本文就普遍关注的几个重要时期安全保障问题,汇总解答如下:
1.什么是重要时期安全保障?
2.为什么要进行重要时期安全保障?
3.重保期间需要抵御什么攻击?
4.重要时期安全保障的痛点有哪些?
5.怎么进行重要时期安全保障?
1.什么是重要时期安全保障?
重要时期安全保障,是指在重大会议、节假日等特殊时期内,对目标系统进行现场安全值守和保障,对业务系统的安全状况进行实时监控和日志分析。
在现场安全保障期间,当目标遭受黑客入侵攻击时,现场值守人员立即对入侵事件进行分析、检测、抑制、处理,查找入侵来源并恢复系统正常运行,完成后给出应急响应报告,同时给出对应的解决建议。
2.为什么要进行重要时期安全保障?
重保通常的防护对象包括国家企事业单位、金融企业、信息及通讯基础设施提供商、互联网企业、能源企业、有线上数字化内容的企业。在国庆等节假日、公司IPO前后等特殊时间阶段及敏感时期,政企机构遭遇黑客和竞争对手恶意攻击的风险是明显上升的,重保可以说是数字经济时代企业发展的“刚需”。
1)被攻陷出现安全事件的概率较平时提升数倍
重要时期节点,是国内外黑客组织、攻击团队和恶意人员高度活跃期,会比平时提升数倍、数十倍,从而造成各应用单位出现安全事件的概率大幅度提升。
2)重要时期出现的安全事件的影响恶劣度是平时的数倍
重要时期的安全事件是给上级部门或主管领导抹黑,甚至是给国家抹黑,前期付出的所有努力都被否定,甚至被上纲上线,给应用单位人员带来极大压力。
3.重保期间需要抵御什么攻击?
重保期间,黑客一般会通过以下攻击手段攻击目标:
0day漏洞:
利用0day漏洞对系统进行攻击,达到获取管理员权限以及系统破坏;
密码爆破:
通过工具对后台登陆页、操作系统登陆帐号进行密码爆破,达到获取管理员权限;
注入:
通过SQL注入、命令注入等方式,对数据库进行数据获取、篡改,并且可导致网站挂马;
跨站:
通过跨站脚本攻击,获取敏感信息;
DDoS攻击:
通过DDoS或CC攻击,导致系统和应用瘫痪,从而导致用户无法访问;
扫描攻击:
黑客通过机器扫描进行系统踩点和收集信息,从而让攻击变得更加快速;
钓鱼邮件:
导致感染病毒、木马,以及敏感信息泄漏;
旁站攻击渗透:
黑客通过主站下的二级子站、非重要端口进行入侵,从而获取主站权限。
4.重要时期安全保障的痛点有哪些?
技术资源要求峰值高
技术团队
①重要时期虽然持续时间短,但人员需求量大,需要7*24小时值守,时刻监测外部攻击情况;
②需要人员技术水平要求高,具备网络、主机、应用、数据、渗透等多方面的综合能力;
技术资源
①需要具备性能优秀的态势感知、安全防护、流量监测、日志分析等多种安全设备;
②需要便利的工具,能快速发现和处理外部攻击。这与平日工作所需资源相比存在数倍差距。
组织协同效率不足
应急响应、应急预案等关键安全活动缺乏信息化支撑的问题,导致组织协同效率低,包括内部组织、外部组织(安全外包服务提供商)。
数据协同难度大
多设备、多品牌、多平台(态势感知平台、SIEM、WAF、IPS/IDS)数据孤岛,数据协同难度大,误判高、可维护性差。
5.怎么进行重要时期安全保障?
以防微杜渐,有备无患作为工作理念,围绕前期准备、安全值守、总结提升三个阶段,以安全服务团队+安全服务工具的形式,完成重要时期安全保障工作的布防、值守、处置、总结等重保任务。
前期准备
开展统一防守思想、掌握基础资产、完成差距分析、实施安全加固、开展防守预演等相关工作。
安全值守
安全值守:该阶段所处时间即为重要节日、行业盛会、全球峰会、党政会议、重要护网开展的时间。在进行正式值守防护时,安全保障工作覆盖监测、分析、响应、处置、上报等环节,确保威胁必发现,事件必响应。
总结提升
总结提升:在安全保障工作完成后,对整体工作开展复盘总结,优化改进的阶段。该阶段全面总结安全保障各阶段的工作情况,形成总结报告,并据此优化整体防御防控体系,强化重要时期后日常防控防护机制的安全能力。
原文来自「道普信息」|侵删
如有侵权请联系:admin#unsafe.sh