ca88登陆平台

【实战攻防纪实】“NGSOC+N”联动出击,,,,, , ,,7分钟扼杀危机缝隙利用攻击

功夫:2024-09-25 作者:ca88登陆平台

分享到:

    【引言】   

    2024国度级攻防演练已告一段落 。。。。。 。在这次趋于常态化的超长演练功夫内,,,,, , ,,传统的断网、关停端口等一时措施已不再合用于防守企业的防御战术,,,,, , ,,而是更注沉构建常态化的安全防御机造 。。。。。 。在这一过程中,,,,, , ,,单一的安全产品已不及以急剧应对越发复杂的威胁 。。。。。 。因而,,,,, , ,,突破安全设备孤岛,,,,, , ,,推进设备间的协同工作与统一治理,,,,, , ,,让安全运营过程更单一、更智能,,,,, , ,,成为企业在演练中必须面对的课题 。。。。。 。

    恰逢2024攻防演练期间,,,,, , ,,ca88登陆平台对安全攻防BU和安全运营BU进行整合,,,,, , ,,正式成立安全运营BG 。。。。。 。这一刷新使得公司可能在实战攻防匹敌中,,,,, , ,,从客户的安全运营需要启程,,,,, , ,,沉新评估产品间的协同合作;;;;;;;同时也推动客户突破了各自为战的传统安全设备使用模式,,,,, , ,,全方位履历安全运营BG旗下各产品的联动优势,,,,, , ,,从而显著提升整体安全运营效能,,,,, , ,,真正实现“以快造胜” 。。。。。 。

    在这一过程中,,,,, , ,,客户最为经典的联动方式之一就是“NGSOC+N”的组合,,,,, , ,,即NGSOC与天眼、QAX-GPT安全机械人、SOAR之间的协同作业 。。。。。 。具体部署方式如下:

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    1、NGSOC+天眼(监测):NGSOC作为安全人员集中的威胁监测及运营平台,,,,, , ,,接管来自蕴含天眼在内的多种安全设备的告警信息 。。。。。 。通过最新版本中的“智能分诊”告警降噪职能,,,,, , ,,将正本必要数幼时能力实现的告警筛选过程压缩到秒级,,,,, , ,,从而在海量告警中迅速鉴别出可能对关键资产造成严沉影响的1%沉要告警信息 。。。。。 。    

    2、NGSOC+QAX-GPT安全机械人(分析):通过接口与NGSOC相连的安全机械人,,,,, , ,,不仅能对上述“智能分诊”初步过滤的告警进杏装确诊”,,,,, , ,,进一步筛选出攻击成功的“有效告警”,,,,, , ,,实现高效的“双沉告警降噪”,,,,, , ,,解除高达90%的告警噪声;;;;;;;还能辅助安全分析师进行智能化的事务研判,,,,, , ,,将正本必要多名专家破费数幼时的工作量,,,,, , ,,削减到由低级人员在几分钟甚至几秒钟内即可实现复杂事务的分析 。。。。。 。

    3、NGSOC+SOAR(措置):通过预设的SOAR剧本与NGSOC的对接,,,,, , ,,实现了措置流程的自动化,,,,, , ,,预防了人为过问导致的响应延长,,,,, , ,,将正本必要几天或几幼时的响应功夫缩短至几分钟甚至几秒钟之内 。。。。。 。

    这种“NGSOC+N”的联动机造,,,,, , ,,不仅显著缩短了从威胁监测、研判到措置的关环功夫,,,,, , ,,大幅提升了安全运营效能,,,,, , ,,还彻底解放了安全人员的双手,,,,, , ,,使多平台间的合作变得越发高效、便捷 。。。。。 。更沉要的是,,,,, , ,,它极大地加强了企业在面对网络安全威胁时的整体防御能力,,,,, , ,,使企业在应对频仍且复杂的攻击时更具回击力 。。。。。 。

    案例概览:

    五大利器实现“7分钟”事业    

     

    今天,,,,, , ,,让我们一路看看某金融客户在实战攻防演习中,,,,, , ,,若何奇妙地通过NGSOC平台,,,,, , ,,联动天眼、QAX-GPT安全机械人、SOAR、加特林这四大利器,,,,, , ,,仅用7分钟便实现了从发现攻击者贪图攻击,,,,, , ,,到研判确认攻击成功,,,,, , ,,并详尽追踪攻击手法,,,,, , ,,同时使用SOAR自动化剧本在秒级功夫内一键隔离攻击源、阻断攻击链、扫描隐患资产 。。。。。 。             

     

    注:案例内容采写于客户现场的ca88登陆平台驻场安服人员幼杨(化名) 。。。。。 。         

     

    告警监测:幼杨在NGSOC平台进行告警监测时,,,,, , ,,通过使用NGSOC平台上的“智能分诊”职能及挪用GPT机械人接话柄现“双沉告警降噪”,,,,, , ,,解除了90%的告警噪声,,,,, , ,,使幼杨可能在攻击者贪图攻击的1分钟内发现由天眼系统捕获上传的危机“润乾报表系统dataSphereServlet肆意文件上传缝隙”告警 。。。。。 。  

     

    研判分析:只管经验尚浅,,,,, , ,,幼杨并不必要求助于高级专家,,,,, , ,,借助GPT机械人的智能研判,,,,, , ,,在2分钟内便实现了具体的攻击过程和取证信息分析,,,,, , ,,蕴含关联取证与文件解码 。。。。。 。

    响应措置:幼杨一键执行NGSOC内的告警措置剧本,,,,, , ,,将措置指令发送至SOAR系统,,,,, , ,,自动联动防火墙封禁NGSOC系统中所有与润乾报表系统缝隙有关的告警中的攻击者IP,,,,, , ,,并自动触发加特林系统扫描沉点资产中是否存在该缝隙 。。。。。 。措置了局在1秒内同步至NGSOC,,,,, , ,,幼杨的蓝信也收到通知 。。。。。 。         

     

    “NGSOC+N”的全程联动纪实          

    1、告警发现

    2024年7月23日上午11点15分,,,,, , ,,幼杨在NGSOC监测界面上发现多条由天眼系统捕获并象征为“危机”的告警,,,,, , ,,告警名称名均为“润乾报表系统dataSphereServlet肆意文件上传缝隙” 。。。。。 。并且这些告警均源来自统一IP地址,,,,, , ,,在11点14分至11点15吩熠间对该客户系统提议了多轮攻击尝试 。。。。。 。

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    只管幼杨能在攻击产生后的1分钟内就把稳到这些可疑告警信息,,,,, , ,,但在面对NGSOC内多设备起源的海量告警数据时,,,,, , ,,仅凭借一双眼睛显然是不够的 。。。。。 。现实上,,,,, , ,,这所有的背后离不开NGSOC新职能“智能分诊”与QAX-GPT安全机械人的“双沉降噪”机造 。。。。。 。

    首先,,,,, , ,,NGSOC新版中的“智能分诊”职能为告警进行了首轮降噪 。。。。。 。在从前,,,,, , ,,从海量告警中筛选出沉要信息必要多名同事分工合作,,,,, , ,,而此刻,,,,, , ,,只需在NGSOC界面上一键点击“沉点关注告警”按钮,,,,, , ,,幼杨就可能迅速定位到那些针对关键资产且可能引发严沉后果的告警信息 。。。。。 。

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    NGSOC“智能分诊”首轮告警降噪     

     

    接着,,,,, , ,,在NGSOC系统内挪用QAX-GPT安全机械人的接口,,,,, , ,,进杏装二次”告警降噪 。。。。。 。幼杨在上述NGSOC“智能分诊”后的列表中点击“QAX-GPT研判状态”按钮,,,,, , ,,这些已被初步降噪的告警信息被QAX-GPT安全机械人再次过滤,,,,, , ,,正确地域分出攻击成功的“有效告警”和未攻击成功的“无效告警” 。。。。。 。    

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    图:GPT安全机械人二次降噪         

     

    通过“智能分诊”的初步降噪与QAX-GPT的二次确认,,,,, , ,,在一个NGSOC系统内有效地解除了90%的告警噪声 。。。。。 。正是这种高效的“双沉降噪”机造,,,,, , ,,使得幼杨可能在攻击产生后的1分钟内,,,,, , ,,迅速捉拿到“润乾报表dataSphereServlet肆意文件上传缝隙」剽一垂危告警 。。。。。 。         

     

    2、告警研判

    11点16分,,,,, , ,,幼杨立即着手对“润乾报表dataSphereServlet肆意文件上传缝隙”告警进行深刻分析 。。。。。 。

    以往研判类似复杂的危机告警时,,,,, , ,,幼杨通常必要追求资深专家的援手,,,,, , ,,但此刻,,,,, , ,,只必要在NGSOC页面一键启动QAX-GPT安全机械人,,,,, , ,,就能获得专业的智能研判 。。。。。 。

    瞬息之间,,,,, , ,,QAX-GPT便提供了一份具体的分析注明:攻击者利用润乾报表系统肆意文件上传缝隙,,,,, , ,,上传了可执行剧本文件monitor.jsp,,,,, , ,,响应码为200,,,,, , ,,响应体中蕴含了一段JavaScript代码,,,,, , ,,以及文件保留蹊径为/monitor.jsp,,,,, , ,,因而判断攻击成功 。。。。。 。

    为了进一步确认攻击者上传的monitor.jsp文件是否真的成功,,,,, , ,,幼杨在GPT对话框内输入了查问要求:“请关联查问这个monitor.jsp的web接见纪录 。。。。。 。”随即,,,,, , ,,GPT机械人自动触发了关联取证分析,,,,, , ,,确认该文件的确已被成功接见 。。。。。 。

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    紧接着,,,,, , ,,为了相识上传文件的内容,,,,, , ,,幼杨又向GPT机械人发送相识码指令 。。。。。 。从解码数据中能够看出,,,,, , ,,文件内容还经过一次Unicode编码 。。。。。 。 

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    从上述GPT解码了局,,,,, , ,,以及综合研判内容看,,,,, , ,,根基能够确定攻击者上传的monitor.jsp是一个恶意文件 。。。。。 。

    3、响应措置         

     

    11点18分,,,,, , ,,凭据上述GPT安全机械人给出的具体研判结论,,,,, , ,,幼杨立即联系应急响应组进行上机排查,,,,, , ,,断根该monitor.jsp恶意文件 。。。。。 。

    与此同时,,,,, , ,,幼杨立即在NGSOC中的该条告警下,,,,, , ,,右键点击“联动措置”,,,,, , ,,一键联动防火墙封禁该攻击IP地址 。。。。。 。    

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    图:在NGSOC内一键联动防火墙封禁IP

    4、堵截隐患

    为了进一步排查除了本次安全事务告警中涉及的攻击者IP表,,,,, , ,,是否有其他攻击者同样利用了润乾报表缝隙进行攻击,,,,, , ,,并实时封禁这些潜在攻击者的IP地址,,,,, , ,,幼杨立即对本条告警产生前两个幼时内的告警纪录发展具体排查 。。。。。 。    

     

    在告警排查中,,,,, , ,,分歧于以往需在NGSOC平台逐一按前提搜索并手动封禁攻击者IP的繁琐流程,,,,, , ,,如今,,,,, , ,,幼杨只需在NGSOC平台上本条告警之下一键执行预先配置好的SOAR“剧本” 。。。。。 。这一操作使得针对该缝隙利用的“告警排查指令”可能即时自动发送至ca88登陆平台SOAR系统,,,,, , ,,并在毫秒内检索出近2个幼时内NGSOC平台上所有与润乾报表缝隙有关的告警信息,,,,, , ,,随即自动联动防火墙封禁这些告警中涉及的所有攻击者IP地址 。。。。。 。             

     

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    图:在NGSOC内一键联动SOAR执行措置剧本         

     

    与此同时,,,,, , ,,当在NGSOC上执行上述SOAR剧本时,,,,, , ,,关于该缝隙的“缝隙扫描指令”也将同步自动发送至ca88登陆平台SOAR系统,,,,, , ,,并自动触发ca88登陆平台加特林系统对企业的全数内网资产进行全面扫描,,,,, , ,,查抄公司内网资产中是否同样存在此类缝隙,,,,, , ,,从而彻底堵截攻击者利用该润乾报表系统缝隙执行任何攻击的可能性 。。。。。 。         

     

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    图:SOAR系统中关于缝隙措置的剧本

    最终,,,,, , ,,SOAR在短短1秒内便变实现了“告警排查指令”与“缝隙扫描指令”的执行,,,,, , ,,处置了局同步反馈至NGSOC平台,,,,, , ,,自动更新告警措置状态,,,,, , ,,并通过“蓝信”窗话柄时通知了幼杨 。。。。。 。    

【实战攻防纪实】“NGSOC+N”联动出击,,,,,,,,7分钟扼杀危机缝隙利用攻击

    图:SOAR通过蓝信实时发送事务措置结束的通知         

     

    能够看到,,,,, , ,,上述NGSOC与SOAR联动措置的过程趁热打铁,,,,, , ,,一系列操作无需人为过问,,,,, , ,,1秒内全数自动实现 。。。。。 。这种自动化急剧响应的方式,,,,, , ,,尤其适合深夜时段、无人值守的场景,,,,, , ,,能够最大水平缩短威胁响应功夫,,,,, , ,,有效遏造威胁扩散 。。。。。 。         

     

    11点18分10秒,,,,, , ,,凭据加特林缝隙扫描了局,,,,, , ,,幼杨进一步对资产采取了必要的加固措施,,,,, , ,,确保系统的安全性 。。。。。 。

    11点22分,,,,, , ,,应急响应组反馈,,,,, , ,,已实现对有关业务目录的查抄,,,,, , ,,并发现了上传的monitor.jsp文件,,,,, , ,,随即立即断根了该文件 。。。。。 。

    至此,,,,, , ,,关于“润乾报表系统dataSphereServlet肆意文件上传缝隙”的事务已在短短7分钟内实现关环措置 。。。。。 。

    接下来,,,,, , ,,我们还将颁布一系列攻防演练故事,,,,, , ,,分享客户若何借助安全运营BG旗下各类产品和服务,,,,, , ,,构建起无缝合作、协同联动的防御系统,,,,, , ,,提升安全运营效能,,,,, , ,,解放安全人员的双手 。。。。。 。敬请关注!    

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】