智慧城市正当时!日常的安全运营我们该怎么做?

发布时间 2020-10-27

北京、广州、成都、天津、青岛、昆明、青海省……安全运营中心目前在全国各大省市火热进行中。在日常中我们该如何结合安全运营体系进行防御?如何确保防御的精准度与效率呢?看看安全运营秘籍的干货分享吧!


《孙子兵法》有云:“知彼知己者,百战不殆;不知彼而知己,一胜一负,不知彼,不知己,每战必殆。”


在网络安全的世界里,瞬息万变的战场、无处不在的敌人,时时刻刻对我们产生威胁。为了应对无处不在的威胁,深入了解不法分子的动机取向、手段,需要我们建立完善的安全体系,用安全运营的思路进行全方位的防御。


众所周知,安全运营中心集合了人员能力、产品能力、平台能力,基于多个运营中心技术能力主题、地域特色和人员结构的不同,形成了多边联动防御、威胁情报、技能培训等立体化纵深防御体系。


本文将浅谈一下在本地单位日常防御中,我们该如何结合安全运营体系进行防御与溯源取证。要进行防御与溯源取证,那么必然需要在整体网络中部署流量检测型设备、威胁分析型设备、攻击诱捕型设备等安全产品。


1.jpg

防御拓扑示意图


以上是安全运营中心的部分网络拓扑示意图,由防火墙、IPS、蜜罐系统、全流量分析取证系统、威胁分析系统、EDR终端检测系统、指挥平台等组成。


蜜罐系统


诱捕恶意攻击行为,可先发制人,也可虚晃一招,扰乱攻击者视线,拖延攻击者攻击时间甚至可获取攻击者攻击手段,从而保护真实网络。


全流量取证系统


基于网络流量数据的存储和检索,提供相关网络安全事件的事后审计能力,能完整真实的还原网络安全事件的原始场景,满足合规性和网络安全事件分析的需求。


威胁分析系统


凭借自身的检测优势,利用支持双向匹配的特征检测、支持多分析场景的流检测和基于沙箱检测技术的文件检测,除发现一般攻击以外,利用威胁分析能力,结合ATT&CK模型、威胁情报、资产管理等能力,还能够针对有效分析场景和APT攻击进行进一步分析与研判。


EDR终端检测响应系统


通过算法来分析系统上单个用户终端的行为,允许它记住和连接他们的活动。数据会立即被过滤、丰富和监控,以防出现恶意行为的迹象。


安全运营指挥平台


配备运营中心高级分析人员,进行全方位统筹工作。联动以上各个设备数据,进行下一步应急响应处置工作,实现威胁早发现、快阻断、回溯全等功能。在特殊时期,通过数据可视化,可以直观查看威胁情况,便于值守人员操作。


2.jpg

流转关系图


综上所述,我们从安全运营中心的蜜罐系统、全流量取证系统、威胁分析系统、EDR终端检测响应系统、安全运营指挥平台等各部分流转关系可以看出,在日常防御中,通过各个产品与技术人员紧密配合,安全运营中心可实现快速发现、确认威胁,溯源取证并及时阻断威胁等完整的闭环功能,防范和消除网络安全威胁,亦可借助威胁情报体系,从全国乃至世界范围内,获取最新信息,及时丰富特征库,补充安全产品策略,确保日常网络安全防御工作高效且准确。


随着智慧城市建设的兴起,大量的安全威胁潜伏于人们吃、穿、住、行的日常生活中,安全运营中心是智慧城市建设必不可少的一环。


作为中国网络安全的领军企业,澳门银银河官方手机版集团2017年在行业内率先提出了“第三方独立安全运营”这一概念,并且作为集团的重要战略在全国40多个城市开花结果,这也意味着行业与客户对这一模式的认可与肯定。


未来,澳门银银河官方手机版集团会继续践行“第三方独立安全运营”战略,为城市智慧化建设贡献力量,努力实现“城市让生活更美好”的幸福愿景。