重保進入“新常态”
山石網科解碼
全生命周期安全保障服務
重保進入“新常态”,山石網科高度重視、全面部署,竭誠為使用者提供更專業、穩定、創新的産品以及全方位、全生命周期的安全保障方案,助力客戶做好網絡安全保障工作。
山石網科以自适應的P2DR安全架構為核心,結合多年行業客戶安全研究、安全威脅處置經驗,從威脅預測、防禦、監控、回溯四個角度出發,通過安全評估、應急保障、攻防演練、安全通告、安全教育訓練等服務方式,着力為客戶打造“自适應、全感覺、全覆寫”的全生命周期安全服務體系。
山石網科全生命周期安全保障方案,從保障前期的資産梳理、風險評估、安全加強、應急演練,到重保期間的實時監控、應急處置,山石網科均能提供貼合客戶現狀的完整解決方案,確定客戶在重要敏感時期的網絡安全。
圖注:山石網科重保時期全生命周期
安全保障服務架構
圖注:山石網科重保時期安全保障服務流程
一、安全摸底階段
1.組建團隊
山石網科具有豐富的重保時期安全保障服務經驗,參與過重保期間的各項工作,熟悉重保時期各項工作流程與内容。協助客戶組建重保時期網絡安全保障組織架構、工作分工和計劃。同時,建立工作溝通群組,并建立相關從業人員的聯系清單,確定工作的順利開展。
2.資産梳理
資産梳理是“摸清家底,認清風險”的必要措施,也是縮小攻擊面、準确預測攻擊威脅的必備條件。在資産梳理階段山石網科安全服務專家将協助客戶明确被保障系統的安全狀态,包括關鍵鍊路、是否定級、以往安全檢查狀況,同區域、同網段部署的業務系統等,針對被保障系統相關資産(網絡裝置、安全裝置、主機系統),分析梳理可能的攻擊路徑,了解内網安全狀态。
3.安全自查
● 漏洞掃描
作為一種主動防範措施,漏洞掃描能有效避免黑客攻擊行為,防患于未然。在自查期間,山石網科安全服務專家主要采用山石網科遠端安全評估系統對客戶被保障的應用系統、主機作業系統等資産進行漏洞掃描,發現掃描對象存在的web應用漏洞、主機作業系統漏洞、資料庫漏洞、邏輯缺陷、弱密碼、資訊洩露等脆弱性問題。掃描結束後人工分析和去除誤報并生成《漏洞掃描報告》。
● 基線檢查
山石網科安全服務工程師将根據山石網科基線核查标準,采用人工檢查用表(checklist)及山石網科遠端安全評估系統對被保障範圍内的主機作業系統進行安全規則配置、安全政策配置、日志報警資訊以及系統和軟體更新、更新情況,是否存在後門等項目進行核查,展示所面臨的安全問題,并提供有效的解決方案,確定安全設施的安全性和完整性。
● 滲透測試
滲透測試的目的在于發現被保障應用及系統中可能存在的攻擊路徑和薄弱環節,驗證攻擊方能夠通過哪些資訊系統的脆弱點,擷取測試對象的不同程度的資訊資料,甚至證明攻擊方能夠達到直接破壞或中斷測試對象業務的能力,深層次發現測試對象存在的風險和漏洞以及攻擊路徑,提出專業安全建議和解決方案。
圖注:滲透測試架構
在對被保障關鍵業務系統執行滲透測試時,安全服務專家會針對整個滲透過程進行記錄,并編寫《滲透測試報告》。同時,提供清晰可落地的修複建議,幫助快速修複隐患,總結抵禦攻擊的最佳實踐。協助管理者修複系統已存在的安全漏洞,從根本對業務系統的安全性進行加強。
二、安全加強階段
1.自查問題修複
針對漏洞掃描、基線核查、滲透測試中發現的安全漏洞和配置缺陷,山石網科安全服務專家會提供對應的修複建議與方案,并向相關人員下發整改意見書。在整改階段,安全服務專家将指導管理者完成漏洞和配置修複,并及時跟進修複情況。
2.預警能力提升
針對前期發現的網絡架構風險,對網絡架構薄弱點提供整改建議,同時,山石網科提供下一代防火牆、IPS入侵防禦、WAF應用防火牆、智源态勢感覺平台、智能内網威脅感覺系統等安全裝置的短期租賃,在重保時期為客戶打造一套集監測、預警、分析、響應、溯源的動态防禦體系。
3.應急響應演練
針對重保期間可能面臨的攻擊行為和安全風險,根據客戶實際情況,建立閉環的事件處置流程,提升客戶安全從業人員的事件應急處置能力,配合客戶完成應急響應預案的編制工作。
4.安全意識教育訓練
協助樹立資訊安全意識,對員工進行資訊安全意識方面的教育,整體提高企業群組織的資訊安全防守水準。山石網科具有的專業教育訓練團隊,能夠為不同層級的員工提供差異化的安全意識教育訓練服務,教育訓練對象包括普通員工、IT技術人員及上司決策層。
三、安全保障階段
1.全天值守
● 重點系統監控
對被保障系統進行實時監控,一旦發現異常,安全服務專家将在第一時間對其進行快速處理。
● 網際網路網站持續監控
通過網站安全監測平台對網際網路網站進行持續監控,持續識别網站安全漏洞、網站安全狀況、網站篡改與網馬、外鍊與暗鍊、敏感内容與敏感資訊等情況,并通過安全服務專家進行人工稽核,并進行遠端快速響應。
● 運作狀态監控
通過流量分析系統工具,對被保障系統的出入流量進行實時監測,分析其流量、并發、會話、全連結、半連結等關鍵資料,并同時對系統、資料庫、中間件的日志進行分析并形成日志審計記錄,進而有效評估系統的運作狀态是否正常。
● 安全狀态監控
通過對防火牆、WAF、IPS、态勢感覺等裝置的狀态監控,實時了解被保障系統的安全狀況。
2.應急響應
● 日志分析
通過登入防火牆、WAF、IPS、态勢感覺等安全裝置,提取日志資料進行人工安全分析,對被保障系統遭受到的攻擊方式、頻率、防禦有效性等方面進行資料分析總結。
● 應急反應事件處置
根據國際廣泛采用的PDCERF應急響應流程,山石網科提供定制的應急響應服務,妥善處置事件,并輸出處置報告。在出現疑似攻擊事件時,協助客戶進行攻擊事件研判,針對已經明确的攻擊IP和漏洞,送出應急處置組進行封禁和修複,針對重大事件,協助對事件進行緊急分析和處理。
● 專家溯源反制
安全專家現場針對攻擊事件開展溯源反制工作,針對日志流量、攻擊手段、木馬檔案等攻擊行為資訊進行人工分析,結合山石網科威脅情報中心迅速形成攻擊方行為畫像,進行攻擊反制,提升安全實戰化防護水準。
四、保障總結階段
1.安全保障總結
在重保後期,山石網科将根據重保期間的工作内容,提供工作總結報告,總結經驗,提出優化建議。
2.安全營運建議