方案背景
在网络安全的主题当中,防护是最初的起点也是永恒的目标,随着攻击复杂性的日渐提升,传统的黑白名单策略很难在业务连续性和安全可靠性之间找到合适的平衡点,因此当前安全防护的标准不光要求攻击防得住,还需要做到威胁看得见。
实际开展工作时,常见的情况有如下几点:
方案概述
在网络安全保障期间,由于时间紧、任务重,需要采用“短平快”的防护思路和处置办法来达到最高效的防守目标。本方案从全面覆盖、重点关注和有效防护的角度进行建设。
>查漏。消除冗余策略(潜在的绕过风险),细化防护策略(重保安全高于一切);
>补缺。守好关键路径,补充部署必要的防护设备,WAF、IDP、安全情报网关;
>复核。历史安全事件复盘,形成快速检查报告,避免老旧问题修复不彻底或者问题复发
>聚力。建立威胁信息共享通道,及时收集同步确认攻击地址,做到单点监控全局防护。
>溯源。利用深度字段解析识别真实攻击源,再通过权威安全情报平台进行IP溯源研判;
>举证。通过事件记录的原始报文和攻击摘要,补全攻击链和证据信息,进行攻击举证。
方案价值
帮助用户减少失分点
>补全边界防护措施,保护关键区域不被突破;
>细化访问控制策略,保护集权系统不被利用;
>强化身份验证力度,保证靶标系统不被攻陷。
协助用户增加得分点
>提升通报预警效率,确保入侵风险及时上报;
>建立情报共享机制,实现安全通告快速同步;
>记录攻击分析详情,确保信息记录证据完整。
安全建议
>识别主要风险
除安全设备记录的风险态势外,用户需要对日常的流量曲线、业务特点进行合理把控,这样才能过滤噪音事件,识别主要风险。
>守住关键路径
防守往往是被动的,防护成本也远高于攻击成本,因此合理的安全域划分、恰当的边界防护手段再加上可靠的安全情报,才能够帮助用户守住关键路径,提升整体收益。