在国家数字化转型、网络空间被认定为“第五疆 域”的背景下 ,从中央到地方已经形成了安全法 规标准的全面落实机制 ,并且长期不断推进。
客户今年6月份发生了黑客入侵事件,导致OA、SAP等系统感染勒索病毒。为加强该企业安全体系建设,减轻运维人员压力,weunicode采用部署ensice云刃资产安全运维平台+服务的方式来满足安全服务要求。
ensice云刃一款基于攻击混淆与欺骗防御技术的威胁检测防御系统,利用欺骗防御技术,通过在黑客必经之路上构造陷阱,混淆其攻击目标,精确感知黑客攻击的行为,
将攻击隔离到ensice云刃资产安全运维平台的云蜜网系统,从而保护企业内部的真实资产,记录攻击行为,并获取黑客的网络身份和指纹信息,以便对其进行攻击取证和溯源。
客户的安全体系建设已非常成熟,针对日益庞大的系统,为了保障客户的网络安全,降低网络安全风险,摸清家底,认清风险,找出漏洞、通报整改,
weunicode提供本地化部署工具平台对客户信息系统做好资产风险监测与管理,无论是面对真实的黑客攻击,
还是应对模拟真实攻击的安全检测,做到“摸清资产”、“先于攻方发现潜在风险”、“及时且有效处置”,确保提升网络安全监管能力与合规性执行监督能力,为客户信息系统的稳定运行提供持续性安全保障。
同时Weunicode配合平台漏扫结果,制定详细的漏洞整改计划,协助客户建立新的系统安全基线,并进行安全闭环处置。
具体服务内容如下:
一、部署云刃平台,有效的降低了客户的运维压力,云刃平台包含资产运维模块、漏扫模块、威胁攻击智能分析研判模块、漏洞屏蔽模块、自动阻断模块。
1.联动 Saas 平台,以攻击者视角探测边界资产:未知互联网资产/不必要开放端口
2.联动外部情报数据,探测外部攻击面信息:公众号/小程序 /APP/代码泄露/邮箱账号泄露/文档泄露等
3.联动主机 Agent,收集主机层面信息:系统信息、进程信息、软件安装列表等
4.采用渗透技术探测漏洞:基于漏洞原理,采用无损 POC 进行漏洞验证,返回漏洞利用证明
5.支持漏洞屏蔽:可屏蔽漏洞扫描探测,使漏洞无效化,缓解漏洞风险
6.支持漏洞优先级:引导优先修复可实际产生风险的漏洞,大幅降低漏洞修复工作量
7.内置多类型的检测探针:内置了“流量检测+端点检测+欺骗防御”三种威胁检测探针,
8.自动关联:平台统一关联分析“流量安全、主机安全、蜜罐诱捕”三个维度的告警事件,可在一个操作界面上呈现三者之间的关联结果
9.精准检测,可检测事件:通过高效部署大量蜜罐精准诱捕威胁,通过轻量级 Agent 精准检测主机入侵事件(包含1.资产侦测管理模块
2.漏洞扫描和管理模块
3.网站监测和扫描模块
4.蜜罐威胁监测模块
5.主机Agent威胁监测模块(漏洞屏蔽+篡改监测+后门木马)
6.基线配置核查
7.流量威胁监测模块
8.自动编排阻断
二、通过外网云端扫描技术,探测互联网上潜在的未知资产,不必要开放的资产、网站后台,并自动验证互联网资产是否存在可利用漏洞、弱口令,提供暴露面收敛等相关整改建议。对关键系统进行渗透测试,运用常见的黑客攻击技术进行模拟攻击,提前发现潜在的安全风险,并提供相应的加固方案,按照系统数量收费。对互联网网站进行实时监测,“漏洞、篡改、黑链、敏感文件、敏感词、网马监测、可用性、域名劫持”等8个维度开展实时监测,并通过邮件、飞书、钉钉、企业微信等告警形式提供网站风险预警服务。
对内网,自动化探测主机、网站资产,可定位和识别主机操作系统、开放端口、应用服务、协议版本,子域名、url、web框架、备案号等,形成可动态管理的资产台账,可通过用户现有的资产台账导入结合,进行补充和更新,对主机、网络设备、操作系统、数据库、中间件等进行常态化安全漏洞与弱口令扫描,提供漏洞、弱口令台账与报告,结合资产梳理,可快速定位高危组件影响范围,通旁路部署流量检测探针,监测重点区域边界流量,基于威胁感知模型精准识别恶意攻击源IP,可通过旁路阻断技术拦截恶意源IP的访问
三、基于攻防视角评估勒索病毒感染风险,结合风险探测和漏洞管控,提供勒索病毒防护方案。基于攻防视角评估业务系统风险,根据实际业务情况,提供基线整改建议书及整改方案。基于威胁攻击AI智能分析研判模块分析结果、根据漏洞检测分析报告,加固资产可入侵漏洞。对于无法加固的漏洞,评估资产漏洞风险,结合内外网资产台账,识别可实际产生风险的漏洞,采用漏洞屏蔽技术进行防护。
四、通过业务镜像仿真对操作系统和数据库漏洞进行加固,在不影响业务的前提下尽可能加固漏扫结果给出的漏洞。