靠谱又能扛!默安MSS在日常安全运营下的实践
2023-11-8 18:31:10 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

这天是周日

对某企业安全运营人员老吴来说

是平静又不平静的一天

新晋升成为奶爸的他

正在家带孩子忙得焦头烂额

图源:网络

更可怕的是

突然连续遭遇两起安全事件

但好在有默安科技MSS安全运营托管服务

第一时间发现和响应安全威胁

老吴也能实现带娃和工作两不误

下面跟随老吴一起还原事件

体验什么是高效率的安全运营

还原事件A

12:43 pm

攻击者尝试进行内网XSS攻击

12:44 pm

通过钉钉收到幻阵高危告警通知

12:49 pm

默安科技值守人员立即在MSS平台确认幻阵告警情况,经与二线专家和一线现场技术人员排查后,确认为攻击者的一台肉机

13:00 pm

默安科技二线专家与一线现场技术人员合作,完成攻击活动的日志、文件、网络流量记录等信息收集工作,检查并修复受感染系统中的相关漏洞并持续跟踪攻击者下一步行动

同日下午

又发生了一起安全事件

原来,攻击者并不甘心

再次发起了进攻……

图源网络

还原事件B

16:11 pm

攻击者破解内网Redis成功

16:12 pm

经现场威胁情报关联分析,确认为同一攻击者进行攻击行为

16:14 pm

通过钉钉收到幻阵高危告警通知

16:16 pm

默安科技值守人员立即在MSS平台确认幻阵告警情况,经二线专家研判分析和一线现场技术人员排查后,确认为真实内网入侵事件

16:25 pm

在默安科技二线专家协助下,立即隔离受感染的系统,阻止攻击者继续在网络中扩散或访问其它资源,恢复系统到正常状态,并审查和加强其它系统的安全措施

从上面的案例,我们可以看到,MSS安全运营托管服务在7*24小时安全监测、事件快速响应、主动闭环等方面发挥出了重要价值。那么,在企业的日常安全运营中,默安科技MSS究竟具备哪些优势呢?

为什么选择默安科技MSS

当被问及为什么选择默安科技MSS时,老吴表示,因为它跟超级奶爸一样,具备以下五大素质:

01 靠谱
提供专业化团队和经验

默安科技深耕主动防御领域多年,安全专家团队拥有丰富的安全领域知识和实战攻防演练经验,能够帮助客户持续跟踪安全威胁和趋势,从而降低黑客入侵、病毒感染等安全风险。

02 能扛
提供7*24小时安全监测和响应

默安科技MSS安全专家团队通过自动化和集中监控来减少手动工作,全天候监测客户的安全事件,有效提高安全运营效率,通过持续运营来检测潜在的威胁,并采取相关措施快速应对安全事件。

03 经济
降低企业安全成本

企业维护安全运营团队往往需要大量的经验和成本,安全运营能力现阶段难以满足实际的业务需要。默安科技MSS基于客户的实际需求,推出了针对不同客户的服务清单,客户可根据需要选择不同的服务层次,以控制成本。

04 专业
提供专业工具和技术

默安科技MSS依托包括幻阵·高级威胁狩猎与溯源系统、刃甲·网络攻击干扰压制系统、巡哨·智能资产风险监控系统、火线云·XDR安全运营平台等在内的多个安全运营组件打造主动防御体系,围绕主动性、持续性、对抗性来降低企业的安全风险。

05 贴心
提供快速部署接入

默安科技MSS提供快速部署安全解决方案及标准化安全管理流程,方案部署更专业、更高效,同时有效保障客户传输数据安全,而不必自行构建和维护复杂的安全基础设施。

默安科技MSS用于处置哪些安全事件

在企业的日常安全运营中,默安科技MSS主要用于处置哪些安全事件?又发生在哪些业务场景呢?

敏感目录扫描事件

 业务场景:网站和Web应用程序是最常见的敏感目录扫描目标,可在目标网站中发现未经授权访问的敏感目录,攻击者以此获取敏感信息或者利用其它漏洞。

 危害性:可能导致攻击者获取到敏感信息,或找到其它攻击的利用点。当用户产生疑似扫描的行为或访问到敏感路径,幻阵可及时产生告警,让安全人员进行排查与处置。

暴力破解事件

 业务场景:可能发生在用户的登录页面、Redis服务、SSH服务等,攻击者通过大量尝试以获取访问权限。

 危害性:如果成功,攻击者将获得账户权限。幻阵与刃甲会对大量爆破的行为进行持续的记录与告警,以及对成功的爆破进行高危告警,帮助安全人员及时应急。

木马事件

 业务场景:在用户的终端设备或者服务器中,通过下载恶意附件、访问感染的网站等方式传播。

 危害性:造成敏感信息泄露、系统控制丧失、财务损失等重大风险。刃甲会对木马流量和疑似木马通讯通道的流量进行严重告警。

蠕虫事件

 业务场景:蠕虫可在用户的内网中大规模传播,尤其是在局域网或内部系统之间。

 危害性:蠕虫可能导致网络拥塞、系统资源耗尽以及信息泄露,对企业网络极具破坏力。刃甲会对恶意软件流量进行严重告警。

上传脚本事件

 业务场景:涉及到用户上传文件的功能,如图片上传、文档分享等场景。

 危害性:产生恶意代码执行、敏感数据泄露等问题,影响整个应用程序的安全。刃甲会对有非法上传特征的流量进行高危告警,帮助安全人员进行排查与处置。

SQL注入事件

 业务场景:涉及到用户提供的对数据库进行查询或数据操作功能的服务。

 危害性:造成数据库被破坏、敏感信息泄露,对应用程序和用户数据的安全构成威胁。刃甲会记录并告警有可能SQL注入攻击的流量,对于源IP为内网的流量发出高危告警,帮助安全人员及时进行排查与处置。

后门通讯事件

 业务场景:后门可能在用户的服务器或者终端设备中存在,以便攻击者随时访问系统或者进行控制。

 危害性:造成攻击者持续控制受害系统、敏感信息泄露等安全风险。刃甲内含市面WebShell连接工具流量特征匹配规则,会对后门通讯流量进行严重告警。

远程代码执行事件

 业务场景:用户使用存在远程代码执行漏洞的服务器、服务器系统、软件、网络设备等。

 危害性:恶意代码在服务器上执行,可能导致系统受损、敏感信息泄露等。当出现含远程执行漏洞利用特征的流量时,刃甲会进行高危告警,帮助安全人员进行排查和处置。

默安科技已为200+客户提供7*24小时不间断的安全服务能力,通过MSS平台协助客户完成防御体系建设和攻击快速响应,及时发现和修复安全问题,将安全运营体系通过MSS平台分为事前安全预防、事中威胁检测和事后响应处置三个部分,结合全局安全态势的可视化体系,帮助运维人员更加清晰地认识和构建智能化的企业安全运营体系,有效促进企业安全运营体系的有序运转。

目前,默安科技已开通MSS安全运营托管服务的快速接入通道,客户只需部署MSS客户端便可完成快速接入,在日常工作中即可享受省心高效的专家运营服务,欢迎广大客户垂询。


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzODQxMjM2NQ==&mid=2247497609&idx=1&sn=cd1689c1a6182eae0b83997a9451f77e&chksm=e93b00abde4c89bd3dc98c096bcb396affdaf0d8ae3a2f909d2be3a317047007a93651cfe035&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh