速、更准确地应对安全威胁。但是安全分析师配合相关人员手动的修补仍然会是很长一段时间内的现状。“

“SOAR具备关联功能吗,SOAR和XDR的区别是啥?”亮哥问到。

“在关联这一块,SOAR做的主要是将告警涉及的artifact进行提取,不同的告警中间具备相同的artifact进行关联。例如不同的案件之间具备相同的命令,这样安全分析师就可以将其进行关联。而XDR的关联更多的是在于告警上下文的丰富,不仅是告警与告警之间,更多的是侧重于告警和遥测数据以及日志之间的关联,减轻分析师的手动操作,让分析师能够更专注于分析攻击本身。”

XDR

既然提到了XDR,王工顺势打开了XDR(Extended Detection and Response,扩展检测与响应)的介绍页面。

“XDR是网络安全领域比较火的技术趋势,最初是由全球最大的网络安全供应商palo alto 提出的,他的目的是融合EDR,NDR等平台的告警和数据,减少企业安全产品的管理压力,为中小企业提供统一平台一站式的解决方案。由于中小企业的IT架构比较简单,数据量小,基本构成就是办公PC和服务器组成,传统的安全解决方案就是EDR,NDR,Email,Firewall,因此整合起来复杂度低。而且中小企业也不想在诸多的安全解决方案中分散过多的精力,因此XDR对于中小企业是一个非常好的技术发展方向。但是对于大型企业来说,有诸多的限制,历史包袱多,安全解决方案众多;架构复杂,包含传统IT,云环境,OT网络等等;数据量巨大,多种异构数据源无时无刻不在产生海量的数据。同时目前一些XDR基本还是由EDR演进而来,不能不说是挂羊头卖狗肉。因此XDR在很多的大型企业中,像我们所在的甲方推进缓慢。”

“但是XDR这种技术理念的趋势,统一目前企业诸多安全解决方案的现状估计也是时间问题”,产品经理强哥补充道。强哥是乙方产品的一名产品经理,这次也是迫于领导的压力,在攻防演练期间四处拜访办事处和甲方单位,这次出现在该甲方现场,也说明他对该客户的重视。

“Hi,强哥,你来了”。在和产品经理简单寒暄后,王工继续补充道,“没错,目前甲方的张博士对于新技术持开放态度,因此对于C公司的XDR目前在企业内部处于POC阶段。不过目前大家已经习惯了老的工作流程,对于XDR的使用积极性不高。如果将来XDR不仅能够整合EDR和NDR,还能够整合SIEM,SOAR,Email等多种能力,实际的为企业减少管理维护这些设备的成本,提供更全面的威胁检测和响应能力,我想这是甲方企业乐于见到的”。

“XDR这块目前还是POC阶段,估计大家使用评率不高。不过,亮哥你们研发可以借鉴和研究下C公司XDR的优点,也许可以给我们的产品演进提供一些思路”,王工提醒道。

邮件网关

前面给大家介绍的都是比较大的平台,因为平台管理的终端和数据量比较大,因此使用的比较频繁。接下来给大家介绍一下在攻防演练过程中也需要格外关注的邮件网关。说着王工打开了Email的介绍页面。

“钓鱼邮件是攻防演练中最为常见的一种threat vector,通常来说在演练的后期,红方无法使用其他手段突破防守的时候,钓鱼邮件的数量会偏多。在去年的演练过程中,蓝方通过钓鱼邮件,贡献了两份的溯源报告。目前甲方使用的邮件安全解决方案是一家国内比较小的安全公司,专注于邮件安全。邮件服务器会将收到的邮件拷贝一份到邮件处理服务中,通过对于邮件内容以及附件的分析,判定是否存在钓鱼邮件。不仅在攻防演练的过程中,在日常安全运营过程中,邮件网关都起到巨大的作用。据说这家公司的创始人是国内知名战队创立的,其内置的沙箱贴近实战化的检测能力为改款产品赢得了良好的口碑。加之国内大的安全公司普遍不重视邮件安全这块,因此该公司这几年发展势头不错。”

“邮件解决方案的思路有两种,一种是沙箱,另外一种是和威胁情报相结合。我之前一个朋友也是做邮件这一块的,他们的优势在于将邮件和威胁情报相结合,提供云上的URL检测能力,效果也还不错。”

“小白,这次演练过程中,邮件这块的盯屏就有你来负责,所以接下来你要快速的熟悉邮件网关的使用,一旦发现可疑行为要理解报告给我。”,Nick顺势安排着。

云沙箱

接下来,王工继续展示了云沙箱的介绍页面。

“云沙箱更多的定位不是实时检测类工具,而是为安全分析师提供的分析类工具,是我们用来检测和分析可疑文件,程序以及URL的工具。”

王工说道,“它能够在一个隔离的环境中运行可疑文件,观察其行为,判断是否存在恶意行为。通过这种方式,我们可以在不影响真实环境的情况下,安全地分析潜在威胁。”

“云沙箱和传统沙箱有什么区别?”安服A问道。

“云沙箱具有更强的扩展性和灵活性。”王工解释道,“传统沙箱通常部署在本地,资源有限,而云沙箱可以利用云计算的强大资源,提供更快速、更全面的分析。此外,云沙箱可以随时更新和升级,保持对最新威胁的检测能力。”

“事实上当初引进云沙箱并不容易,一方面国内的很多行业处于数据安全的考虑,对于云的安全解决方案接受程度普遍不如国外。另一方面团队的安全成熟度偏低,对于云沙箱的需求并不明显。通过刚才的动员大会你们可以看到,张博其实是非常懂安全的。这款产品其实是他力排众议引进的,据说他是一个非常有野心的人。准备在该行业打造高安全成熟度团队的标杆,我还是蛮佩服他的。不过话说回来,云沙箱可以帮助我们分析恶意软件以及URL的访问行为,极大地降低了我们对于恶意软件的分析难度。”

“恶意软件不用担心,我们团队这次配备了逆向高手,这点大家不用担心”,Nick淡淡的说到。

防火墙

最后,王工继续展示了防火墙的介绍页面。

“防火墙是一种最古老的安全防护手段,发展至今天,至少在甲方这块,具备三种不同类型的防火墙。

“基于网络流量的传统防火墙,基于服务器日志的web应用防火墙,以及基于主机的主机防火墙。防火墙最大的作用就是阻断网络访问。传统的防火墙是根据配置策略阻断网络连接,例如从外到内的SMB连接。WAF的作用是阻断大量的针对WEB类应用的攻击和漏扫请求。主机防火墙可以可EDR联动对主机实施网络隔离。”

“在实际使用过程中,网络防火墙主要用在预防阶段,接收威胁情报的阻断IP,对网络具备威胁的地址实施封禁。WAF的每天会产生海量的日志,因此主要价值是作为证据链分析中Recon阶段的证据。主机防火墙主要用在响应阶段,和EDR联动,对主机进行网络隔离”。

王工的讲解让小白和他的团队成员们受益匪浅。通过这次非正式的讲解,他们不仅对甲方的安全产品阵列有了更深入的了解,也对网络安全产品的安全防护体系的复杂性和重要性有了全面的把握。

“谢谢王工,今天的讲解非常详细。”小白说道。

“不客气。”王工笑了笑,“希望这些信息能帮助你们在接下来的演习中更好地发挥自己的作用。记住,安全防护是一个系统工程,只有各个环节密切协作,才能确保网络的安全。”讲解结束后,小白和团队成员们纷纷表达了对王工的感谢。

本故事中人物角色和故事情节纯属虚构,如有雷同,纯属巧合。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/699343.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

流批一体计算引擎-9-[Flink]中的数量窗与时间窗

1 数量窗 1.1 数量滚动窗口 0基础学习PyFlink——个数滚动窗口(Tumbling Count Windows) 1.1.1 代码分析 Tumbling Count Windows是指按元素个数计数的滚动窗口。 滚动窗口是指没有元素重叠的窗口。 (1)构造了一个KeyedStream,用于存储word_count_data中的数据。…

2025年QS世界大学排名,美国大学表现如何?

大多数访问学者申请,在探讨QS大学排名中美国大学的表现时,我们不难发现这些学府在全球高等教育舞台上占据着举足轻重的地位。QS排名作为评估全球大学综合实力的重要指标之一,充分展示了美国大学在学术声誉、科研实力、教学质量和国际影响力等…

专属部署的优势和企业价值

纷享销客支持多种部署方式,满足不同企业在高性能、隔离性、安全性、合规性等方面的要求。 公有云SaaS 公有云SaaS服务即直接使用纷享云服务,CRM应用、数据等均在纷享云,客户只需开通账号和相关服务,做到了即开即用。 纷享云采用…

Error:Kotlin: Module was compiled with an incompatible version of Kotlin.

一、问题:运行spring boot项目时,idea报出错误:时提示报错如下图: 错误代码: Error:Kotlin: Module was compiled with an incompatible version of Kotlin. The binary version of its metadata is 1.6.0, expected …

springboot p2p金融信贷平台的设计与实现-计算机毕业设计源码82978

摘 要 信息化社会内需要与之针对性的信息获取途径,但是途径的扩展基本上为人们所努力的方向,由于站在的角度存在偏差,人们经常能够获得不同类型信息,这也是技术最为难以攻克的课题。针对p2p金融信贷平台等问题,对p2p金…

PDF编辑与修正 提高工作效率 Enfocus PitStop Pro 2022 中文

Enfocus PitStop Pro 2022是一款专为Mac用户设计的强大PDF编辑和校对工具。它支持添加、删除、合并、分割PDF页面,以及文本和图像的编辑,如文字替换、字体更改、颜色调整等。内置自动修复功能,能快速检测并修复缺失字体、重叠文本等常见问题。…

健身小程序:智能化助力个人健身旅程

一、智能化功能的核心 健身小程序的智能化功能主要体现在以下几个方面: 智能健身计划推荐:小程序内置了先进的算法,能够根据用户的身体状况、健身目标和时间安排,智能推荐个性化的健身计划。这些计划不仅科学合理,而且…

在Vue2和Vue3中ECharts如何使用,详细步骤,ref,$ref。echarts官网。

不管是在vue2中还是在vue3中其实本质上的原理和步骤都是一样的,只是语法可能有所不同。 为了方便大家看起乱,vue2和vue3我分开写。 echarts官网: https://echarts.apache.org/zh/index.html Vue2篇: 1.导入echarts包&#xf…

云联HIS系统源码,二级医院信息系统源码,支持云架构部署模式

采用java语言开发B/S广域互联模式,支持云架构部署模式,支持大数据分析技术;支持与医保平台接口、电子票据对接。 云HIS系统相关技术: 后台:JavaSpring,SpringBoot,SpringMVC,Sprin…

数学模型:操作系统中FCFS、SJF、HRRN算法的平均周转时间比较 c语言

摘 要 研究目的:比较操作系统中进程调度FCFS、SJF、HRRN算法的平均周转时间和带权周转时间的大小关系。 研究方法:在建模分析时,分别举4个进程的例子,1个进程用两个字母分别表示到达时间和执行时间。分两种极端情况&#xff0c…

解锁工业数据流:NeuronEX 规则调试功能实操指南

工业企业要实现数据驱动的新质生产力升级,一个重要的环节便是如何准确、可靠地收集并利用生产过程中的数据流。 NeuronEX 工业边缘软件中的规则调试功能,可帮助用户在安全的环境中模拟数据输入,测试和优化数据处理规则,从而提前发…

低代码是什么,低代码平台可以解决哪些业务问题

低代码(Low-Code)是一种软件开发方法,它使得开发人员能够通过图形界面、拖放组件和模型驱动的逻辑,快速地构建和部署应用程序,而无需编写大量的代码。 近年来,低代码正在逐步帮助企业解决业务问题&#xff…

STL——Stacks容器

一、stack 1.操作 语法: <><>!所有的这些操作可以被用于堆栈. 相等指堆栈有相同的元素并有着相同的顺序。 2.empty 语法: bool empty();如当前堆栈为空&#xff0c;empty() 函数 返回 true 否则返回false. 3.pop 语法: void pop();pop() 函数移除堆栈中最顶层元…

React 懒加载源码实现

懒加载 React 中懒加载是一种按需加载组件的机制&#xff0c;有些组件不需要在页面初始化就进行加载&#xff0c;这些组件可以按需加载&#xff0c;当需要时再进行加载。懒加载是怎么实现的呢&#xff1f;如果要实现一个懒加载功能应该怎么去做呢&#xff1f;可以通过异步动态…

专业学习|博弈论-课程改革

学习来源&#xff1a;北京大学刘霖《博弈论》MOOC公开课 备注&#xff1a;仅做学习分享&#xff0c;请勿转载&#xff0c;转载必究&#xff01; &#xff08;一&#xff09;博弈论的预备知识 基本的微积分的知识和概率论的知识。简单的说会求导数&#xff0c;会求简单的积分&am…

BUUCTF---web---[SUCTF 2019]CheckIn

1、点击题目连接来到页面 2、上传正常的jpg文件&#xff0c;提示内容不能有<?。本来打算上传图片马&#xff0c;但是有过滤 3、可以改成下面的图片马&#xff1a; <script languagephp>eval($_POST[cmd]);</script> 4、将上面的一句话木马先写成txt再修改后缀为…

01_基于人脸的常见表情识别实战_深度学习基础知识

1. 感知机 感知机通常情况下指单层的人工神经网络,其结构与 MP 模型类似(按照生物神经元的结构和工作原理造出来的一个抽象和简化了模型,也称为神经网络的一个处理单元) 假设由一个 n 维的单层感知机,则: x 1 x_1 x1​ 至 x n x_n xn​ 为 n 维输入向量的各个分量w 1 j…

【C语言】一篇带你高强度解析精通 字符串函数和内存函数 (万字总结大全,含思维导图)(建议收藏!!!)

【 库函数】——字符串函数和内存函数 目录 思维导图&#xff1a; 一&#xff1a;字符串函数 1.1&#xff1a;字符串常规函数 1.1.1&#xff1a;长度不受限制的字符串函数 1.1.1.1&#xff1a;strlen函数 1.1.1.2&#xff1a;strcpy函数 1.1.1.3&#xff1a;strcat函数 …

芯片级激光器研发取得新进展

欢迎关注GZH《光场视觉》 自 20 世纪 60 年代以来&#xff0c;激光给世界带来了革命性的变化&#xff0c;如今已成为从尖端手术和精密制造到光纤数据传输等现代应用中不可或缺的工具。 但是&#xff0c;随着激光应用需求的增长&#xff0c;挑战也随之而来。例如&#xff0c;光…

勒索病毒搜索引擎

360勒索病毒搜索引擎 https://lesuobingdu.360.cn/ 腾讯勒索病毒搜索引擎 https://guanjia.qq.com/pr/ls/ VenusEye勒索病毒搜索引擎 https://lesuo.venuseye.com.cn/ 奇安信勒索病毒搜索引擎 https://lesuobingdu.qianxin.com/index/getFile 深信服勒索病毒搜索引擎…