在诞生之初,零信任理念被誉为“可以解决一切安全问题”的终极手段。随着近几年从理念向实战演进,基于零信任理念的安全工具和防御思路逐步完整,在攻防场景中的实战价值也逐渐脱颖而出。
在攻防演练中,由于涉及到的企业越来越多,业务形态越来越多元化、复杂化,因此对“实战”的考量至关重要。部分企业采取“临时抱佛脚”的心态,拼凑一支防守队伍希望蒙混过关,而老旧的VPN、传统杀毒等安全手段已经难以抵御各类高级安全威胁的进攻,在实战中轻易就被攻方打穿。
腾讯iOA是基于腾讯内部实践与零信任思想的全模块自研终端安全一体化产品,从最早的零信任接入(ZTNA)、终端保护(EPP)、终端管理(UEM)开始,腾讯iOA就坚定的在一个客户端上持续构建新的安全能力,为了帮助用户在攻防演练场景解决更多的安全问题,让iOA真正成为用户在终端安全侧的有力抓手。腾讯iOA重磅推出了终端检测与响应(EDR)模块,同时提供了腾讯安全专家在线协助分析服务,让安全建设行之有效,落地有声。
在攻防演练场景中,腾讯iOA主要通过两个场景为用户提供终端侧的安全能力,主要是终端入侵对抗场景和业务安全接入场景。
攻防演练之终端入侵对抗场景
场景一:钓鱼攻击防防护场景
在实战攻防演练中,钓鱼攻击是攻击队突破防守最常用的攻击手法之一,这类攻击手段往往隐藏在日常办公流程中,利用人性的弱点诱导用户上钩,这也导致传统安全产品难以从高频的办公事件中识别出钓鱼攻击。
腾讯iOA-EDR可针对钓鱼入侵路线实现全链路染色追踪,在钓鱼样本投递阶段和外联通信阶段实现首尾关联行为分析,最大程度识别和阻拦钓鱼攻击。
●腾讯iOA-EDR可对风险渠道落地文件进行外联监测和关联分析,利用iOA内置的钓鱼样本检测引擎,专项识别伪装后的钓鱼文件,从传输渠道和传输内容上进行双重识别,进一步提升检测效果,同时利用iOA的主动防御能力,对进程链和内存进行持续监测,实现对钓鱼攻击行为的精准拦截。帮助用户在“看得见”的同时也能“防得住”。
●针对横移防护,腾讯iOA可在事前进行安全基线加固,事中进行可疑行为审计和阻断,提供了超过13种域渗透攻击方式拦截,12种远程命令攻击方式拦截,6种协议爆破防护能力,及时阻断非法横移行为,保护核心资产和数据安全。
场景二:高级威胁检测场景
伴随着网络攻击技术的持续发展,0Day漏洞、无文件攻击、基于内存的攻击等高级攻击手段变得愈发常见,这类攻击给传统的终端防护软件带来了极大的挑战,大量的远控类无文件木马想方设法隐藏自己,本地落盘的恶意文件极少,真正的恶意行为大多放在在内存中执行,静态的检测引擎难以识别到这类攻击行为,因此也给参与攻防演练的企业带来了诸多挑战。
依托腾讯安全多年来的恶意样本和威胁情报积累,腾讯iOA-EDR模块提供了终端行为采集、威胁狩猎、事件调查、告警溯源、规则运营等多项安全能力,完整覆盖ATT&CK攻击链,快速发现各类高级安全威胁。
在实战攻防中,腾讯iOA-EDR可针对鱼叉攻击、APT29、APT32、MuddyWater等APT攻击链进行精准检测。同时iOA-EDR配套了完整的安全事件调查、溯源、响应体系,可以实现全景威胁溯源(进程/文件/网络行为链路聚合展示),极大降低强安全运营能力产品的使用门槛,保障了攻防期间企业安全运营的灵活性和效率。
场景三:供应链攻击/分支安全加固场景
和大型企业的集团总部相比,供应链和分支往往是网络安全建设的短板所在,供应链和分支的网络安全专业人才相对更少,被攻击者突破成为跳板的可能性更大。近年来,越来越多的攻击者通过集团分支/供应链进行突破,让防守者苦不堪言。
为提升企业针对供应链/分支场景的安全防护能力,腾讯iOA可提供轻量化终端安全方案(mini-EDR),以轻量化无感的产品形态,在不影响供应链/分支现有业务稳定运行的情况下,帮企业管好供应链/分支终端。
●可提供独立的轻量化 EDR 客户端,安装包仅25MB 大小,且无客户端窗口界面。
●EDR在终端仅做轻量化数据采集,即使用户已部署第三方杀毒软件,也不会与之产生冲突或性能抢占,可做到与杀毒软件零风险共存使用。
●通过iOA-EDR模块,可实现对终端威胁行为持续的风险检测与及时的风险响应。同时结合多终端关联分析,可视化展示攻击链条,及时发现恶意攻击行为并进行溯源和阻断。确保针对供应链和分支的入侵行为无处遁形。
●结合腾讯专家的托管检测与响应 EMDR 服务,无需担心现有运营人力无法支撑分支和供应链的BYOD设备的威胁运营工作,由腾讯安全专家为企业7*24小时关注针对供应链/分支终端的入侵风险。
攻防演练之业务安全接入场景
在实战攻防演练中,大量用户采用 VPN 等安全产品对互联网业务的暴露面进行收敛,但传统 VPN 产品需要对互联网暴露自身端口,容易被攻击者利用 0day漏洞、密码爆破等方式正面突破,同时传统的 VPN 产品检测能力较弱,攻击者一旦成功盗用 VPN 账户,进入内网后即可快速横移至靶标系统,进而造成防守方失分。
腾讯 iOA 具备零信任接入模块,相比传统 VPN,提供了更强大的动态访问控制能力和单包授权 SPA 方案,结合腾讯iOA 企微网关,在实战攻防期间,可以全面收缩互联网业务暴露面。
(1)通过单包授权 SPA 方案,可以进一步对零信任设备自身的暴露面进行收敛,达到“零端口暴露”的方案效果,即使攻击者手握强大的0Day 漏洞,也难以突破 SPA 防线。
(2)与此同时,腾讯 iOA 还可以通过零信任接入、安全管控、安全检测与响应 EDR 模块之间的相互联动,构建灵活的访问控制引擎,实时验证用户的可信度,确保只有合法用户才能安全访问业务。
(3)结合腾讯 iOA 企微网关,能够提供企业微信工作台业务防护能力,独家“0应用改造”能力及“用户无感”接入方案,能够助力企业客户在攻防演练期间快速收敛应用暴露面,实现安全与效率的协同,为企业提供自建内网应用在外网安全访问的能力。
腾讯iOA在实战攻防中的三大核心能力
在实战攻防中,腾讯 iOA-EDR围绕安全效果、轻量化构建了三大核心能力:
1、精准检测
腾讯 iOA-EDR 具备包括终端行为采集、威胁告警、告警溯源、事件调查、威胁响应和威胁狩猎等功能,可灵活自定义检测和告警规则,支持多终端行为关联分析能力,数据可见性强。可帮助用户发现更多恶意行为,同时将分散长尾的告警,智能归并重组为少量的安全事件,降低运营门槛和提升运营效率。值得一提的是,在赛可达实验室近期发布的 EDR 检测报告中,腾讯 iOA-EDR 能力全国第一,威胁可见性达到了 100%!
2、轻量落地
考虑到大部分参与实战攻防演练的用户基本已部署了终端杀毒产品,为了在提升安全能力的同时,与现有终端安全体系无缝兼容,腾讯 iOA-EDR 可提供轻量化的Mini-EDR客户端,在无需替换现有杀毒软件的同时,对传统杀毒进行能力补齐,对现有安全体系的影响降至最低。 Mini-EDR安装包大小仅为 25MB,可实现员工无感知安装和使用,和现有终端安全体系形成耦合对接,让企业推广零障碍!
3、服务协同
安全攻防的本质是人与人之间的对抗,iOA-EDR 作为一套强有力的终端安全工具,为了达到最佳的使用效果,腾讯安全还配套了终端托管检测与响应服务(EMDR),通过安全专家和安全工具的协同配合,让安全效果最大化呈现!
●事前,由腾讯安全专家协助用户进行规则巡检和运营优化,也可根据用户需求开展钓鱼演练服务;
●事中,进行 7*24h 的威胁监控和威胁研判服务,帮助用户跟踪溯源和快速处置,同时还会根据腾讯安全所积累的 APT 攻击情报,协助用户对未知威胁进行持续的威胁狩猎;
●事后,帮助用户按月/季度输出企微安全分析报告,帮助用户看清企业内部安全问题,为安全决策提供强有力的数据支撑。
——重保季,腾讯iOA优惠来啦!——
福利 1:现在申请 iOA EDR 模块,即可免费试用 3 个月!
福利 2:订阅采购,即赠送一年专家线上运营服务(EMDR),由腾讯安全在线协助分析处置安全风险!