能源电网行业解决方案
从外部形势上看,近年来网络空间安全威胁加剧,全球范围针对关键信息基础设施的网络攻击事件持续攀升。从国家监管趋势上看,有关部门对网络安全工作的要求已从合规检查向基于实战背景的攻防对抗转变。电网是国家关键信息基础设施密集的企业,也是敌对势力攻击的重要目标,因此高度重视网络安全工作,在传统防御体系的基础上,逐步引入红蓝对抗的思路进行网络安全建设,围绕“发现短板,以攻促防”的目标,积极开展红蓝对抗与日常安全运营工作的整合实践,从攻击者的角度检验现有网络安全防护体系的防范效果及响应效率,督促各单位落实各项管理要求和技术措施。近年来国家级的红蓝对抗演习,电网企业排名一直牢牢占据第一军团的位置。这源于电网企业对于技术实战能力的孜孜不倦的追求和高度的敬业精神。作为国内领先的智能攻击队解决方案提供商,墨云科技可为电网企业提供业内领先的电网智能攻击队建设解决方案。
解决方案
针对当前电网行业红蓝军建设以及攻防工作组织中存在的需求和变化,墨云科技提出“虚拟的攻”促“真实的防”理念,聚焦智能网络安全攻防技术,在国内创新性的提出了“智能红队”技术方案,方案涵盖了攻击面管理、智能自动化渗透测试、网络攻防管理以及资产风险管理等红蓝对抗的多个领域,覆盖了对红蓝对抗中情报搜集、攻击实施、复盘、攻击成果的应用以及攻击过程管理等各个环节。
自互联网接入区(V区)发起模拟攻击,检验互联网边界的安全防护水平;假设通过社工攻击、0day漏洞或近源攻击获取内网立足点,在管理大区进行横向移动;对电力监控系统(生产大区)进行进行模拟攻击(包括工控系统及物联网终端)
2.1攻击面管理
攻击面管理(ASM)在传统渗透测试情报搜集的基础上,站在攻击者的角度,更全面得发现用户暴露得可被利用的攻击打点,例如通过代码泄露找到业务系统存在的0day漏洞,第三方框架及组件的漏洞以及组织架构、人员、文档及代码、供应商、社交信息等攻击情报信息。
2.1.1.智能漏洞挖掘(VackAVD)
智能自动化漏洞挖掘平台(VackAVD)是采用基于变异方法的模糊测试(Fuzzing)技术构建的智能漏洞发掘系统,Avdbot采用遗传算法进行动态测试,利用插桩技术追踪代码覆盖率,极大提升测试深度和广度,显著提高未知漏洞的挖掘效率,可实现零误报。Avdbot支持丰富的应用场景,支持C、C++、Java等开发语言,支持二进制等闭源程序测试,可广泛应用于开源软件/库中的未知漏洞发现,提升固件系统,二进制软件的安全性。
2.1.2.智能代码审计(Codebot)
智能源代码审计平台(Codebot)是采用业界领先的源代码静态分析技术的源代码静态分析系统,它对目标软件代码进行传统语法、语义分析的技术之上,辅助以数据流分析、控制流分析和特有的缺陷分析算法等高级静态分析手段,高效检测源代码中的漏洞及缺陷,系统内置24大类超过1000种缺陷种类,全面兼容CWE、OWASP、CERT,支持JAVA字节码扫描技术,支持APP检测,支持百万行级代码扫描。
2.1.3开源网络情报(ONIST)
开源网络情报平台是依靠多年的安全行业经验及情报数据收集积累,打造的一款威胁情报分析和网络空间探测平台,可以为用户提供权威、及时、准确的威胁情报数据。该系统在搜集传统的IT资产情报基础上,采用开源网络情报框架(ONIST)搜集与目标相关的组织架构、人员信息、社交信息、供应商信息、文档及代码泄露等APT攻击所需的情报,绘制更加完整的攻击面视图。
2.2自动化渗透测试
攻击面管理(ASM)在传统渗透测试情报搜集的基础上,站在攻击者的角度,更全面得发现用户暴露得可被利用的攻击打点,例如通过代码泄露找到业务系统存在的0day漏洞,第三方框架及组件的漏洞以及组织架构、人员、文档及代码、供应商、社交信息等攻击情报信息。
2.2.1.智能渗透与模拟攻击(VackBot)
自动智能渗透与攻击模拟平台(VackBot)将网络攻击技术与机器学习相结合,采用主动安全验证、攻击感知预警分析等相关技术,并率先利用人工智能技术模拟黑客网络入侵,以攻击视角来主动验证用户网络安全控制的有效性。Vackbot集成了国际先进的攻击技术与主流攻击剧本,通过对用户网络环境进行全面持续性渗透攻击与攻击模拟,最大程度的发现用户网络环境及业务系统的存在的攻击路径及打点,其攻击成果用于指导用户以攻击者视角对自身企业安全防护水平进行全面评估,做到有效消除存在的安全短板。
2.2.2.安全产品有效性验证(BAS)
安全产品有效性验证平台(BAS)是针对用户现有安全防护产品进行自动化持续性评估的系统,用于验证安全设备是否能准确地对不同来源、不同目的、不同类型的公网恶意流量发出告警,以及针对告警采取的处置措施是否能有效地阻断攻击。BAS系统支持外对内、内对内等多种模拟真实攻击场景,支持WAF、IDS、EDR、蜜罐等各类安全防护产品,帮助用户持续性优化安全防护策略。
2.2.3网络攻防管理(ADM)
网络攻防管理系统(ADM)主要关注安全测试流量的管控和测试行为审计,用于实现对攻击队成员、攻击设备,攻击工具及攻击手法的全面管控,系统支持测试专用通道、攻击流量全记录、测试工作统计分析、测试成果管理以及对测试行为的审计及溯源。ADM系统实现了攻防过程的全记录及可视化,可有效管控攻击队行为,避免模拟攻击中的未授权行为以及获取的敏感漏洞、凭证信息以及业务数据外泄导致的风险。同时可对模拟攻击的成果沉淀为知识库,支撑网络安全运营工作。
2.2.4.资产风险管理平台(VackMagi)
智能攻击路径管理平台Magibot是集资产管理、漏洞治理、风险检测及威胁情报于一体的系统,通过威胁情报、主动探测、流量分析等多种技术手段发现内外网资产及存在的漏洞。Magibot支持1000+协议、1000+服务、3000+网站应用,同时支持10W+安全检测手段,帮助用户摸清资产、查找漏洞,实现资产漏洞的综合管理,增强自身的防御能力。