近日,全国网络安全标准化技术委员会2024年第一次“标准周”全体会议在南昌滨江宾馆成功召开。青藤云安全联合创始人程度在本次标准周的“关键信息基础设施安全保护标准与实践研讨会”上,发表了以《关键信息基础设施主动防御实践》为主题的演讲,围绕关键信息基础设施安全保护问题,深入分析政策要求和现实需求,阐述了青藤主动防御思路和框架,并举例介绍了青藤在关基主动防御方面的实践情况。
关键信息基础设施能力建设既有政策要求,又面临安全的现实需求。在政策要求方面,《关键信息基础设施安全保护条例》明确指出关基运营者应组织推动网络安全防护能力建设,《国家网络空间安全战略》也将关键信息基础设施安全防护保作为战略任务之一。国家标准《信息安全技术 关键信息基础设施安全保护要求》则进一步明确关基安全保护包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面,其中主动防御又包括:收敛暴露面、攻击发现和阻断、攻防演练和威胁情报四个方面。
在现实需求方面,近年针对关基的攻击事件时有发生,部分事件造成了严重的社会影响。例如:2023年1月英国皇家邮政遭遇勒索软件攻击,导致其无法向海外客户发送邮件;2023年6月美国俄勒冈州交通部遭遇MOVEit漏洞攻击,造成大规模数据泄露。关键信息基础设施面临更严峻的安全风险,所受到攻击技战术水平都远超一般信息系统,各关基运营单位面临极大的安全挑战。关基的安全防御亟待从单点、静态、被动的防护思想转变为整体、动态和主动防御上来。此外,现有关基防护还存在告警疲劳、处理效率低下,对抗不足、缺乏深度监测能力,以及专家稀缺、人才培养困难等问题。
近几年,基于TTP的威胁狩猎成为热门的针对未知威胁的有效检测手段。通过对恶意行为的特征描述,构建或更新恶意行为模型,以识别敌手可能使用的TTP;提出一个或多个检测假设,并表述为分析模式;根据假设和分析模式确定所需收集的数据。在狩猎执行阶段中,对环境中的传感器和数据源进行差距分析;部署新的传感器,以解决数据可见性差距;通过选择与恶意行为相关的分析模式及来执行狩猎,以尝试获得初始检测结果,进一步分析调优并对可疑和相关事件进行分类,以定位攻击行为。
针对关基安全防护难题和主动防御能力建设需求,结合基于TTP的威胁狩猎思想,青藤结合自身产品优势,形成了威胁建模、事件分析、内网溯源和快速处置的主动防御技术方案。通过基于用户环境迅速构建精确的威胁检测模型,并开展多锚点关联分析,通过对接CWPP、RASP、NDR等产品,把多个产品的告警给统一接入进来,形成一个统一的告警分析流;根据相关性将同一攻击事件的告警关联,串联各类线索回溯攻击发生的过程,生成可视化攻击路;最后针对文件、进程和负载进行处置。
通过近几年的方案实践,已帮助多个客户开展主动防御能力建设,提升了安全运营的工作效率,增强了发现潜在威胁和提高溯源分析的能力,获得了客户认可。
-完-
热门动态推荐
