时间:2024-06-19 作者:奇安信集团
“多亏了BAS平台,我们提前发现了总部和下属单位的威胁检测设备,遗漏了一些历年攻防演练热门攻击类型的检测规则。这样一来,等到攻防演练正式开始,我们就不会再受到这些威胁的影响了。”国内某Top10券商网络安全部门相关负责人感言。
“如果不是这次BAS测试,我们根本不知道主机入侵检测设备的内存马防护功能竟然没开启。如果在攻防演习中被内存马攻击,后果会很严重,很可能直接导致我们出局。”某头部高端制造企业网络安全部门负责人表示。
“一直以来,我们都认为自己的安全配置做得相当到位,没想到这次BAS测试显示,我们的邮件安全设备因为配置宽松,未能有效拦截一封伪装成内部IT通知的恶意邮件。”某大型央企网络安全部门相关负责人这样说道。
以上反馈,均来自使用奇安信BAS平台进行安全有效性验证评估的防守单位。从发现各类网络安全设备的威胁防护规则缺失,到纠正产品配置错误、复原设备功能完整性、完善工作流程等,已有近百家防守方参演单位借助奇安信BAS,对企业内部各类安全设备进行全面体检,并修补了安全防御的缺口。奇安信BAS的应用大大增强了防守客户的信心,在接下来的攻防演练中,各类安全设备能够实现“应检尽检,应告警确实告警,应拦截快速拦截”的理想防护状态。
统计显示,超过半数的客户在使用奇安信BAS平台进行安全评估后,整体网络安全效能显著提升80%以上。这表明,奇安信BAS平台在帮助客户识别和弥补安全短板、提升网络安全防护能力方面发挥了重要作用。
进一步挖掘评估数据,我们观察到安全设备效能欠佳的三大主因:60%源自于防护规则覆盖面的局限,30%归咎于安全配置策略的不当执行,另有10%则是因为安全设备自身的功能异常而未被发现。具体而言:
1、防护规则覆盖不足,导致演习防御存在盲点
•未能及时更新威胁情报:安全设备依赖不断更新的威胁情报库以识别新的攻击模式。如果威胁情报库未能定期更新,设备将无法检测到最新的恶意软件、钓鱼邮件或零日攻击等威胁。
•安全规则设定不全:某些安全规则可能仅针对已知的攻击向量进行设置,忽视了新兴或演变中的威胁,如加密货币挖矿、供应链攻击等,导致防御存在诸多盲点。
•过于通用的规则配置:一些规则设计得过于宽泛,如全面封锁特定端口,虽能阻挡多数已知攻击,但可能忽略针对性强、利用不常用端口的新式威胁,导致出现防护漏洞。
2、安全配置策略不当,导致安全防线被突破,或影响完整溯源
•权限过度开放:设备配置中可能存在过度宽松的访问控制,如默认允许所有端口通信,这增加了遭受未授权访问的风险。
•默认配置未修改:许多安全设备出厂时带有默认配置,为了更好地实现兼容和易用,这些配置往往较为宽松,若不及时调整,可能会暴露于多种安全风险中。
•日志记录与监控不足:缺乏详细且有效的日志记录和实时监控策略,可能导致安全事件发生时无法迅速响应,或无法追溯完整攻击链,在攻防演习中错失追分回血的机会。
3、未发现安全设备功能异常,阻碍安全效能正常发挥
•软件bug:安全设备的软件可能存在未被发现的错误,导致设备在处理某些类型的数据包或指令时出现异常行为,如崩溃或性能下降等。
•硬件故障:硬件组件的损坏或老化可能影响设备的稳定性和性能,如存在内存故障、硬盘读写错误等,将影响安全功能的正常发挥。
•配置冲突:不同安全设备之间,或其与网络基础设施的配置冲突,也可能导致功能异常,如防火墙规则与负载均衡器设置不一致,造成流量误拦截或放行。
综上所述,安全设备存在的各类问题,无论是局限的防护规则覆盖、不当的配置策略,还是异常的设备功能,都如同隐形的裂缝,在攻防演练的高压环境下随时扩大,导致防线瞬间崩溃。这些问题不仅削弱了防守方在实战演练中的应对能力,在关键时刻或将成为攻击者突破的缺口,直接关系到演练的成败。
因此,在攻防演练前对网络安全设备进行全面深入的审查评估与优化,不仅是提升防守能力的必要步骤,更是确保自身立于不败之地的关键之举。只有通过细致入微的排查,及时修复每个可能的隐患,才能在实战中有效抵御四面八方的攻击,展现出色的防御能力。
目前,奇安信BAS已从多年的实战攻防经验中积累了超过上万个攻击模拟用例,用例数量及准确性在行业内遥遥领先。针对2024年攻防演习,奇安信BAS设计了专项模拟剧本,犹如大考前的真题模拟一样,不仅融入了近三年常见的Log4j2、Fastjson、Shiro等热门高危漏洞,还包括Cobalt-Strike、冰蝎、哥斯拉、蚁剑等C2/Webshell通信流量的仿真测试,以及多种钓鱼邮件及水坑攻击测试用例,帮助防守方精确评估安全设备在面对典型威胁时的防护覆盖度及威胁可见性。
奇安信BAS现免费开放30个安全有效性评估名额,机会难得,不容错过!即刻申请,奇安信BAS将助您在攻防演练中脱颖而出,铸就坚不可摧的安全防线!
95015服务热线
微信公众号