如今網(wǎng)絡(luò)安全對企業(yè)越來越重要，企業(yè)也開始注重安全防御措施。因此就出現(xiàn)了很多企業(yè)都在建構(gòu)安全防御現(xiàn)象。那么企業(yè)建構(gòu)安全防御現(xiàn)象有哪些？在下文的四個(gè)安全防御象限中，結(jié)合了安全分析服務(wù)的安全產(chǎn)品可以在實(shí)際的進(jìn)攻和防御演練中，快速將防御者的防御能力提高到更高的水平。攻防對抗的實(shí)質(zhì)是在不斷糾正已發(fā)現(xiàn)的隱藏問題的同時(shí)，充分暴露問題并驗(yàn)證現(xiàn)有保護(hù)方法的有效性，這將是一個(gè)連續(xù)的過程。防御者還需要持續(xù)控制自己的資產(chǎn)動(dòng)態(tài)，漏洞更新，并且威脅情報(bào)和其他信息已得到全面使用，以實(shí)現(xiàn)足夠的防御效果。

　　1、防御象限

防御象限是最重要的象限，包含了企業(yè)防護(hù)的底線產(chǎn)品，以具有防御阻斷黑客攻擊能力的產(chǎn)品為主，在真實(shí)世界的攻防對抗中，它們能夠?qū)⒋蠖鄶?shù)攻擊者抵擋在外，這里重點(diǎn)介紹WAF、FW、HIPS。WAF能夠抵擋大部分來自Web的入侵，尤其是可編程的WAF，在面對攻防演練中出現(xiàn)的新漏洞時(shí)，能夠第一時(shí)間通過運(yùn)營編寫腳本實(shí)現(xiàn)阻斷，新一代的WAF還具備語義分析技術(shù)，可以有效減少誤報(bào)，提升防守方對未知威脅的防御能力。防火墻能夠?qū)吔绲馁Y產(chǎn)進(jìn)行有效的管控以及發(fā)現(xiàn)、阻斷網(wǎng)絡(luò)中的惡意通訊行為。而對于服務(wù)器上的資產(chǎn)這類黑客攻擊的重點(diǎn)目標(biāo)，安裝在服務(wù)器操作系統(tǒng)內(nèi)的HIPS能夠在第一時(shí)間檢測到如Webshell、Rootkit、黑客操作行為等攻擊特征并執(zhí)行攔截和防護(hù)，提升對核心資產(chǎn)的防御水平。

　　2、檢測象限

檢測象限以發(fā)現(xiàn)和誘捕黑客為主，此象限的產(chǎn)品能夠快速進(jìn)行入侵檢測、發(fā)現(xiàn)黑客的攻擊行為并對其進(jìn)行誘捕、畫像，如HIDS、NTA、Honeypot，這里重點(diǎn)介紹NTA和Honeypot。NTA類的產(chǎn)品全稱為Network Traffic Analysis，但這里更傾向于理解其為Network Threat Analysis，即通過流量對網(wǎng)絡(luò)中的威脅進(jìn)行建模和分析，實(shí)時(shí)感知預(yù)警，此類產(chǎn)品相比傳統(tǒng)的IPS在流量覆蓋以及威脅建模方面更加完整和全面。蜜罐是很好的發(fā)現(xiàn)黑客入侵行為的工具，在真實(shí)的網(wǎng)絡(luò)環(huán)境中，防守方不會(huì)觸發(fā)到蜜罐，而通過蜜罐發(fā)現(xiàn)的攻擊者IP可以直接聯(lián)動(dòng)到防火墻進(jìn)行封鎖，且其特有的JSONP探針可以對黑客進(jìn)行攻擊畫像，以便第一時(shí)間掌握黑客入侵活動(dòng)，該畫像功能對于攻擊溯源有著至關(guān)重要的作用。

　　3、安全運(yùn)營象限

安全運(yùn)營象限是一個(gè)組合象限，是對前面兩個(gè)的結(jié)合，這里推薦產(chǎn)品配合安全分析師的模式。在過去的幾年中，滲透測試工程師非常受歡迎，這是很多項(xiàng)目以結(jié)果為導(dǎo)向反推企業(yè)安全建設(shè)造成的。隨著安全漏洞層出不窮，黑客攻擊事件數(shù)量上升，未來安全分析師將更加重要，他們可以分析防守方已經(jīng)部署的各個(gè)安全產(chǎn)品配置策略、部署位置的有效性，并將其調(diào)整至最佳，同時(shí)對安全事件進(jìn)行排查和追溯，協(xié)助企業(yè)解決安全的最后一公里問題。產(chǎn)品工具類可以選擇安全編排與自動(dòng)化響應(yīng)的SOAR，可以結(jié)合安全分析師的策略編排與各個(gè)系統(tǒng)的API對接，調(diào)整防護(hù)和響應(yīng)策略，做到統(tǒng)一分析、集中展示、快速處理，實(shí)現(xiàn)安全的閉環(huán)。

　　4、威脅情報(bào)象限

威脅情報(bào)象限中的情報(bào)工作分為兩類。第一類是實(shí)時(shí)情報(bào)的收集與分析，在攻防演練的過程中尤其是大型的攻防演練中，情報(bào)變得極其重要。防守方應(yīng)當(dāng)持續(xù)收集攻擊情報(bào)，如攻擊隊(duì)的攻擊方法、攻擊者源IP、常用工具等信息，并及時(shí)將這些情報(bào)加入防御象限的產(chǎn)品運(yùn)維中。第二類屬于被動(dòng)情報(bào)收集，以掃描器類產(chǎn)品為例，新一代的掃描器往往都具備資產(chǎn)快速分析與漏洞檢測能力，考慮到攻擊者的手法，此處的漏洞檢測應(yīng)以Web漏洞為主，同時(shí)涵蓋系統(tǒng)漏洞掃描支持。此類掃描器可以幫助安全分析人員實(shí)時(shí)對防護(hù)期間的資產(chǎn)進(jìn)行快速探測，并對漏洞進(jìn)行主動(dòng)或者被動(dòng)的掃描，以便將安全問題盡早解決。

以上就是關(guān)于企業(yè)建構(gòu)安全防御現(xiàn)象有哪些的全部內(nèi)容介紹，想了解更多關(guān)于網(wǎng)絡(luò)安全的信息，請繼續(xù)關(guān)注中培偉業(yè)。