重大网络安全攻防演练防守解决方案

重大网安攻防演练防守解决方案MakeSecurityEntrenchedStill|让安全无法撼动目录01攻防演练概述02攻防演练防守方解决方案03常态化防守服务解决方案04案例01攻防演练概述国际形势变化随着国家网络空间战略和政策升级调整，网络冲突和攻击成为国家间对抗的主要形式新技术新概念APT、高级对抗等新兴技术和新兴概念的持续发展与应用，网络攻击变得更加复杂、多样演练常态化国内外网络安全演练日趋盛行，形成跨域跨国的一体化模式，反映出各国强调组织协同、情报共享等安全建设新趋势黑产不断扩大地下黑产不断扩大，手法更加高级和隐秘，产生的大量网络攻击，给社会企业和个人造成难以估量的经济损失数据安全伴随国家加强对包括数据跨境传输等在内数据安全合规的推动力度，很多企业难以摸清自身数据保护的能力近期国家威胁国家操控的大规模网络监控和攻击造成了国家间的严重不信任情绪，对国际局势的稳定带来不良影响国内国际级、省级、行业级攻防演练覆盖金融、能源、航运、通信、零售、医疗、制造、运输等重要行业国外美国-DHS网络风暴(CyberStorm)北约-锁定盾牌欧盟-ENISA/网络欧洲等VS攻防演练诞生背景网络安全攻防演练

攻防演练实战是新形式下关键基础设施网络安全保护工作重要组成部分

国家监管机构推动下，实战网络攻防演练日益得到重视定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力。第三十九条（二）国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。第五十三条《网络安全法》攻防演练的法规要求检验和提高安全应急响应能力以攻促防，通过攻防演练发现安全漏洞与风险，检验安全风险通报机制、威胁情报共享机制以及应急响应方案的合理性，并在演练后总结优化，把能力融入日常安全运营，提升防御能力。培育和提升安全人才实战能力实战能力和技术水平是网络安全人才的核心能力，面向真实系统开展网络攻防演练，与在规模、复杂度、网络状态都是仿真靶场的情况无法比拟，能更好锻炼实战能力，选拔人才。培养和强化网络安全风险意识体验和感受网络被攻破的后果是效果最好的网络安全意识教育，有助于各领域管理和技术人员发现网络安全威胁，了解网络攻击带来的巨大危害，更能增强对网络风险认知的直观性和紧迫性。攻防演练的现实意义初期试点2016-国内民航系统、国家电网2017-网宿科技、中国人寿、中科院、央视网、国家旅游局等2018税务、能源、电信、金融、广电、教育、互联网、公检法、交通等19个行业2019由国家相关机构牵头组织省级攻防逐步开展行业监管组织行业内护2020新增沙盘推演2023数据泄露成为关键指标

组织：公安/网安角色：裁判/攻击队/防守队2022国家攻防演练模式的演变聚焦供应链安全外部网络信息收集资源开发内部网络核心区域恶意代码执行边界突破持久化权限提升安全防护机制逃逸横向移动获取数据C&C凭证窃取内部探索计划制定及分工纵向突破纵深扩展静默控守隐蔽隧道木马特马靶标获取靶标获取数据渗出

互联网突破口选择原则

产品供应商、服务供应商未关闭的测试通道、调试接口边缘系统脆弱系统关注度低、防护薄弱存在未修复的高危漏洞供应链系统测试系统

攻击方杀伤链攻击时间不固定24小时任意时间都有可能发起攻击攻击目标不唯一一切散落在互联网的资产都可能成为入口攻击方式不固定以远程入侵为主,但也会使现场/远程社工的方式-攻击者特征-自动化攻击

C2平台/后门生成工具/钓鱼平台/免杀套件/漏洞利用框架/侦察工具间接渗透

分支机构/供应链/外包合作方/合作专网攻击隐蔽

无文件攻击/后门免杀/痕迹清理/隐蔽隧道/动态域名/低频探测/域前置/合法软件签名防御干扰

规模性探测/无效扫描/大流量访问/日志污染0day利用

边界系统/集权系统/CMS系统/中间件/邮件系统/DevOps系统/运维系统/OA系统/安全设备社工攻击

钓鱼邮件/400电话/利用信任关系/近源渗透反溯源

VPN/匿名代理/纯净的渗透环境/纯净的移动设备/虚拟机/匿名邮箱/手机号/VPS/无线设备-攻击方法-攻击队特征02攻防演练防守方解决方案安全预诊攻防能力成熟度评估（推荐）资产梳理脆弱性排查1布防加固安全加固安全意识提升安全能力提升预演练攻防实战预演流程磨合预演预演核心目标正式演练分组防守流程协同处置流程**HW情报体系复盘总结行动复盘能力沉淀总结汇报2345防守解决方案恢复溯源防护运营识别响应检测情报攻防能力成熟度评估是**科技推出的企业安全防护能力成熟度评估咨询服务。攻防能力成熟度模型以安全运营能力为核心，以情报能力为驱动，涵盖识别、防护、检测、响应、恢复、运营、溯源、情报等八大实战能力，从资源、技术和管理三个维度评价组织的各项能力指标，用以评估指导企业实战能力建设。召开项目启动会，确定组织架构、汇报与管理机制调研网络安全基础环境确定管理流程与策略确认评估范围与实施计划确定评估结论及提升建议形成攻防能力成熟度评估报告召开评估总结会议人员访谈文档审核配置检查工具测试现场验证评估方式：评估流程根据能力项对管理、技术人员进行现场调研访谈依据评估工具，从技术、资源、管理三个维度进行调研及评估专家组审核并评定成熟度等级评估阶段准备阶段分析成熟度等级差异并形成差异报告企业有选择的进行问题整改评估小组对整改后结果再次评估并记录分析阶段汇报阶段安全预诊-攻防能力成熟度评估安全预诊-资产安全梳理服务攻防演练中，企业内网各种隐形/幽灵资产是攻击方首要的攻击目标。**梳理并以企业网络拓扑为基础，全面识别和梳理企业现有信息资产，为企业构建清晰的资产地图，并对靶标资产防护措施进行综合评估，指导加强内网关键路径的安全防护，切断攻击方从隐形资产突破的路径。资产安全梳理服务交付形态交付物服务：远程/现场

《资产安全梳理报告》——————核心特色——————靶标防护体系梳理安全防护体系梳理梳理靶标系统及其防护体系，除明确相应的归属人、位置、中间件、开放服务等基础信息外，核对靶标系统所具备的防护手段并查漏补缺。以网络拓扑图为基础，明确各安全设备能力类型、防护方向、使用人、责任人等，发现防护体系中的能力缺失和覆盖缺位。内网攻击路径梳理梳理内网各类IT资产，并从攻击者视角梳理可能进行的攻击路径，并在攻击路径关键点进行攻击检测和阻断。内网攻击路径梳理实战攻防中，外部攻击者会利用攻击面上大量可被利用突破的点来入侵企业内网。**基于自研攻击面检测管理平台APTP，自动或半自动绘制多维资产地图，持续检测攻击面，并结合漏洞盒子情报体系，提供全面的攻击面安全评估，帮助企业大幅减少对外暴露的潜在入口，强化对外暴露资产安全防护，极大降低攻击者突破边界的可能性。攻击面检测管理服务安全预诊-攻击面检测管理服务高精度资产测绘原子级任务场景编排高性能主被动资产探测引擎多种途径对多类资产进行探测从攻击者视角智能识别脆弱点拆解任务场景为20+类原子能力支持按需自由组合编排配置支持自定义检测场景周期巡航丰富的原生情报库基于14W+白帽子，拥有业内领先的攻防情报数据库。可基于资产指纹自动识别风险标签和关联漏洞交付形态交付物远程《攻击面测绘报告》资产测绘云端SaaS平台（外部攻击面管理）企业组织架构EDR路由器负载均衡CMDBHIDS攻击面分析策略关联数据推送流程工单钉钉/微信/短信VMS漏洞管理系统SIEMSOARSOC**安全运营服务云端数据运营中心弱口令检测敏感目录检测文件泄露检测普通漏洞检测应用漏洞检测组件漏洞检测企业IP/域名组件指纹公共代码托管站点证书雇员信息全网测绘数据漏洞信息在野情况修复建议影响版本POC/EXP漏洞排序敏感信息passivedns数据底座WVS漏扫循检服务8000+POC/EXP多种公用数据字典多种对抗服务130000+注册白帽7000+入驻厂商**安全专家漏洞盒子VIP漏洞情报生产运营平台情报数据源漏洞情报99+200000+斗象云端数据中心外部资产沉淀能力支撑OpenAPI数据流转漏扫巡检风险验证检测目标输入互联网资产移动端资产敏感信息三方资产信息仿冒资产暗网泄漏资产应用类资产变更监控变更资产主体变更时间数据来源归属确认关联分析iocn权重识别变更告警授权权重识别标题权重识别来源权重识别组织架构层级结构上下游关系关联指纹本地私有化平台（内外部攻击面管理）外部资产数据内网资产扫描流量引擎识别资产多源资产管理资产自动补齐内外网资产关联攻击面检测与管理（漏洞检测&告警处置）资产分类分级漏洞检测风险检测PoC检测弱口令敏感目录检测文件泄漏应用漏洞组件漏洞高危端口文件上传身份信息泄漏AK/SK泄漏API密钥Token泄漏风险管理风险告警风险处置生成报告报告自动生成安全专家审核专业处置建议安全预诊-攻击面检测管理服务安全预诊-脆弱性排查服务可信安全众测依托中国最大的白帽社区和众测平台“漏洞盒子”，由平台项目管理团队统一调配自营安服专家和认证精英白帽，全程在VPN流量审计下，为客户提供高效、透明、高质量的渗透测试服务。面向互联网的业务系统、App、小程序、H5等应用，提供可信的安全众测服务。“盒子闪测”为用户新业务上线提供快速安全测试。全天候响应用户测试需求（7*24），远程随时开展测试，即时反馈。从提需求到交付报告，最快1个工作日内完成，过程可在线实时查看进度。国内最强的精英白帽团队，完善的白帽风险管控测试覆盖度可视化、业务全覆盖，发现可利用的安全漏洞不同技能方向的平台顶级精英白帽投入、稳定且高水准的服务质量、可信可控可溯源（实名认证、保密协议、流量审计）……交付形式：远程交付物：《众测漏洞报告》《众测漏洞复测报告》专项排查按需进行互联网敏感信息、弱口令、管理后台暴露、失陷主机和Webshell等排查服务。帮助企业发现并清理潜在的安全风险。交付形式：远程/现场交付物：《敏感信息排查报告》《弱口令排查报告》《管理后台暴露排查报告》《失陷主机排查报告》《Webshell排查报告》等渗透测试由**渗透测试专家，通过多层次、多角度的模拟真实攻击，深入检测系统和应用的安全漏洞，评估其抵御攻击的能力。交付形式：远程/现场交付物：《安全渗透测试报告》《安全渗透测试复测报告》安全配置核查对企业的安全基线和配置进行全面检查，确保符合最佳安全实践和行业标准，同时对安全设备的策略配置进行审查和优化，降低演练中因配置或策略不当导致的安全风险。交付形式：远程/现场交付物：《安全基线核查报告》《安全配置核查报告》《安全基线复查报告》《安全配置复查报告》漏洞扫描利用自研、开源、商业漏洞扫描器，基于**安全情报中心漏洞情报，为客户提供针对多种资产的全面、快速的漏洞扫描服务，避免攻击者利用已知漏洞和新发漏洞对企业展开攻击。交付形式：远程/现场交付物：《安全漏洞扫描报告》《安全漏洞扫描复测报告》靶标防护加固应急响应体系优化攻击路径模拟阻断脆弱性加固技术型加固：修复型-安全漏洞、弱口令、日志、配置等;改进型-安全策略、规则、安全设备等管理型加固：处置流程改进、人员优化等布防加固布防加固敏感信息清理清查内部敏感资料清查合作单位敏感资料排查清除在互联网上敏感信息安全整改加固收敛攻击面纵深防御主动防御重点防护主动防御措施重点区域流量监控主机EDR防护蜜罐诱捕威胁情报联动全网安全态势感知安全意识能力提升安全技能培训安全设备使用和配置、恶意流量分析、联动协作培训……安全意识宣导攻防演练宣传册、防社工宣传海报、安全知识竞赛、安全展板宣传、安全警示片播放……社工攻击演练钓鱼邮件演练、近源攻击模拟……安全意识培训日常安全意识培训、重大保障时期安全培训、关键岗位人员安全意识培训、个人信息安全……态势感知基础防护设施补强SIEMEDRWAF邮件防护全流量蜜罐HIDS布防加固-安全意识提升实战攻防中，人员是最薄弱的环节，这使得钓鱼攻击成为最具性价比的攻击手段被高频使用。由**社工专家基于**CPS钓鱼演练云平台，通过定制化的高仿真高诱惑的文案/钓鱼页面、精心伪造的邮件元数据，帮助企业定期实施钓鱼邮件演练，提升员工识别和处置钓鱼邮件的能力，避免内部人员被攻击者钓鱼导致整体防护失效。钓鱼邮件演练服务丰富的钓鱼邮件模板定制化钓鱼邮件可视化演练成果展现——————服务特色——————高仿真、高诱惑、易上钩持续更新最新钓鱼文案。可针对企业要求定制支持仿造OA系统的钓鱼页面、伪造发件人信息等内容支持警示页面定制，可提供配套安全意识培训材料纵向对比员工及部门每次演练情况，多维统计，综合评分可提供PDF和EXCEL报告交付形态交付物服务：远程/现场

产品：SaaS服务、私有化部署《钓鱼邮件演练服务报告》攻防实战预演练流程磨合预演练预演练准备01召开预演练启动会议明确主/协防人员工作安排制定相关约束条件及应急预案明确预演练时间明确白/夜班值守工作流程流程磨合预演练02各司其职，做好监控、记录、研判、处置等相关工作，熟悉HW流程多剧本演练（夜间攻击演练、探测式攻击演练、内网突破攻击演练、社工攻击攻击演练等）预演练总结03熟悉蓝队HW的工作流程优化安全应急响应机制提升联动通报处置能力预演练准备01红蓝紫团队组建演练评分规则制定攻防实战平台准备攻防实战内容准备攻防实战预演练02多次攻防实战预演练纵向攻击横向攻击社工攻击预演练总结03修复已发现的漏洞加强防御体系中的薄弱项以红队为主，不限路径进行全面攻击，攻击手法不限于病毒攻击、提权、拖库、挂马等，尽可能多的发现企业安全防护中的脆弱点并加以整改，旨在对安全防御体系查漏补缺以蓝队为主，在多种剧本式攻防演练过程中，对安全小组成员的监控、研判、处置、溯源等行为跟踪，分析流程协作过程中的阻塞点并进行优化，旨在提升安全应急响应机制与联动通报处置能力。预演练2快速准确找到受控设备，不影响业务连续性前提下进行断网等处置快速在安全防护设备上加恶意IP，阻断攻击源快速导出系统日志，保存攻击证据。熟悉应急预案，按照预案能准确处置事件熟练使用产品功能，能识别出常见攻击事件熟练使用系统，能查看拦截恶意IP的攻击行为熟练使用防护产品，能读懂报警类型，准确判断攻击途径能从其他安全设备及审计设备中分析出攻击事件

熟练掌握监测预警方法及时查看指挥部下发事件，查清处置后能准确反馈。能在事件处置平台上报监测到内网跨企业攻击事件，协助指挥部向攻击所在单位通报和处置。熟悉联动通报处置机制熟练使用产品系统，根据主机情况配置和更改防护策略熟练使用安全访问控制设备，配置访问控制策略熟练使用安全防护产品，配置攻击阻断或检测策略

熟练配置安全防护策略对内部攻防演练发现的风险和漏洞及时处置并举一反三修补同类风险和漏洞。及时处置风险和漏洞熟练掌握应急处置方法1345预演练-预演核心目标**安服人员根据厂商要求监测各类安全设备，防火墙、WAF，HIDS、EDR等，并借助全流量设备对各类攻击事件实时监测上报**安服专家为主由**安全专家配合甲方对安全事件进行分类分级，关联漏洞威胁平台，进行事件关联分析甲方+**安全专家**借助NTA、蜜罐等安全设备，根据客户需要进行溯源取证甚至反制工作**溯源专家**安全专家通过事件运营平台于甲方对事件进行协作处置、风险事件全流程管理，帮助甲方提升防守工作应急处置能力甲方+**应急处置专家监测分析组专家研判组溯源分析组应急处置组指挥统筹组甲方及**的高层领导和作战指挥官甲方领导和指挥官全局统筹进度，资源协调；设计作战思路框架，建立联动指挥体系。**全程配合相关工作正式演练-现场安全专家服务安全事件分析研判主防鉴定抑制/优化溯源取证事件报告确认/关闭事件处置流程自定义流程：可视化动态设计、组合预置流程：常见攻击事件处置流VMS-HW流程引擎事件处置协作流程平台探针上传产生事件完成处置VMS-HW流程平台响应设备

账号管理角色管理架构管理用户管理漏洞管理

漏洞管理审核管理资产管理安全检测设备：FW、IPS、WAF、EDR、沙箱、蜜罐等手动上报事件安全响应设备：FW、IPS、WAF、Anti-AV第三方取证平台、威胁情报平台、蜜罐应用系统、主机、情报；安全设备：FW、IPS、WAF、EDR、沙箱、蜜罐、SOC、SIEM、态势感知安全设备层应用系统、主机、情报；安全设备：FW、IPS、WAF、EDR、沙箱、蜜罐、SOC、SIEM、态势感知安全分析攻击路径、过程全包取证；攻击源查证攻击过程验证分析PRS-NTA分析平台全量原始数据人工录入规则、统计学、AI模型、沙箱、威胁情报交互式图谱分析、攻击画像、调查画布、自定义关联分析正式演练-**HW事件协同处置流程威胁检测风险分析安全元数据湖响应处置资产安全数据计算与分析攻击链：基于攻击链的风险数据分布，快速查询各攻击阶段风险信息风险信息：关联原始信息、高亮判断依据参数，提供详细处置建议威胁检测：基于安全规则+统计分析+机器学习+基于攻击链的关联分析网络资产透视：基于被动流量成分分析模式，构建全区域资产透视资产管理和补全：通过流量解析和批量导入维护资产状态，如：IP、协议、端口、组件、业务信息、Geo信息等构建SCMDB元数据日志：流量协议日志、会话日志、网络文件、PCAP、邮件日志等全量存储，统一管理冷热数据高速索引：支持实时检索和离线数据回溯（支持6个月以上,满足网安法二十一条要求）模型工厂：基于攻击检测、异常检测、分析验证等智能检测模型提供全面安全分析能力安全调查分析：可下钻的攻击链风险分析，交互式图谱分析，网络建联行为分析离线计算：支持基于历史数据的防御规则验证和历史风险回溯存储+分析+运营=主动防御数据上送：支持通过Syslog、API、Kafka等方式上送风险/日志数据，赋能安全管理平台旁路阻断：支持网络阻断、定向劫持、响应欺骗处置手段，一键阻断，形成检测、分析、处置的闭环运营事前数据采集、存储、检索事中监测、数据湖分析、安全数据运营事后溯源、响应、策略调优基于大数据技术的安全计算分析平台，通过旁路镜像的方式采集、解析和存储全量网络通信日志数据，基于流式计算、机器学习在内的强大计算架构和分析手段对潜在的异常行为与隐蔽风险进行实时检测、调查分析、自适应监控和长效安全运营。PRS-NTA全流量安全计算分析平台交付形态交付物产品：私有化部署《全流量安全分析报告》正式演练-全流量安全分析与溯源基于**PRS-NTA回溯挖掘0Day攻击的方法1、0day事件捕捉方法高水平攻击队，往往能通过“潜伏隐蔽”“0day漏洞”“噪音制造”等方式绕过攻击检测设备，渗透特权系统。通过对核心资产（如域控、堡垒机）、专线等高风险特权系统历史数据进行钻取，自动构建异常行为（白名单）模型，刻画行为画像进行实时监测，当发生跨越基线的行为，则产生最高级别告警事件。2、0day事件定位方法通过风险告警检出定位针对0day的告警检出，可通知已知攻击特征、响应内容、带外攻击（如DNSlog）进行检测和告警检出。通过关键渗透行为定位通过Webshell、反弹Shell或建立C2连接等失陷主机回联分析进行攻击行为定位，并通过检测内网横移的相关攻击行为，关联分析到最初失陷的主机、时间及攻击细节。3、数据回溯挖掘0day细节三要素定位通过“时间、主机、服务”三个关键要素进行数据挖掘范围定位。确定失陷时间、受攻击情况、受攻击手法等信息。流量全量协议日志排查基于PCAP原始凭证存储与全文检索，排查异常来源IP、异常流量、未命中攻击，异常协议日志等回溯出完整的攻击手法和0day细节。时间线在2022年8月27日，某主机安全产品告警，发现一个Webshell文件在10.*.*.7资产上落盘，随即PRS显示发现冰蝎及哥斯拉客户端通信连接的告警，连接路径为/unitework/cacheServices.jsp。快速研判并隔离失陷主机。根据PRS告警信息封禁其源IP。经过排查，该主机上的失陷服务为55941端口的web服务。调取PRS及其他安全设备在2022年8月20日

至2022年8月27日之间的日志，并未发现相关告警信息，怀疑是0Day攻击。利用PRS的关联分析功能，在PRS的协议日志库中发现早在2022年8月26日若干组可疑的会话，发现攻击者使用多个代理且使用负载均衡隐藏真实IP进行攻击，并尝试对失陷主机进行未授权访问、命令执行等行为，但均未成功。根据对主机的排查、网络流量及对流量中提取的Payload的分析发现，该漏洞为官方最新版ColdFusion的RCE

0Day漏洞根据该0day特征，快速在PRS模型工厂中搭建临时检测策略，建立“热检测”能力，确保后续能对该漏洞进行告警。某大型攻防演练期间，攻击者通过互联网进入内网，触及靶标。客户通过PRS探针的数据分析功能及探针系统内置的数据湖所留存的全流量协议日志，及时发现关键风险(Webshell通讯等风险)，梳理攻击痕迹和完整攻击路径，并成功挖掘还原出攻击者使用的0day。事件描述8月26日15:03攻击者扫描并利用0Day入侵失陷主机，但未能成功执行命令8月27日18:03

分析发现为最新版ColdFusion的RCE0Day2023年12月5日该漏洞被公开，漏洞编号为CVE-2023-263608月27日

11:35

主机安全产品木马落盘告警PRS异常连接告警8月27日11:33攻击者使用0day成功上传webshell，并成功链接8月27日

12:45

失陷主机被隔离PRS-NTA全流量探针：0Day捕获实战案例国内外安全社区文章国内外漏洞预警平台国内外社交媒体网站漏洞舆情国内外开源社区动态漏洞利用统计分析漏洞信息漏洞基础信息时间轴信息漏洞详情数据POC/EXP补丁绕过利用热度值区域行业分布漏洞武器化漏洞利用趋势漏洞盒子情报中心情报星球国内第一个以漏洞为主题的情报社区漏洞盒子国内最大的互联网安全众测平台漏洞情报最权威的多源漏洞情报数据源核心基础数据资讯文章聚合漏洞舆情输出及展示正式演练-漏洞情报&线索社区中心01

根据获取的情报信息，分析研究攻击行为，提前采取防范措施02判别攻击范围，漏洞影响，及时进行修补、封堵等处置03根据白帽社区的威胁情报进行溯源分析与反制，勾勒攻击者画像第1时间

威胁VS**漏洞情报中心为HW赋能在野漏洞：实时获取分析最新的在野等漏洞信息，第一时间进行复现分析及应对建议。防守小组漏洞同步：对防守小组发现的的0day、1day漏洞及时同步修复红队攻击源：同步各渠道红队攻击源，如恶意IP、恶意软件、工具特征等，未雨绸缪白帽社区：安全资讯、漏洞综合利用信息、红队攻击手段，提前获悉对手，知己知彼……正式演练-漏洞情报&线索社区中心行动复盘总结汇报复盘总结能力沉淀总结汇报：对整次行动进行总结，总结采取的措施，取得的成果，发现的问题，汇报下一步工作建议和修复建议，从全盘视角回顾汇报。行动复盘：对HW各个阶段采取的行动进行回顾与分析，分析采取的安全措施与应急处理方式的有效性，形成HW行动复盘报告。能力沉淀：协助企业对整个HW的安全能力沉淀，不限于资产的自查、策略优化、漏洞修复经验、攻击的有效应急响应措施等。复盘总结03常态化防守服务解决方案常态化防守服务解决方案常态化防守0203常态化防守专项服务常态化安全运营持续社区情报01MSS托管式安全运营服务漏洞情报/威胁情报情报分析与响应处置供应链专项评估7*24远程值守/应急处置按需现场安全专家服务工控&车联网专项评估月度防守总结分析报告漏洞盒子社区情报/HW情报“两高一弱”专项治理服务依托**科技专业安全运营团队，围绕资产、漏洞、威胁、事件等安全运营关键要素，以打造实战化、可持续的防护能力为目标，采用云端+本地相结合的服务模式，提供低成本、实战化、全闭环的安全运营托管服务。安全告警抑制与元数据运营：基于元数据湖进行日常告警策略优化，多源告警研判验证，支撑事件调查和响应行动，实现贴合业务场景的告警抑制安全漏洞运营管理：基于漏洞情报的漏洞全生命周期管理，通过漏洞处置优先级技术（VPT）形成多源漏扫编排调度的资产、漏洞与组织协同治理实战攻防能力运营：提供实战攻防演练防守、脆弱资产与攻击面检测管理，强化防御有效性验证与效力提升，有效提升实战攻防能力成熟度MSS安全运营托管服务核心优势

一站式

运营托管以购买安全运营服务方式代替企业自行购买、部署、运营安全产品设备，将企业日常安全运营托管给专业安全团队和平台，让企业专注核心业务7x24

安全事件监控7x24安全事件监控，漏洞生命周期运营，资产管理运营，安全威胁实时响应和处置闭环，有效降低企业安全风险和企业安全运营成本

元数据

深度挖掘自动化、智能化实现安全事件的深度挖掘和分析。快速识别和应对安全威胁，提高安全事件的应对速度和准确性

安全漏洞

全生命周期运营云端百万级漏洞情报实时联动，赋能专业云端安全运营团队帮助企业高效排查资产漏洞，快速处置闭环，缩短漏洞风险暴露时间

全面量化

企业攻防能力针对企业攻防能力短板协助进行有效提升，辅以“对抗值守模式”帮助企业在实战场景下交出优异的答卷————————————————————核心特色——————————————————————常态化防守-安全运营托管服务交付模式数据本地化存储托管工作模式依托MSS一站式安全运营中心组件，所有数据存储本地。告警通知云端安全运营中心，远程安全专家通过安全隧道到本地MSS一站式安全运营中心组件，主动分析。响应速度触发式响应，存在一定延时7*24常态化运营数据安全数据本地存储，安全隧道加密连接，所有远程操作安全审计（录屏）漏洞管理漏洞存储本地，漏洞全生命周期管理数据销毁根据法律法规/监管部门/行业规范要求，结合客户自身需求，到期或服务结束后后进行销毁服务报告支持本地可视化展示提供运营服务日报、周报、月报

**安全运营中心客户服务组件服务人员PRS全流量堡垒机MSS一站式安全运营中心PVP蜜罐告警器防护验证攻击者画像攻击链分析风险聚合分析通信模块数据湖脆弱性识别空间测绘数据结构化语义归一化T4安全实验室T3领域专家T2安全专家T1安全工程师管理组件漏洞管理计算组件支撑组件威胁管理众测闪测平台威胁情报中心资产管理漏洞管理安全大脑知识库设备管理漏洞管理与情报中心运维机MSS协同模块工单管理情报管理自动化工具面板服务器安全大屏数据交换终端BYOD数据库备份机猛犸实验室SRC托管自动化渗透SAI安全模型VMS漏洞管理ARS风险监测本地SRCAPIE接口安全MIS邮件安全任务数据流云地联动本地操作存储系统更新

数据同步

指令下达

专家隧道

有效性UP机密性UP数据安全UP可靠性UP事件激活上报事件上报

状态同步

数据同步（可选）风险管理漏洞管理事件管理系统管理常态化防守-安全运营托管服务常态化防守-社区化情报网络及运营互联网情报供应商发布CERT漏洞平台暗网电报互联网论坛/社群Github...安全厂商发布自有情报漏洞盒子众测渗透测试FREEBUF**三大安全实验室挖掘企业SRC

漏洞情报新发漏洞信息分析报告POC/EXP处置建议

威胁情报威胁特征新型攻击手段恶意IP恶意样本情报运营情报采集引擎主动情报获取被动情报收集社区白帽提交情报平台运营验证情报情报处理引擎情报排序情报聚合情报标准化情报清洗情报增强元数据提取情报分析引擎威胁识别趋势分析上下文分析风险评估情报建联优先级排序情报消费资产建联IDE集成情报推送API调用情报反馈情报更新风险评估情报验证情报修正运维集成运维集成人员培训漏洞情报库漏洞标识

漏洞描述影响评级

涉及系统/产品修复建议

验证脚本/PoC利用脚本/EXP漏洞时间线统计信息威胁情报库威胁指标/IoC攻击方法/TTP攻击者画像

关联漏洞失陷案例

利用情况分析报告

应对建议第一时间

威胁K.O.“情报星球”是漏洞盒子平台推出的白帽社区，也是国内安全专业从业者、爱好者实战技术交流、漏洞研究和漏洞信息交换的前沿阵地。**为企业提供一手的各类攻防演练前沿情报和线索、全方位的威胁和和漏洞和漏洞情报、以及独家、特色的社区安全情报。时间线4月24日

Dropbox安全部门发现DropboxSign服务器出现未经授权的访问活动

4月25日下午16点40分**科技漏洞盒子平台，漏洞情报小组互联网监控到DropboxSign电子签名平台疑似遭受黑客攻击相关情报5月3日Dropbox向美国证券交易委员会（SEC）通报，旗下电子签名平台DropboxSign（原名HelloSign）遭到黑客入侵，大量用户的密钥/MFA验证信息遭到泄露。常态化防守-社区情报案例相关情报截图情报星球社区讨论Dropbox疑似泄露事件，漏洞盒子提前监控情报到并核实预警。后官方证实并通报Dropbox造黑客入侵泄露敏感数据。事件描述常态化防守期间，以远程/现场提供专项安全服务，输出符合监管/上级主管部门要求的月度报告同时，提升企业组织常态化防御水平。专项服务常态化防守专项服务交付形态服务：远程/现场

交付物《XXX专项服务报告》“两高一弱”专项治理服务工控&车联网专项评估供应链专项评估重大安全事件回溯月度防守总结分析报告……服务内容“两高一弱”专项治理服务常态化防守专项服务“两高一弱”专项治理服务是针对“高危端口”、“高危漏洞”和“弱口令”提供专业的、全面的发现、排查、收敛、规避、处置及咨询服务。根据用户实际需求，提供安全专家人工排查，工具自动化扫描，漏洞盒子白帽测试等多种灵活组合方式，全面排查和识别“两高一弱”安全风险，并提供相应的修复建议和修复优先级建议。交付形态服务：远程/现场

交付物《高危安全漏洞报告》、《高危端口排查报告》《弱口令排查报告》常态化防守专项服务工控&车联网专项评估该服务结合实战经验，通过深入分析潜在的安全威胁和漏洞，为企业提供全面的安全防护策略**评估团队运用先进的安全工具和技术，对工控系统的SCADA、PLC、DCS等关键组件进行细致的检测，确保其抵御外部攻击的能力。同时，针对车联网的复杂网络环境，我们评估车辆通信、数据传输及云平台的安全性，确保车辆系统的数据完整性和隐私保护。MQTTSHTTPSLTELTEMQTTS蓝牙WiFiNFCCANAndroidTSPFOTAAPP汽车TBOX网关IVI常态化防守专项服务供应链专项评估供应链安全是近两三年来的热点。在各级别的攻防演练中均能看到利用供应链突破企业安全防御的案例。**深度参与供应链安全相关标准制定，并基于标准的安全评估框架，对供应链中的厂商、软件、产品进行全面审查，特别关注第三方供应商的安全管理。通过管理和技术审查手段，发现并记录供应链中的薄弱环节，如不安全的API接口、脆弱的访问控制和不充分的数据保护措施等。**自营HW保障平台**重大网安攻防演练领导小组总指挥溯源调查组安全实验室安全情报组应急处突组后勤保障组领导层二线支撑一线保障工具支撑联络协调组线下保障MSS常态化保障事件处置安全监控应急响应追踪溯源安全加固安全告警抑制7x24小时云地联动实战化安全事件全闭环**自有HW保障服务团队+资源PRS-NTA全流量安全计算分析平台XSIEM

元数据融合安全管理平台APIE

API安全之眼监测系统NTD-S

全流量安全回溯调查系统OBS

旁路响应处置系统VMS

漏洞运营管理系统APTP

攻击面检测管理平台VIP

漏洞情报生产运营平台ARS

智能漏洞与风险检测系统ASDB

资产安全纳管平台CPS

钓鱼邮件演练云平台MIS

邮件安全透析系统事件分析安全元数据运营04案例介绍防守方典型客户时间客户名称服务内容2023年中国银联防守保障中国商飞防守保障南方电网防守保障海南电网防守保障平安银行

防守保障海通证券防守保障2022年海南电网防守保障中国银联防守保障中国商飞防守保障科技部防守保障北京电信防守保障中国电气装备防守保障攻击方典型案例2019年上海市攻防演练攻击方2018年成都攻防演练攻击方2020年全国攻防演练攻击方2020年人行攻防演练攻击方裁判方典型案例江苏CERT攻防演练活动2020年江苏攻防演练攻击方2021年全国攻防演练攻击方2022年全国攻防演练攻击方2022年四川省演练攻击方人行金融城域网攻防演练2023年全国攻防演练攻击方2023年北京市演练攻击方攻防演练案例近年来漏洞盒子基于新型攻防演练解决方案参与或组织了200余场攻防演练，投入超9000人天，守护资产数量超过80万，应用系统超过5000个，处理攻击近10万次，提供溯源报告900余份，提供应急服务500余次。项目涵盖金融、航空、政府、公安、能源、教育等多个行业，漏洞盒子派遣的专业红蓝队专家在演练中均名列前茅，为客户出具超120份安全能力提升方案，得到客户的一致好评。中国外汇HW感谢信中国电气装备HW感谢信南方电网HW感谢信科技部HW感谢信中融信托HW感谢信攻防演练成绩我司提供服务形式：准备阶段的资产梳理、安全加固、渗透测试等服务演练阶段MDR服务（托管式安全数据分析与威胁响应）产品（**科技全流量威胁分析系统-PRS）某全国性金融集团国家攻防演练-背景介绍演练区域划分环境调研与预备安全评估与整改模拟演练按防护优先级进行区域划分,资产梳理办公网络、业务生产网络、数据服务区、DMZ区域、云资源等。重点识别边缘资产、遗漏资产、对外暴露服务等服务方案，确认服务项目内容（PRS部署、安全评估、加固、演练资源分配）漏洞扫描与基线核查，重点关注高危漏洞、框架组件漏洞、运维缺陷、弱口令等。安全设备调优：防火墙/waf等策略、主机防护策略、PRS定制模型等。安全设备与应用系统的加固与整改漏洞盒子服务模拟攻防演练（任务计划）（数据监控）某全国性金融集团国家攻防演练-布防设计恶意链接攻击溯源分析恶意用户名及IP溯源分析文件包含攻击溯源分析Ecshop注入攻击溯源分析WebLogic反序列化攻击溯源分析-其他有效分析-查找有效攻击事件安全溯源分析安全加固报告总结①通过PRS-NTA发现有攻击者通过探测user.php并在refer字段中尝试联合注入查询操作；②