企业动态

历届实战攻防演习排名靠前的防守机构中，多家使用奇安信NGSOC作为主力监控平台。

实战攻防对抗形势日趋激烈，安全管理者难以有效地摸家底、识风险、控态势，安全运营人员缺乏深度检测、持续监测、精准预警、趋势研判、追踪溯源、运营保障等方面能力。政企机构亟需提升实战化安全能力，加强安全运营人员能力和持续的运营体系建设。

奇安信网神态势感知与安全运营平台（简称NGSOC）具备强大的实战能力，结合奇安信专业的安全运营团队，可以有效强化政企机构实战化安全能力。在往届国家级实战攻防演习中，奇安信NGSOC曾发现多起0day攻击事件和大量新型攻击手法，协助防守方取得优秀的成绩。历届演习排名前十的防守机构中，多家使用NGSOC作为主力监控平台。

图：NGSOC安全监测大屏

下面介绍NGSOC在实战化中的应用场景。

图：NGSOC实战攻防演习作战策略

战前准备：自查整改，强化安全基线

战前阶段，防守方的主要工作是自查整改，清查被防护业务系统涉及的资产及其暴露面，并进行修补整改。

图：资产和脆弱性闭环管理

第一，资产和脆弱性梳理。自查整改工作的重点是对被防护业务系统的资产与脆弱性进行梳理，NGSOC能够提供一个完整的闭环管理工具，包括资产梳理、脆弱性梳理、闭环处置、持续监测等。

第二，快速接入日志数据。NGSOC拥有丰富的数据理解能力、可视化的交互式解析配置、灵活的部署方式，可以快速接入日志数据，为战中的集中监测、分析、溯源提供数据支撑。

战中阶段：攻防对抗，监测异常与0day攻击

实战演习期间，核心工作是攻防对抗，对威胁的监测、发现及快速处置成为关键。

第一，超前威胁预警和指挥。在攻防对抗中，发生大规模重大攻击时，防守方需要第一时间了解是否遭受到攻击？首个被攻击的资产？影响了哪些部门？攻击的范围有多大？影响面趋势情况？事件整体处置情况？NGSOC具备威胁超前预警功能，在发生重大攻击时，第一时间通过平台下发威胁预警包，快速解决以上问题，对已发生和有可能发生的威胁态势进行全面掌控。

图：威胁预警态势大屏效果图

第二，攻防态势统一指挥。NGSOC预置了众多维度的态势监测大屏，其中针对实战攻防场景专门推出了攻防演练监控态势大屏和攻击者态势大屏，包含安全部署情况、攻击源监控、威胁监控、目标资产监控等信息。安全管理人员能够从宏观态势纵览整个战场，掌握当前的攻防情况并作出指挥决策。

图：攻防演练指挥大屏

第三，威胁快速建模。攻防对抗过程中，如攻击方使用了新型攻击手法或0day漏洞，绕过现有的检测措施，实现对失陷主机的远控。这时，防守方分析人员通过流量或日志回溯掌握攻击手法及过程后，可利用NGSOC的日志关联分析能力，通过图形化配置界面快速构建检测模型，实现对新型威胁的检测告警。

第四，一键处置。这个场景在攻防对抗过程中非常常见，是威胁应急响应的一种必要手段。当NGSOC检测到威胁并产生告警后，经分析人员确认后，可通过联动处置功能模块，对天擎（终端安全系统）、防火墙或上网行为管理网关等产品直接下发一条指令，对告警中的恶意IP、域名或URL进行封禁。

战后复盘：总结汇报

战后阶段，将把本次攻防演习的工作成果及不足进行汇报总结，为后续改进、完善安全运营体系提供依据。
数据与报表的支撑。演习结束后，安全运营或安全管理人员在编写此次演习的工作总结时，可通过NGSOC上记录的监测、分析、处置等工作成果数据，形成丰富的可视化报表，直接插入到工作总结中。

图：NGSOC拥有丰富的可视化报表模版

同时，安全分析人员可通过NGSOC的调查分析、日志搜索等功能模块，结合平台接入数据，可对攻防演习中的攻击事件进行调查回溯，分析现有监测防护体系的薄弱点，提供整改建议。

经过多年打磨，奇安信NGSOC凭借强大的安全感知能力、优秀的使用体验、权威的威胁情报、一流的大数据分析技术和安全可视化能力，已经成为实战场景下的防守“司令部”，在部委、地市政府、央企、金融机构、高校等各行业超600+政企机构落地实践。