攻防演练之-网络安全产品大巡礼二

news2024/11/8 12:19:00

书接上文,《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼一,这里。

“咱们中场休息一会,我去接杯水哈”,看着认真听讲的众人,王工很是满意,经常夹在甲乙两方受气的他,这次终于表现了一把,随后就去接热水去了。

“没想到王工懂的这么多,以他的能力,将来进入甲方也只是时间的问题把”。

“只要甲方有坑位,他应该问题不大”,众人附和道,一阵窃窃私语之后,有的去接水,有的去放水,老烟枪抽华子,新手们伸懒腰去了。

在这里插入图片描述

SOAR

一炷香时间悄然而逝,王工开始接着介绍了SAOR(Security Orchestration, Automation, and Response,安全编排、自动化与响应)系统。

“从SAOR名字可以看出,这类产品强调的是安全编排,自动化响应,很多的同事在刚接触到此类的产品也是一头的雾水。事实上能够成功落地的SOAR 产品,且被甲方所接受的都是在告警/案件/工单管理方面比较突出的。“

“案件管理,工单管理指的是什么意思”,亮哥团队很少发言的检测专家突然问道。

“我们的告警中存在大量的误报以及unwanted的告警,这块需要先排除,这块会由SOC人员分析。但是通常一个告警如果是真实的攻击,往往会上升到案件。案件的处理需要认真对待,由于案件的处理周期长,涉及的安全分析师不止一个人,会进行深度分析,会进行威胁狩猎等活动,需要威胁情报TI的人支持,同时往往需要IT修复人员的支持,需要输出案件的报告等。多人员的配合则需要工单的流转,纪录案件相关的上下文记录,这块是大型企业安全成熟度高的团队所需要的。传统的SIEM在案件的上下文记录,工单的管理是偏弱的,这就是催生出SOAR的直接原因。当然SOAR名字中的安全编排,自动化响应目前更多的是对于案件、工单处理流程的编排,至于自动化的响应,说实话没有几家企业敢第一个吃螃蟹的。试想一下,一台DNS服务器发生了病毒感染,你会按照剧本对该DNS服务器实施网络隔离吗。也许你认为自己做了正确的是,但是恐怕CISO会直接将你开除。总的来说自动化响应这块应用的范围较窄,对于一些安全等级不是很高的系统可以尝试使用,可以更快速、更准确地应对安全威胁。但是安全分析师配合相关人员手动的修补仍然会是很长一段时间内的现状。“

“SOAR具备关联功能吗,SOAR和XDR的区别是啥?”亮哥问到。

“在关联这一块,SOAR做的主要是将告警涉及的artifact进行提取,不同的告警中间具备相同的artifact进行关联。例如不同的案件之间具备相同的命令,这样安全分析师就可以将其进行关联。而XDR的关联更多的是在于告警上下文的丰富,不仅是告警与告警之间,更多的是侧重于告警和遥测数据以及日志之间的关联,减轻分析师的手动操作,让分析师能够更专注于分析攻击本身。”

XDR

既然提到了XDR,王工顺势打开了XDR(Extended Detection and Response,扩展检测与响应)的介绍页面。

“XDR是网络安全领域比较火的技术趋势,最初是由全球最大的网络安全供应商palo alto 提出的,他的目的是融合EDR,NDR等平台的告警和数据,减少企业安全产品的管理压力,为中小企业提供统一平台一站式的解决方案。由于中小企业的IT架构比较简单,数据量小,基本构成就是办公PC和服务器组成,传统的安全解决方案就是EDR,NDR,Email,Firewall,因此整合起来复杂度低。而且中小企业也不想在诸多的安全解决方案中分散过多的精力,因此XDR对于中小企业是一个非常好的技术发展方向。但是对于大型企业来说,有诸多的限制,历史包袱多,安全解决方案众多;架构复杂,包含传统IT,云环境,OT网络等等;数据量巨大,多种异构数据源无时无刻不在产生海量的数据。同时目前一些XDR基本还是由EDR演进而来,不能不说是挂羊头卖狗肉。因此XDR在很多的大型企业中,像我们所在的甲方推进缓慢。”

“但是XDR这种技术理念的趋势,统一目前企业诸多安全解决方案的现状估计也是时间问题”,产品经理强哥补充道。强哥是乙方产品的一名产品经理,这次也是迫于领导的压力,在攻防演练期间四处拜访办事处和甲方单位,这次出现在该甲方现场,也说明他对该客户的重视。

“Hi,强哥,你来了”。在和产品经理简单寒暄后,王工继续补充道,“没错,目前甲方的张博士对于新技术持开放态度,因此对于C公司的XDR目前在企业内部处于POC阶段。不过目前大家已经习惯了老的工作流程,对于XDR的使用积极性不高。如果将来XDR不仅能够整合EDR和NDR,还能够整合SIEM,SOAR,Email等多种能力,实际的为企业减少管理维护这些设备的成本,提供更全面的威胁检测和响应能力,我想这是甲方企业乐于见到的”。

“XDR这块目前还是POC阶段,估计大家使用评率不高。不过,亮哥你们研发可以借鉴和研究下C公司XDR的优点,也许可以给我们的产品演进提供一些思路”,王工提醒道。

邮件网关

前面给大家介绍的都是比较大的平台,因为平台管理的终端和数据量比较大,因此使用的比较频繁。接下来给大家介绍一下在攻防演练过程中也需要格外关注的邮件网关。说着王工打开了Email的介绍页面。

“钓鱼邮件是攻防演练中最为常见的一种threat vector,通常来说在演练的后期,红方无法使用其他手段突破防守的时候,钓鱼邮件的数量会偏多。在去年的演练过程中,蓝方通过钓鱼邮件,贡献了两份的溯源报告。目前甲方使用的邮件安全解决方案是一家国内比较小的安全公司,专注于邮件安全。邮件服务器会将收到的邮件拷贝一份到邮件处理服务中,通过对于邮件内容以及附件的分析,判定是否存在钓鱼邮件。不仅在攻防演练的过程中,在日常安全运营过程中,邮件网关都起到巨大的作用。据说这家公司的创始人是国内知名战队创立的,其内置的沙箱贴近实战化的检测能力为改款产品赢得了良好的口碑。加之国内大的安全公司普遍不重视邮件安全这块,因此该公司这几年发展势头不错。”

“邮件解决方案的思路有两种,一种是沙箱,另外一种是和威胁情报相结合。我之前一个朋友也是做邮件这一块的,他们的优势在于将邮件和威胁情报相结合,提供云上的URL检测能力,效果也还不错。”

“小白,这次演练过程中,邮件这块的盯屏就有你来负责,所以接下来你要快速的熟悉邮件网关的使用,一旦发现可疑行为要理解报告给我。”,Nick顺势安排着。

云沙箱

接下来,王工继续展示了云沙箱的介绍页面。

“云沙箱更多的定位不是实时检测类工具,而是为安全分析师提供的分析类工具,是我们用来检测和分析可疑文件,程序以及URL的工具。”

王工说道,“它能够在一个隔离的环境中运行可疑文件,观察其行为,判断是否存在恶意行为。通过这种方式,我们可以在不影响真实环境的情况下,安全地分析潜在威胁。”

“云沙箱和传统沙箱有什么区别?”安服A问道。

“云沙箱具有更强的扩展性和灵活性。”王工解释道,“传统沙箱通常部署在本地,资源有限,而云沙箱可以利用云计算的强大资源,提供更快速、更全面的分析。此外,云沙箱可以随时更新和升级,保持对最新威胁的检测能力。”

“事实上当初引进云沙箱并不容易,一方面国内的很多行业处于数据安全的考虑,对于云的安全解决方案接受程度普遍不如国外。另一方面团队的安全成熟度偏低,对于云沙箱的需求并不明显。通过刚才的动员大会你们可以看到,张博其实是非常懂安全的。这款产品其实是他力排众议引进的,据说他是一个非常有野心的人。准备在该行业打造高安全成熟度团队的标杆,我还是蛮佩服他的。不过话说回来,云沙箱可以帮助我们分析恶意软件以及URL的访问行为,极大地降低了我们对于恶意软件的分析难度。”

“恶意软件不用担心,我们团队这次配备了逆向高手,这点大家不用担心”,Nick淡淡的说到。

防火墙

最后,王工继续展示了防火墙的介绍页面。

“防火墙是一种最古老的安全防护手段,发展至今天,至少在甲方这块,具备三种不同类型的防火墙。

“基于网络流量的传统防火墙,基于服务器日志的web应用防火墙,以及基于主机的主机防火墙。防火墙最大的作用就是阻断网络访问。传统的防火墙是根据配置策略阻断网络连接,例如从外到内的SMB连接。WAF的作用是阻断大量的针对WEB类应用的攻击和漏扫请求。主机防火墙可以可EDR联动对主机实施网络隔离。”

“在实际使用过程中,网络防火墙主要用在预防阶段,接收威胁情报的阻断IP,对网络具备威胁的地址实施封禁。WAF的每天会产生海量的日志,因此主要价值是作为证据链分析中Recon阶段的证据。主机防火墙主要用在响应阶段,和EDR联动,对主机进行网络隔离”。

王工的讲解让小白和他的团队成员们受益匪浅。通过这次非正式的讲解,他们不仅对甲方的安全产品阵列有了更深入的了解,也对网络安全产品的安全防护体系的复杂性和重要性有了全面的把握。

“谢谢王工,今天的讲解非常详细。”小白说道。

“不客气。”王工笑了笑,“希望这些信息能帮助你们在接下来的演习中更好地发挥自己的作用。记住,安全防护是一个系统工程,只有各个环节密切协作,才能确保网络的安全。”讲解结束后,小白和团队成员们纷纷表达了对王工的感谢。

本故事中人物角色和故事情节纯属虚构,如有雷同,纯属巧合。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1813641.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

在Spring Boot中使用Sa-Token实现路径拦截和特定接口放行

在Spring Boot中使用Sa-Token实现路径拦截和特定接口放行 很喜欢的一段话:别想太多,好好生活,也许日子过着过着就会有答案,努力走着走着就会有温柔的着落。 春在路上,花在枝上,所有的美好都在路上&#xff…

Coap协议在物联网中的实战

1. 前言 提到CoAP不能不提MQTT协议,MQTT协议可以保持长链接,具有一定的实时性,云端向客户端发送消息,设备端可以在最短的时间内接收并作出响应,所以MQTT更适合于实时控制场景,需要保持长连接,不…

WDF驱动开发-I/O请求的处理(三)

创建框架请求对象 框架请求对象表示 I/O 管理器已发送到驱动程序的 I/O 请求。 基于框架的驱动程序通过调用 框架请求对象方法来处理每个 I/O 请求。 每个 I/O 请求都包含一个 WDM I/O 请求数据包 (IRP 结构) ,但基于框架的驱动程序通常不需要访问 IRP 结构。 大…

【AI大模型】Transformers大模型库(八):大模型微调之LoraConfig

目录 一、引言 二、LoraConfig配置参数 2.1 概述 2.2 LoraConfig参数说明 2.3 代码示例 三、总结 一、引言 这里的Transformers指的是huggingface开发的大模型库,为huggingface上数以万计的预训练大模型提供预测、训练等服务。 🤗 Transformers …

3.2 窗口滚动条

本节讲述窗口滚动条的简单使用方法。如果窗口客户区的内容太多,为了方便浏览窗口客户区的所有内容,就需要在创建窗口时添加窗口垂直或水平滚动条样式。窗口过程处理WM_CREATE消息时初始化滚动条的位置和滚动范围。窗口过程处理WM_VSCROLL或WM_HSCROLL消息…

讲透计算机网络知识(实战篇)01——计算机网络和协议

一、计算机网络和协议 1、网络和互联网络 1.1 网络、互联网、Internet 用交换机、集线器连接在一起的计算机构成一个网络。 用路由器连接多个网络,形成互联网。 全球最大的互联网:Internet。 1.2 网络举例 家庭互联网 图中的无线拨号路由器既是路由…

281 基于matlab的路径规划GUI交互

基于matlab的路径规划GUI交互。包括蚁量系统、蚁周系统、蚁密系统、蚁群系统、免疫混合算法。11种路径规划数据,最多225个规划点。蚁群和免疫算法的参数可进行设置,使得效果最佳。动态显示可视化规划结果。程序已调通,可直接运行。

防止Selenium被检测 Google Chrome 125

背景 最近在使用selenium自动播放学习课程,相信大家也有一些类似的使用场景。 能自动化的事情,绝不自己干。 为防止被检测是机器人做题,刷视频,需要做一些小调整。 先来看作为服务方维护者,是如何检测是Selenium打…

8.transformers量化

Transformers 核心设计Auto Classes Transformers Auto Classes 设计:统一接口、自动检索 AutoClasses 旨在通过全局统一的接口 from_pretrained() ,实现基于名称(路径)自动检索预训练权重(模 型)、配置文件、词汇表等所有与模型相关的抽象。 灵活扩展的配置AutoConfig…

uniapp地图自定义文字和图标

这是我的结构&#xff1a; <map classmap id"map" :latitude"latitude" :longitude"longitude" markertap"handleMarkerClick" :show-location"true" :markers"covers" /> 记住别忘了在data中定义变量…

pip 配置缓存路径

在windows操作平台&#xff0c;默认情况&#xff0c;pip下使用的系统目录 C:\Users\用名名称\AppData\Local\pip C盘是系统盘&#xff0c;如果常常使用pip安装会占用大量的空间很快就满&#xff0c;这时候就有必要变更一下缓存保存路径了。 pip 配置缓存路径&#xff1a; Win…

【NoSQL数据库】Redis Cluster集群(含redis集群扩容脚本)

Redis Cluster集群 Redis ClusterRedis 分布式扩展之 Redis Cluster 方案功能数据如何进行存储 redis 集群架构集群伸缩向集群中添加一个新的master节点&#xff0c;并向其中存储 num10 .脚本对redis集群扩容缩容&#xff0c;脚本参数为redis集群&#xff0c;固定从6001移动200…

创建第一个Springboot项目HelloWorld

目录 一、准备工作 一、创建springboot项目 三、使用git上传到代码仓库gitee 四、git使用过程问题总结 一、准备工作 安装jdk&#xff1a;8u201&#xff08;可以使用高一点的版本&#xff09; jdk所有版本下载&#xff1a;Java Archive | Oracle 安装maven&#xff1a;不用…

Kafka生产者消息发送流程原理及源码分析

Kafka是一个分布式流处理平台,它能够以极高的吞吐量处理数据。在Kafka中,生产者负责将消息发送到Kafka集群,而消费者则负责从Kafka集群中读取消息。本文将探讨Kafka生产者消息发送流程的细节,包括消息的序列化、分区分配、记录提交等关键步骤。 先看一个生产者发送消息的代…

【五】Linux软件仓库Yum源--SSH远程控制--SCP远程传输

RPM&#xff08;红帽软件包管理器&#xff09; RPM建立统一的数据库文件&#xff0c;记录软件信息并分析依赖关系。目前RPM的优势已经被公众所认可&#xff0c;使用范围也已不局限在红帽系统中了。常见RPM命令如下&#xff1a; 安装软件 rpm -ivh file…

数据结构(DS)学习笔记(二):数据类型与抽象数据类型

参考教材&#xff1a;数据结构C语言版&#xff08;严蔚敏&#xff0c;杨伟民编著&#xff09; 工具&#xff1a;XMind、幕布、公式编译器 正在备考&#xff0c;结合自身空闲时间&#xff0c;不定时更新&#xff0c;会在里面加入一些真题帮助理解数据结构 目录 1.1数据…

【DevOps】 什么是容器 - 一种全新的软件部署方式

目录 引言 一、什么是容器 二、容器的工作原理 三、容器的主要特性 四、容器技术带来的变革 五、容器技术的主要应用场景 六、容器技术的主要挑战 七、容器技术的发展趋势 引言 在过去的几十年里,软件行业经历了飞速的发展。从最初的大型机时代,到后来的个人电脑时代,…

neo4j 3.5.5版本创建新的数据库

neo4j 3.5.5版本创建新的数据库 1.找到neo4j的conf文件 点进去 2.点击neo4j.conf 选择记事本打开 3.把graph.db换成自己想要创建的数据库名称 4.打开neo4j服务 出现新的数据库

信息系统项目管理师0151:输出(9项目范围管理—9.4收集需求—9.4.3输出)

点击查看专栏目录 文章目录 9.4.3 输出9.4.3 输出 需求文件 需求文件描述各种单一需求将如何满足项目相关的业务需求。一开始可能只有高层级的需求,然后随着有关需求信息的增加而逐步细化。只有明确的(可测量和可测试的)、可跟踪的、完整的、相互协调的,且主要干系人愿意认…

FreeRTOS学习笔记-基于stm32(14)内存管理

一、FreeRTOS 内存管理简介 FreeRTOS有两种方法来创建任务&#xff0c;队列&#xff0c;信号量等&#xff0c;一种动态一种静态。静态方法需要手动定义任务堆栈。使用动态内存管理的时候 FreeRTOS 内核在创建任务、队列、信号量的时候会动态的申请 RAM。 我们在移植FreeRTOS时可…