兵临城下丨网络安全单兵侦测系统(RayBox)在攻防演练中的应用场景之①攻击信息排查与溯源反制
在攻防演练过程中,作为防守方,监控攻击事件、溯源分析反制和应急处置是重要工作。其中溯源分析反制,对安全人员的能力要求很高,是安全人员攻防能力的核心体现。但往往因专业能力限制,防守方在溯源分析反制的过程中,对信息的排查和攻击事件的还原,需要耗费大量的时间和精力,影响整体安全工作效果和效率。
基于这种情况,盛邦安全网络安全单兵侦测系统(RayBox)上线事件调查功能,可以帮助用户方安全人员大幅提升信息排查的效率和准确性。
RayBox可自动对失陷主机的系统信息、恶意文件、主机操作日志、恶意进程、网络链接、后门、账户权限、配置变更日志、webshell等风险项进行检测,返回检测结果及疑似攻击方在失陷主机上的行为记录。除了对本地失陷主机进行事件调查之外,在反制过程中,通过反制拿到的目标往往都属于攻击方的跳板,在跳板中使用事件调查同样也可以协助安全人员快速追踪溯源和抓取攻击方的真实信息。
系统通过将安全事件攻击信息排查和溯源标准化、自动化、规范化,可以帮助安全人员快速分析攻击事件,提炼攻击线索,还原攻击路径,协助开展溯源取证工作,从而提高溯源分析反制工作的效率,有效解决人员专业能力瓶颈问题。
RayBox事件调查功能除了能够在攻防对抗中发挥重要作用,也可以应用在日常安全检查工作中。目前的安全检查大多数以安全漏洞扫描为主,但是当下的攻防对抗环境已经从个人的“单打独斗”变成了大规模、有组织的团体攻击行为,并且往往都具有更强的隐蔽性和潜伏性。因此,单一的安全漏洞扫描已无法应对当下对高级威胁的检测需求,难以发现内网已失陷或潜伏的安全风险。
RayBox事件调查功能,能够对企业资产进行基于黑客攻击路径分析的安全自检,检测目标的系统信息、恶意文件,监测系统的开放端口、恶意程序、后门、webshell,分析系统的账户日志、操作日志、安全日志、浏览器访问记录、U盘插拔记录等;在进行安全自检后,可分别针对定向入侵行为及横向入侵行为进行有序完整的检测排查;并利用rootkit、NPS、公钥检测、隐藏文件、隐藏进程等检测手段,提供入侵的检测链条关联分析和入侵行为排查,最终形成和输出检测结果及疑似入侵记录等报告。
网络安全的本质在对抗,对抗的本质是攻防两端能力的较量。溯源反制是网络安全建设中降低安全损失的必备手段之一,也是安全人员攻防能力的集中体现。但溯源反制对安全人员专业能力要求非常高,而且培养起来非常耗时。
盛邦安全网络安全单兵侦测系统(RayBox),可以对攻防对抗中的溯源反制提供有效支持,降低安全人员事件调查取证门槛,提升溯源反制的效率,有效提取安全事件的取证信息并还原,协助用户做到安全体系建设的闭环管理。
相关产品: