大型攻防演练,如何快速获得公共云的“安全超能力”

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 防病毒版,最高20核 3个月
简介: 本文主要介绍如何快速获得公共云的“安全超能力”。

1.有没有那么一瞬间让你一想到就头皮发麻?

1.弱口令被爆破成功

1-弱口令被爆破成功.png

2.漏洞!漏洞!0day!0day!
2-漏洞!.png
3.封IP封IP封IP
3-封IP-改.png
4.社工攻击成功
4-社工攻击成功.png
5.IDC和云环境的防护水位参差不齐
5-IDC和云环境.png
6.百密一疏
6-百密一疏.png

2.听说公共云原生安全具有“超能力”

1.混合、多云环境基线安全全覆盖

云安全中心支持240+基线检查项,可快速对服务器进行批量扫描,发现包括系统、账号权限、数据库、弱口令、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。
7-混合.png

2.多产品协同联动,实现漏洞降级,处置效率提升

通过关联各个安全产品对漏洞的支持情况,及当前环境安全产品配置状态,判断漏洞防护情况,对已被防护漏洞降级,从而把更多精力放到需要未防护的漏洞上。
8-多产品.png

3.真实攻击IP全网共享,精准判断风险

WAF可实现千万级IP黑名单、地域一键封禁,单一用户受到攻击,全节点“免疫反应”
9-真实攻击.png

4.对抗社工攻击的杀手锏——RASP

无论何种入侵行为,即使是社工攻击成功后,最终都落到主机层面搞破坏。“RASP”的“白名单”防御逻辑,会拦截所有脱离正常行为基线的异常行为,无畏账号泄露、数据泄露、文件篡改等风险。
10-.png
5.统一拉齐到公共云级别的安全防护水位

公共云上经过丰富场景实践验证的安全能力可统一下沉至IDC或覆盖三方云,拉齐混合环境的工作负载安全,满足IDC流量不上云且可享受到公共云高安全能力的需求。
11-.png
6.安全管家服务

国家级攻防演练优秀选手,以一敌十的精英部队。单用户配置7人以上团队能力,冬奥主防团队,可视化大屏,7*24小时值守,单一团队作战,减少跨团队/厂商沟通,效率更高。
12-.png

3.如何获取?

STEP1

部署混合云WAF并全量接入,可实现对阿里云、三方云、IDC环境的统一管理,拉齐Web流量防护水位。

01.确保资产已全部接入WAF

通过资产中心,查看域名接入状态,并将未接入的域名接入WAF。

02.设置源站保护

设置源站服务器的访问控制策略,只放行WAF回源IP段的入方向流量。

03.检查并配置允许访问范围

配置区域封禁和Bot管理的IDC黑名单封禁防护规则,设置允许访问的范围。

04.检查并配置基础防护策略

配置基础防护规则,确保生效对象全量覆盖,防护动作为拦截。

05.检查并配置扫描防护策略

配置“扫描防护”规则,开启高频扫描封禁、目录遍历封禁或扫描工具封禁。

06.配置重保场景防护策略

配置“重保场景防护”规则,设置重保威胁情报、重保防护规则组、重保IP黑名单、shiro反序列化漏洞防护。

产品Tips:

  • 阿里云WAF迁移至WAF3.0版本,可以使用模板化配置,快速实现IP封禁支持增值重保场景包,建议购买重保场景包,使用专项能力。
  • 资产盘点,明确所有对外的WEB业务均已知晓,并已接入WAF防护;明确不同业务的资产的访问业务分布,并基于此配置对应的访问控制策略。
  • 源站保护设置,如果是cname接入,源站设置只允许WAF回源IP访问,避免源站泄漏,攻击者直接面向IP非WEB业务进行攻击;
  • 防护配置检查及优化,确认防护策略均是拦截策略,开启扫描防护配置,避免配置错误,导致被攻陷。
  • 如果开了BOT模块,可以利用该模块的"IDC封禁"功能,收敛攻击者租用云服务或IDC机房进行攻击的风险

STEP2

部署混合云安全中心并全量接入,可实现对阿里云、三方云、IDC环境的统一管理,拉齐工作负载防护水位。

11.png

产品Tips:

  • 攻防演练期间,在云安全中心防护模式管理中,设置为“重大活动保护模式”,该模式下将开启所有安全防护规则和安全引擎,对任何可疑的入侵行为和潜在的威胁进行告警;
  • 在通知方式管理中,通过添加钉钉告警机器人,实时获取完整告警信息,实现更快速的处置告警;
  • 攻防演练开始前,通过事前的风险梳理和收敛,提升“安全评分”到95分以上,大幅提升工作负载基础防护水位;
  • 开通、配置应用安全防护策略,通过RASP加固应用系统,防护0day漏洞攻击;
  • 开通、配置网页防篡改策略,为网站应用开启防护兜底策略。

STEP3

攻防演练开始后,重点关注云安全中心威胁发现版块,可对WAF、云防火墙告警进行聚合,并形成安全事件呈现,同时可以直接在云安全中心控制台联动WAF、云防火墙,进行风险处置,封IP、恶意URL,主机隔离进程、查杀文件/病毒,及时止血。

一条捷径——安全管家服务

直接购买使用阿里云的安全管家服务,相比自建安全体系成本更低,性价比最佳,且精英部队服务,安心无忧。

4.实践案例

客户1

资产现状
阿里云ECS500+,AWS 300+,腾讯云200+,70+网站WAF源站防护

阿里云提供的服务
安全运营服务,云上安全架构设计

服务成果

  • 从2016年为客户提供服务,6年多时间0重大安全事件,业务安全稳定运行。
  • 发现应用层应急安全漏洞3次,包括:Log4j、Spring 、Fastjson、WebLogic等0day,避免利用漏洞的非法入侵事件

系统层安全加固协助20+次,确保基础安全的同时,保障业务安全

  • 大促、国庆护航,提供安全咨询服务20+次,包括及时调整云安全产品策略、保障前评估等,解决高危安全问题5个,重保期间0安全事件。

以往重大服务成果

  • 云上安全架构设计,确保云上资产整体安全性
  • 服务过程中发现众多对外开放的高危端口,及时帮助客户清理
  • AK监控发现,4个AK泄露的情况,避免恶意安全事件发生

客户2

资产现状
云上无资产,IDC主机1000+,网站50+

护航难点

  • 为了支撑数字化升级,客户在基础设施层面逐步形成混合云部署架构,拥有多个互联网入口,给互联网边界的统一网络安全防护带来新的挑战;
  • 另一方面,由于越来越多的核心业务提供线上服务,客户所面临的安全风险特别是应用层风险不断提升,原有的应用安全防护手段不能满足需要,并且缺乏相应的安全攻防对抗能力。攻防演练开始前几个月,客户分批接入了数十个核心业务系统,由云防护作为第一道防线,防护线下IDC业务。

护航成果
1.准备阶段
演练前进行充分的资产梳理,明确暴露资产情况;
风险排查,累积发现任意文件上传、SQL注入等多个中高危安全漏洞;
协助进行安全加固,降低攻击风险。
2.护航阶段
阿里云侧整体防护未失分;
协同云上海量数据,秒级下发精准情报超过10万条,拦截攻击请求超300万次;0day漏洞应急响应10余次;

客户3

资产现状
云上 ECS1000+,IDC 主机1000+,网站数百个

护航难点

  • 攻防演练开始前两周接入,资产范围覆盖公共云+线下IDC,时间紧任务重。

护航成果
1.准备阶段
发现应用层紧急安全漏洞20+次,包括:Fastjson 命令执行、WebLogic反序列,避免利用漏洞的非法入侵事件
梳理并收敛互联网IP 100+,收敛端口200+,安全漏洞500+
梳理并加固安全漏洞2000+,弱口令300+,权限配置20+
2.护航阶段
及时发现并处置告警300+
及时处置攻击队10+次入侵事件并形成防守溯源报告,获得加分
成功堵截攻击队进入内网后的下一步行动
在时间紧张的情况下,帮助客户获得500+加分

客户4

项目整体情况:
纯线下主防项目,阿里云原生兜底并担任项目经理,0失分,并获得满分(1500)加分

护航成果:
1.准备阶段:
蓝军服务成果:社工钓鱼、近源攻击,发现内外网漏洞11个,可控制主机15台
现场驻场8人团队:包括暴露面资产收敛、内部风险收敛推动、病毒样本分析、邮件溯源追踪、钓鱼测试、威胁情报输入、反制蜜罐等设备部署等。
2.护航阶段:
整体防护未失分,且获得满分加分。
完善和优化整体防御体系,提升50%的整体MTTD和MTTR时间,实现分钟级响应。

相关文章
|
3月前
|
监控 安全 网络安全
云中防线:揭秘云计算网络安全的绝地反击,如何用策略与实践打造铜墙铁壁
【8月更文挑战第7天】构筑安全防线:云计算中的网络安全策略与实践
63 2
|
6月前
|
存储 安全 网络安全
云端防御战线:云计算环境下的网络安全新策略
【4月更文挑战第30天】在数字化转型的浪潮中,云计算已成为企业IT架构的核心。随之而来的是网络安全威胁的不断演化和升级,使得云服务的安全成为亟需解决的技术难题。本文将深入探讨云计算环境中面临的新型安全挑战,并提出一系列创新的网络安全策略和技术措施。这些措施包括强化身份认证、数据加密、入侵检测系统以及智能安全分析等,旨在为企业提供全面的安全保障,同时确保云计算资源的高效利用。
|
安全 网络安全
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.1 安全攻防演练(上)
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.1 安全攻防演练(上)
107 0
|
SQL 供应链 安全
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.1 安全攻防演练(下)
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.1 安全攻防演练(下)
104 0
《云上大型赛事保障白皮书》——第二章 云上大型赛事保障体系——2.4 云上大型赛事保障方法论——2.4.3 赛时技术风险处置
《云上大型赛事保障白皮书》——第二章 云上大型赛事保障体系——2.4 云上大型赛事保障方法论——2.4.3 赛时技术风险处置
《云上大型赛事保障白皮书》——第七章 保障阵型与流程管理——7.1 云上大型赛事保障阵型——7.1.1 基于前中后台的服务分层
《云上大型赛事保障白皮书》——第七章 保障阵型与流程管理——7.1 云上大型赛事保障阵型——7.1.1 基于前中后台的服务分层
827 0
|
云安全 存储 监控
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.2 安全防护体系(上)
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.2 安全防护体系(上)
101 0
|
云安全 SQL 运维
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.2 安全防护体系(下)
《云上大型赛事保障白皮书》——第五章 安全设计与安全防护——5.2 云上大型赛事安全防护——5.2.2 安全防护体系(下)
158 0
|
SQL 安全 fastjson
《云上大型赛事保障白皮书》——第三章 压测调优与技术演练——3.2 云上大型赛事技术演练——3.2.3 安全攻防演练及冬奥实践
《云上大型赛事保障白皮书》——第三章 压测调优与技术演练——3.2 云上大型赛事技术演练——3.2.3 安全攻防演练及冬奥实践
120 0
《云上大型赛事保障白皮书》——第二章 云上大型赛事保障体系——2.4 云上大型赛事保障方法论——2.4.1 赛前全局梳理
《云上大型赛事保障白皮书》——第二章 云上大型赛事保障体系——2.4 云上大型赛事保障方法论——2.4.1 赛前全局梳理
784 0