本帖最后由 古国壮 于 2022-7-4 10:23 编辑
客户存在问题 1、外域资产探测(不清楚自身在公网上面未加密资产,导致经常被上级单位通报) 2、自身资产台账整理不清晰(众所周知,现在护网已经成为主流,客户不清楚自己的资产,就相当于不知道自己的暴露面有多少,这样在护网中经常会出现被攻击找不到资产责任人来维护的情况或者不能及时的补救) 3、威胁情报,告警,漏洞情况太多,各个厂商安全设备日志割裂,工程师运维比较麻烦,海量的告警日志,安服工程师精力有限,这就会造成误报较多,而对真实告警处理不及时,导致告警进一步发展为事件的情况。 4、虚拟机等资产开放端口情况记录不详细,让自身处于威胁之中。 产品解决方案: 1、通过sta和sip的设备数据接入后通过平台进行治理,再建立模型来解决。 具体步骤:将探针和态势感知的数据源接入进来,外域资产只有使用未加密的情况(会被上级单位通报)我们通过ngsoc通过解析sta捕获上来的reqbody这个字段的流量来进行分析客户数据包里面的内容: 上图为探针捕获情况发送到ngsoc上面,但是探针捕获的字节长度明显达不到我们分析数据的标准。针对这种情况我们解决方法是:将sta上面捕获流量body字段的阈值加大。 平台模型建立: 探针调试: 注意:字段阈值添加问题一定要找寻400来进行设备cpu性能的评估,测试情况重在不影响客户正在运行设备为第一标准 然后将接入的数据进行治理,这时可以日志解析里面获取到该设备流量的具体日志。再通过清晰明了的建模流程来提取公有云资产的特征性字段(如该区域名称缩写等)进行域名的过滤。 然后整理通过检索域名的语句将解析出来的域名检索出来。自身过滤一部分名单,后续交友客户工程师确认,确认一批加入过滤的名单中,后续就只用确认新的,这样就会越来越简洁明了。 PS:注意这里不用AC的原因:AC开启网页审计后,我们可以获取到用户访问的该网页的域名,但是一般情况下,外网资产域名上面涵盖的特殊的字段很少甚至是没有,我们需要解析网页的内容中获取的特殊的字段用来提取这些特殊字段。AC审计后网页内容会生成一个链接,这个链接上面的内容存储在AC本地,NGsoc平台不能直接使用。 2、自身台账不清晰问题解决:许多客户的自身资产情况都是通过原始记录并且不断更新的情况来记录自身资产的,这种情况我通过调研得出(一部分设备未记录在案,还有一些设备出现了未使用的情况,但是资产台账中还未清除的情况),这样我们的资产情况就会有一部分设备不清楚,并且出现安全事件问题的话,设备的责任人还需要时间来查找,造成出现问题对应责任人查找不及时的情况。我们设备上有关于资产这一部分的功能,最开始情况我们可以通过明确各个政务网段来区分不同的委办局,并且委办局内也可以进行更加细化的区分,我们可以将客户原有 的资产台账录入进我们的资产模块,后续通过我们CWPP\EDR\SIP\STA传输过来的资产情况,设置审核要求,这样就会将传输过来的资产情况进行审核,符合要求,明确为自身资产的可以审核入库。注:因为有原始的资产台账,后续审核资产会很少。对于未使用的资产我们的大数据平台还有资产退库的设置。例如:我们可以设置资产180天未上线自动退库操作来保障我们平台可以根据资产的实时变化而更新。 3、安全事件告警情况削减,因为各个厂商日志割裂,运维难度大大增加。具体描述如下图: 解决办法:我们的安全大数据分析平台有强大的兼容性,目前已经支持三百多种安全产品直接接入进行日志解析,一些没有相关内置解析规则的设备,我们平台提供日志解析的工具,只需要获取到设备的样例日志就可以进行解析。后续通过建模处理这些安全设备上面的告警日志逐渐消减,从而生成相应规则来持之以恒的进行告警的削减。 4、4、虚拟机进程端口问题:通过cwpp来识别客户的资产指纹(端口,中间件),内容资产中心提供指纹调查功能,当出现0day漏洞、高危软件、开放端口等威胁情报时,需要查找对应的端口、软件、WEB信息的时候,能够快速检索到受影响的主机范围。 指纹识别提供按监听端口、运行进程、系统账号、数据库、软件资产和web资产几个维度检索影响主机。 以[监听端口为例,列表展示了当前所有主机全部端口号统计分类数,进程分类数以及主机数; 若出现存在安全风险的端口时,如22端口,可直接搜索端口号后点击[主机个数,查看开放22端口的主机详情,包括主机名称、端口绑定ip、进程启动时间和运行用户,帮助用户判定当前主机是否存在端口开放的安全风险。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-4-16 09:24
技术员3级