大型攻防演练 | 如何快速获得公共云的“安全超能力”

阅读量235268

发布时间 : 2023-07-26 11:18:42

一年一度的攻防大考

即将拉开帷幕

……

有没有那么一瞬间

让你一想到就头皮发麻?

壹——弱口令被爆破成功

贰——漏洞!漏洞!0day!0day!

叁——封IP封IP封

肆——社工攻击成功

伍——IDC和云环境的防护水位参差不齐

陆——百密一疏

听说公共云原生安全听说公共云原生安全具有“超能力”

壹——混合、多云环境基线安全全覆盖

云安全中心支持240+基线检查项,可快速对服务器进行批量扫描,发现包括系统、账号权限、数据库、弱口令、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。

贰——多产品协同联动,实现漏洞降级,处置效率提升

通过关联各个安全产品对漏洞的支持情况,及当前环境安全产品配置状态,判断漏洞防护情况,对已被防护漏洞降级,从而把更多精力放到需要未防护的漏洞上。

叁——真实攻击IP全网共享,精准判断风险

WAF可实现千万级IP黑名单、地域一键封禁,单一用户受到攻击,全节点“免疫反应”

肆——对抗社工攻击的杀手锏——RASP

无论何种入侵行为,即使是社工攻击成功后,最终都落到主机层面搞破坏。“RASP”的“白名单”防御逻辑,会拦截所有脱离正常行为基线的异常行为,无畏账号泄露、数据泄露、文件篡改等风险。

伍——统一拉齐到公共云级别的安全防护水位

公共云上经过丰富场景实践验证的安全能力可统一下沉至IDC或覆盖三方云,拉齐混合环境的工作负载安全,满足IDC流量不上云且可享受到公共云高安全能力的需求。

陆——安全管家服务

国家级攻防演练优秀选手,以一敌十的精英部队。单用户配置7人以上团队能力,冬奥主防团队,可视化大屏,7*24小时值守,单一团队作战,减少跨团队/厂商沟通,效率更高。

如何获取?

STEP1

部署混合云WAF并全量接入,可实现对阿里云、三方云、IDC环境的统一管理,拉齐Web流量防护水位。

01.确保资产已全部接入WAF

通过资产中心,查看域名接入状态,并将未接入的域名接入WAF。

02.设置源站保护

设置源站服务器的访问控制策略,只放行WAF回源IP段的入方向流量。

03.检查并配置允许访问范围

配置区域封禁和Bot管理的IDC黑名单封禁防护规则,设置允许访问的范围。

04.检查并配置基础防护策略

配置基础防护规则,确保生效对象全量覆盖,防护动作为拦截。

05.检查并配置扫描防护策略

配置“扫描防护”规则,开启高频扫描封禁、目录遍历封禁或扫描工具封禁。

06.配置重保场景防护策略

配置“重保场景防护”规则,设置重保威胁情报、重保防护规则组、重保IP黑名单、shiro反序列化漏洞防护。

产品Tips:
1.阿里云WAF迁移至WAF3.0版本,可以使用模板化配置,快速实现IP封禁支持增值重保场景包,建议购买重保场景包,使用专项能力。
2.资产盘点,明确所有对外的WEB业务均已知晓,并已接入WAF防护;明确不同业务的资产的访问业务分布,并基于此配置对应的访问控制策略。
3.源站保护设置,如果是cname接入,源站设置只允许WAF回源IP访问,避免源站泄漏,攻击者直接面向IP非WEB业务进行攻击;
4.防护配置检查及优化,确认防护策略均是拦截策略,开启扫描防护配置,避免配置错误,导致被攻陷。
5.如果开了BOT模块,可以利用该模块的”IDC封禁”功能,收敛攻击者租用云服务或IDC机房进行攻击的风险

STEP2

部署混合云安全中心并全量接入,可实现对阿里云、三方云、IDC环境的统一管理,拉齐工作负载防护水位。
产品Tips:
1.攻防演练期间,在云安全中心防护模式管理中,设置为“重大活动保护模式”,该模式下将开启所有安全防护规则和安全引擎,对任何可疑的入侵行为和潜在的威胁进行告警;
2.在通知方式管理中,通过添加钉钉告警机器人,实时获取完整告警信息,实现更快速的处置告警;
3.攻防演练开始前,通过事前的风险梳理和收敛,提升“安全评分”到95分以上,大幅提升工作负载基础防护水位;
4.开通、配置应用安全防护策略,通过RASP加固应用系统,防护0day漏洞攻击;
5.开通、配置网页防篡改策略,为网站应用开启防护兜底策略。

STEP3

攻防演练开始后,重点关注云安全中心威胁发现版块,可对WAF、云防火墙告警进行聚合,并形成安全事件呈现,同时可以直接在云安全中心控制台联动WAF、云防火墙,进行风险处置,封IP、恶意URL,主机隔离进程、查杀文件/病毒,及时止血。

一条捷径——安全管家服务

直接购买使用阿里云的安全管家服务,相比自建安全体系成本更低,性价比最佳,且精英部队服务,安心无忧。

实践案例

客户1

资产现状
阿里云ECS500+,AWS 300+,腾讯云200+,70+网站WAF源站防护

阿里云提供的服务
安全运营服务,云上安全架构设计

服务成果
1.从2016年为客户提供服务,6年多时间0重大安全事件,业务安全稳定运行。
2.发现应用层应急安全漏洞3次,包括:Log4j、Spring 、Fastjson、WebLogic等0day,避免利用漏洞的非法入侵事件
3.系统层安全加固协助20+次,确保基础安全的同时,保障业务安全
4.大促、国庆护航,提供安全咨询服务20+次,包括及时调整云安全产品策略、保障前评估等,解决高危安全问题5个,重保期间0安全事件。

以往重大服务成果
1.云上安全架构设计,确保云上资产整体安全性
2.服务过程中发现众多对外开放的高危端口,及时帮助客户清理
3.AK监控发现,4个AK泄露的情况,避免恶意安全事件发生

客户2

资产现状
云上无资产,IDC主机1000+,网站50+

护航难点
1.为了支撑数字化升级,客户在基础设施层面逐步形成混合云部署架构,拥有多个互联网入口,给互联网边界的统一网络安全防护带来新的挑战;

2.另一方面,由于越来越多的核心业务提供线上服务,客户所面临的安全风险特别是应用层风险不断提升,原有的应用安全防护手段不能满足需要,并且缺乏相应的安全攻防对抗能力。攻防演练开始前几个月,客户分批接入了数十个核心业务系统,由云防护作为第一道防线,防护线下IDC业务。

护航成果
1.准备阶段
演练前进行充分的资产梳理,明确暴露资产情况;
风险排查,累积发现任意文件上传、SQL注入等多个中高危安全漏洞;
协助进行安全加固,降低攻击风险。
2.护航阶段
阿里云侧整体防护未失分;
协同云上海量数据,秒级下发精准情报超过10万条,拦截攻击请求超300万次;0day漏洞应急响应10余次;

客户3

资产现状
云上 ECS1000+,IDC 主机1000+,网站数百个

护航难点
攻防演练开始前两周接入,资产范围覆盖公共云+线下IDC,时间紧任务重。

护航成果
1.准备阶段
发现应用层紧急安全漏洞20+次,包括:Fastjson 命令执行、WebLogic反序列,避免利用漏洞的非法入侵事件
梳理并收敛互联网IP 100+,收敛端口200+,安全漏洞500+
梳理并加固安全漏洞2000+,弱口令300+,权限配置20+
2.护航阶段
及时发现并处置告警300+
及时处置攻击队10+次入侵事件并形成防守溯源报告,获得加分
成功堵截攻击队进入内网后的下一步行动
在时间紧张的情况下,帮助客户获得500+加分

客户4

项目整体情况
纯线下主防项目,阿里云原生兜底并担任项目经理,0失分,并获得满分(1500)加分

护航成果:
1.准备阶段:
蓝军服务成果:社工钓鱼、近源攻击,发现内外网漏洞11个,可控制主机15台
现场驻场8人团队:包括暴露面资产收敛、内部风险收敛推动、病毒样本分析、邮件溯源追踪、钓鱼测试、威胁情报输入、反制蜜罐等设备部署等。
2.护航阶段:
整体防护未失分,且获得满分加分。
完善和优化整体防御体系,提升50%的整体MTTD和MTTR时间,实现分钟级响应。

本文由阿里云安全原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/289896

安全客 - 有思想的安全新媒体

分享到:微信
+18赞
收藏
阿里云安全
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66