某集团态势感知云网端项目案例
  

胖子爱吃肉 593

{{ttag.title}}
本帖最后由 胖子爱吃肉 于 2024-12-3 15:22 编辑

1、项目背景:
国家能源局、国资委等部门先后发布了《关于加强电力行业网络安全工作的指导意见》、《电力行业网络安全“十四五”行动计划》、《关于做好国资国企网络信息安全在线监管平台建设工作的通知》等文件,提出构建融合监测分析、情报预警、应急处置、统筹管理、协同联动为一体的电力行业网络安全保障体系,形成统一高效的风险报告机制、研判处置机制、网络安全协同工作机制。针对各类监管要求,集团公司针对下属单位进行网络安全态势情况检查,补充构建起网络安全态势可视、可知、可管、可控、可溯、可预警的综合防控系统,加强对下属单位安全监管和全局态势监测,实现上下协同联动处置效果。

2、建设范围:
此次为集团网络系统规划涵盖集团总部、分(子)公司和基层企业三级的安全态势感知体系,实现全集团安全状况的无缝覆盖、分级监测
集团总部:
升级扩容安全态势感知平台对接分(子)公司态势感知平台的上报数据,提供全集团统一的挂图作战、数据分析、风险研判、态势感知、指挥通报、联动处置,实现全集团网络安全风险可视,全面掌握集团网络安全信息。
分(子)公司:
复用原有的34套态势感知平台,新购8套态势感知平台,最终实现42家分(子)公司态势感知平台全覆盖
基层单位:
基层企业在网络核心节点部署流量采集探针400+台,全面采集并检测所有流量信息实现监控无死角。

3、项目规划:
3.1、拓扑规划(略):
3.2、时间规划:
总体建设时间在2024HVV前完成工程建设,满足国家HVV防守检测环境搭建。
3.3、版本规划:
集团总部
设备型号
软件版本号
规则库版本号
备注
SIP-1000-V400
3.0.92
安全检测特征识别库:2024-01-26
IOC威胁情报库:2024-01-25
文件智能分析模型库:2023-04-137
白名单库:2024-01-24
安全知识库:2021-12-09
热点事件库:2021-12-27
安全分析引擎(资产感知/脆弱性感知/数据流转/资产识别):2023-09-28
NetFlow行为分析引擎:2023-12-08
威胁情报关联分析引擎:2023-10-26
第三方安全检测引擎:2023-03-30
溯源分析引擎:2021-08-11
UEBA行为分析引擎:2023-12-07
SIEM日志范式化引擎:2023-03-31
互联网区-ARM
SIP-1000-V400
3.0.92
管理网区-C86
STA-100-B3100
3.0.79
规则库时间根据实际情况进行更新
新建8家省分子公司
SIP-1000-B400
3.0.77
同上
新建
STA-100-B2200
3.0.71
新建
利旧27家省分子公司
SIP-1000-B400
3.0.92
同上
需要升级
STA-100-B2200
3.0.79
需要升级
354家基层单位
STA-100-B2100
3.0.79
同上
新建
4、项目实施(略):

本文简单复述项目情况,交付过程不做赘述。过程中遇到的原理,后台命令,攻防常识已积累Xmind,有需要可联系37190获取。

5、HVV
5.1、HVV前检查:
5.1.1、版本/规则库/巡检检查(略)
5.1.2、探针镜像流量检查
镜像完整性/性能检查
集团总部互联网区域4台万兆探针旁挂核心交换机分流器,通过分流器流负载策略,将镜像20G南北向流量均匀分布在4台探针上。探针性能根据SCP显示为网络吞吐10G,应用吞吐5G4台设备满足性能要求
探针模式检查
对接SIP日志上传选择高级模式,确保HVV期间日志量丰富。
态势感知平台设备对接检查
1、设备管理中设备在线状态是正常
2、日志配置中网络流量日志设置是否全部开启,HTTP日志是否全部勾选,记录数据包HVV期间建议开启(可能影响性能);
3、IP范围定义是否合理,是否包含所镜像到的所有内网地址段;
4、内网DNS服务器问题确认,通过日志检索判断DNS地址是否镜像正确,有源有目的将DNS地址作为源加入白名单即可,仅有目的说明镜像正确,只有源地址需要调整探针部署位置或者配置对接DNS日志并加入白名单;
5.2、HVV期间:
5.2.1、战时指挥体系建设
深信服保障人员数量:此次共投入人员12人,其中安服项目经理1人,云端MSS项目经理1人,本地分析监测值守2人,客服1人,现场安服驻场1人,T2高级云端安全专家2人,后端专家4人。
5.2.2、安全防护体系建设
集团整体情况:
SIP 3套(16台虚拟化集群2+4台硬件集群,探针6台(本部),IPS两台,内网防火墙4台。其中安全态势感知系统、防火墙每日更新规则库和特征库,定期进行系统补丁升级动作。
集团+11家省公司安全设备(SIP+AF+AES)对接SAAS XDR+MSSP平台,将本地网络侧流量安全日志和端侧威胁日志/行为日志统一上报到云端平台,由云端平台的AI、告警聚合、网端关联等引擎做二次检测,降噪后精准检出安全事件,提高了Web漏洞类、高级未知威胁类等等的检出效率;本地设备与云端联动,本地设备的全面识别、闭环能力,再结合云端的实时威胁情报、专家安全运营、全面的暴露面扫描能力,两面形成合力,把安全从云端再到网端,最后到终端进行全方位的识别和处置,提升安全建设的防护能力以及建设的全面性。
同时,集团SIP还对接了山石网科防火墙、微步TDP/TIP、奇安信云锁/天擎、蓝信设备。其中,对接山石防火墙联动封锁恶意IP地址,联动深信服IPS封锁恶意域名(山石无法封禁域名),调用微步TIP针对每条告警进行IOC提取,两个情报库进行自动碰撞提高IOC的可信程度,帮助客户研判,SIEM对接微步TDP丰富告警数据防漏报,SEIM对接奇安信云锁/天擎,上报终端数据,以及API调用进行主机杀毒,对接蓝信根据策略自动触发告警通报等功能。
响应策略联动山石防火墙封禁IP
响应策略联动深信服防火墙封禁域名:
对接微步TIP调用威胁情报进行碰撞:
对接蓝信通知到责任人:
对接天擎进行主机隔离:
SIEM对接奇安信云锁/天擎/微步上报第三方告警数据:
设置自动封锁策略,联动深信服防火墙进行自动封禁:
联动云端威胁情报协助分析:
5.2.3、演习时间/里程碑
5.2.4、威胁检测与防守对抗
外部攻击态势:
攻防演练期间,云端安全运营中心结合大数据平台主动分析外部网站攻击日志391.96万条,平均每周捕获网络攻击55.99万次,包含远控行为1694446次、账号爆破948661次、信息泄露332445次、反序列化144646次、开源和商业应用漏洞127895次。
威胁类型视角:业务资产遭受攻击次数较多的攻击类型:“远控行为”和“账号爆破”,占比分别52.96%24.2%
暴露面EASM态势:
HW期间深信服安全运营中心安全服务专家协同深蓝实验室,共进行暴露面梳理6次,截至8.19日发现风险暴露资产10个,高危端口26个。以下为部分截图信息。
5.2.5、安全检测案例
6、价值兑现

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

新手259629 发表于 2024-11-28 15:03
  
去年,在网络安全的战场上,我们迎来了严峻的 HVV 防守挑战。值得庆幸的是,深信服作为我们坚实的后盾,凭借卓越的态势感知技术以及专业素养过硬的安全工程师团队,与我们并肩作战、携手同行,为这场 “战役” 注入了强大力量,助力我们攻克重重难关,取得了颇为亮眼的阶段性成果。不过,前行之路难免有波折,防守过程中,下级单位曾遭遇失陷状况,这也为我们后续的网络安全建设敲响了警钟,让我们深知安全防线仍需持续加固、精研深耕。
今年,我们秉持着 “未雨绸缪,筑牢防线” 的理念,携手深信服展开了一系列大刀阔斧的安全升级举措。在集团内网布局层面,全面覆盖二三级单位的深信服探针设备犹如精密的 “安全触角”,通过高效级联,将海量安全数据精准、及时地上报到集团总部,搭建起一张全方位、无死角的安全信息 “高速网”。深信服交付团队秉持匠心精神,深度打磨集团总部的态势感知平台,实现告警信息无缝外发到蓝信系统,这一创新联动,如同为我们的安全运维团队安上了 “顺风耳”,确保任何潜在风险都能第一时间被捕捉、被知悉。
不仅如此,我们还打通了与出口山石防火墙的联动 “关节”,一旦捕捉到恶意情报,便能迅速出击、精准封堵,将危险阻拦在 “门外”;协同奇安信天擎,对异常终端开展智能查杀,及时 “揪出” 隐患源头,净化网络环境。尤为值得一提的是,在长达 40 天的 HVV 防守关键期,深信服云端 MSS 团队秉持 7*24 小时的全时守护精神,不舍昼夜地值守 “阵地”,与我们并肩应对每一次挑战,协助我们精心构建起一套涵盖资产脆弱性管理、全流量威胁监测、事件分析与处置以及攻防对抗与快速响应的人机协同防护机制,这套 “防护铠甲”,让我们在面对复杂多变的网络攻击时,得以从容应对、稳如磐石。
此刻,虽今年的 HVV 最终成绩尚未揭晓,但我满怀信心,凭借深信服与我们的深度协作、不懈努力,今年的战绩定将超越往昔,再创新高。在此,我谨代表单位,向深信服交付团队和攻防团队致以最诚挚、最衷心的感谢,期待未来能与深信服继续携手同行,在网络安全这片 “战场” 上,共铸更多辉煌,守护好我们的 “数字家园”。
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
高手请过招
技术盲盒
【 社区to talk】
干货满满
新版本体验
标准化排查
技术咨询
技术笔记
功能体验
社区新周刊
GIF动图学习
2023技术争霸赛专题
纪元平台
秒懂零信任
产品连连看
信服课堂视频
每周精选
安装部署配置
自助服务平台操作指引
全能先锋系列
每日一记
终端接入
玩转零信任
场景专题
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
云化安全能力

本版版主

7
21
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人