5月23日，以“FOCUS心无旁骛，专注如一”为主题的网星安全集权防护方案发布会成功举办。

本次发布会聚焦“形势战略分析、多场景案例研讨、有效的防护逻辑”等关键议题进行深入探讨和交流。

一、数字时代新威胁:集权防护新实践

在发布会上，网星安全CEO杨常城首先从战略视角出发，对网络安全行业的未来趋势和挑战进行了深入剖析。

他着重强调：数字时代的一体两面使大家在便利的同时也让攻击者看到新的安全风险。面对复杂多变的网络威胁，必须深入理解和分析这些威胁的本质和规律，以制定更为有效的应对策略。

01、新技术、业务与场景的涌现带来安全防护的新痛点

IT架构作为数字时代的基石，正面临着新技术、新业务和新场景的密集爆发和快速应用所带来的新威胁、新痛点。

随着IT架构的云化，业务弹性和可用性得到了提高，但也带来了攻击面的增多。远程办公场景的普及虽然提高了协作效率，但攻击手段也在不断升级；ChatGPT等AI工具的应用提高了生产效率，但同时也面临着攻击工具升级的威胁。

此外，管控系统的应用降低了业务管理成本，但攻击焦点也在不断变化，也给企业的安全防护带来了更大的挑战。

02、攻防策略对抗重于攻防技术对抗

从攻击者的视角出发：

思考他们的策略是提高防御效率的关键。单一的技术对抗和全面的安全套装可能投入成本高昂但效果有限。攻击者往往追求快速获得目标价值，因此攻防策略对抗的重要性超过技术对抗。

从军事战争的角度看：

网络攻击策略也呈现出一定规律，一个优秀的攻防策略是抵御网络威胁的核心，面对快速演变的攻击手段，制定持续有效的防御策略变得至关重要。

03、集权防护新范式,应对威胁新方案

网星安全通过三年的实践形成了一套独特的集权防护新范式，为各行业客户提供了适配的身份、网络、控制类集权设施产品。

同时遵循IT架构变化的规律，基于all in one的产品设计理念，打造整合的一体可观测的集权安全平台，依托云原生的产品架构，实现功能及各个集权场景的可拆可组，能够支撑不同客户的复杂需求，灵活交付。

在技术层面，网星安全以企业离散的集权系统、集权设施数据为底层支撑；以攻击视角做检测、安全运营视角做分析双轮驱动。围绕这两大视角来丰富产品核心能力，构建出完整、多维的集权防护能力体系。

此外，网星安全还提供了立体防护方案，满足企业在集权系统的态势感知、实时检测、安全加固和运营分析等多个方面的需求。目前网星安全的集权防护平台能够对IAM、PAM、AD、Exchange、云桌面、云平台、K8S、Vcenter等集权设施进行接入，并提供事前加固、事中检测、事后阻断的全链路立体防护，是企业应对集权攻击的理想选择。

网星安全集权平台方案是企业应对集权攻击的最佳方案，是集权设施安全的完美接力。

二、集权风险与安全困境:安全痛点解析

在本次发布会之前，网星安全深入收集了众多客户对当前企业安全防护所关心的问题，并进行了细致地分析。发现客户普遍关注如何有效识别并应对集权设施面临的新型威胁？如何在保障业务连续性的同时加强安全防护？以及如何提升集权设施在遭受攻击时的应急响应能力等共性问题。

针对这些问题，网星安全的安全负责人李帅臻进行了案例分析探讨，旨在为客户提供更加全面、高效的安全防护方案，共同应对集权风险与安全困境。

01、全补丁的AD域依然被攻击怎么办

通过实时风险评估、安全加固、欺骗账户等多种手段进行结合，全方位布防AD。

对于AD域错误配置的滥用，网星安全的解决方案是：将AD视为一个独立的保护对象，针对性地进行安全加固及防护，设计了一套集权设施的风险评估模型。可以在日常的AD运维加固中，及时扫描中发现任意用户；可以新增计算机入域的默认配置，并及时加固整改，做到在攻击事件发生前切断所有可能的攻击链。

其次，对于集中身份认证类的集权设施，还会关心一个问题：帐户凭据的安全，弱口令或通用口令。这在AD域攻击中是最大的不稳定因素。因此在网星安全的解决方案中，设计了一套凭据检查系统，通过对域内所有用户的Hash进行离线碰撞，快速发现AD域中潜在的账户风险凭据。通过配置核查、漏洞扫描、弱口令检查多维度的判断，确保AD域处于配置安全环境下。

02、堡垒机被0day攻击怎么办？

堡垒机防护，需要进行独立、深入地分析及监测，而非仅仅依赖于流量规则或终端木马检测。这种独特的策略确保了堡垒机作为关键业务系统能够得到应有的安全保障，有效防止潜在的安全风险。

鉴于堡垒机面临的攻击风险，仅依靠终端或网络安全检测系统是不足以应对堡垒机的安全挑战的，因此对于堡垒机的防护，应该将堡垒机视为一个独立的保护对象，针对性地进行安全加固及防护。

网星安全的解决方案是：通过采集堡垒机的日志、流量、会话记录、命令记录等信息，深入分析堡垒机的活动。通过规则引擎判断明显的攻击行为，比如根据对堡垒机组件调用的分析、登录活动的分析，精准识别攻击者是否发起如漏洞利用或者密码爆破等攻击。在规则引擎部分，网星安全设计了550余项攻击检测规则，对涉及到堡垒机攻击的所有行为进行实时监测并告警，这样的规则引擎在大多数情况下已经可以解决在堡垒机场景面临的风险问题。

同时，针对堡垒机复杂安全需求，网星安全设计了一套独立的分析引擎，insights分析引擎来帮助实现更深层次的数据挖掘与分析，综合用户身份、来源IP、浏览器指纹、命令历史等因素，进行实时深度分析。识别潜在攻击、未知漏洞监测、用户行为、命令及权限分析等，确保堡垒机全面防护。

03、邮箱凭据被攻击者窃取怎么办？

邮箱安全应当跳出传统邮件安全的思维，从攻防视角真正关心的登录、活动、权限、系统等维度实现对邮件系统的独立防护。

网星安全的解决方案是：通过在公网github等位置布下欺骗账户，主动引诱攻击者进行扫描、利用，在更复杂的攻击发生之前，通过欺骗帐户发现更直接的攻击行为，并在其深入利用前对其进行阻断。

另外，对于所有的帐户登录、邮箱活动等用户活动进行审计，通过insights分析引擎对所有用户活动进行深入挖掘及分析，覆盖从登录过程到后续会话活动的整个周期，深入分析每个用户的行为模式。

以此判断用户的邮箱是不是员工正常使用，或是攻击者窃取了用户的凭据进行非法滥用，判断用户是否为异常登录来源、判断用户是否为境外登录、判断是否为不合规的设备登录，企图利用该账户进行更深入的攻击，通过insights引擎的分析，也可以发现所有账户的活动动线，发现已经经过身份认证的更深层次的潜在攻击。

04、密码/cookie以及云平台AK/SK失窃怎么办？

从独立的视角出发，确保账户的权限最小化，及对账户进行更细颗粒度的认证和活动审计，控制账户暴露面，从而应对潜在的高级威胁。

网星安全的解决方案是：通过结合规则分析引擎及机器学习引擎，用户登录方式分析、来源设备类型分析、用户多位置登录分析、用户登录流程上下文分析、登录应用分析、登录来源计算机分析、登录来源浏览器指纹分析等多种方式进行综合判断以判断该cookie是否属于正常的多位置认证业务需求，或是存在被攻击者窃取的潜在风险。在事件发生的第一时间，控制台监测并实时告警。

另外要解决凭据滥用问题主要在于控制凭据的暴露面或使用范围。根据日志等信息判断该AK/SK在实际业务使用过程中需要什么样的权限。同时审计该AK帐户真实具备的权限，以此判断该帐户是否符合权限最小化。识别账户的使用位置，通过网星安全集权系统保护平台能快速发现账户的登录范围，从账户审计的视角最大化控制账户暴露面，以防止凭据在多位置失窃。

针对于集权设施的攻击，一般在服务层面进行会更深入、更体系、更隐蔽难以监测。目前的安全防护系统均是从终端或流量等大维度进行的安全面覆盖，并不能满足对集权设施安全防护的需求；也是当下攻防双方发展的一个较大偏差，导致非常多安全事件发生的主要矛盾。上文中提到不同场景下网星安全的解决方案，无论是规则引擎、机器学习引擎、insights引擎、风险评估模型、弱口令、欺骗账户等只是应对该场景安全问题的其中一部分安全能力，对于集权设施的安全防护，网星安全在每个场景下都提供了成熟且体系化的解决方案。

三、企业集权安全:防护逻辑设计思考

此外，对于集权设施的安全防护，网星安全在每个场景下都提供了成熟且体系化的解决方案。在集权设施的安全防护方面，更是深入研究不断创新。对于解决方案如何设计防护逻辑，网星安全CTO李佳峰从以下几个方面给出了详细的解答：

01、三位一体:管理,威胁与运营的协同防护

网星安全通过融合管理、威胁和运营三个核心视角，为企业构建了一个坚不可摧的安全防护体系。

管理视角

我们认为资产、权限、审计三位一体是必要的。集权设施的资产管理包含漏洞、补丁、配置、合规等多项配置。权限角度需要对不同用户、不同权限、不同会话进行管理，审计角度需要针对日志进行可视化的分析与运营。

威胁视角

我们认为防御维度应该从基线、漏洞、弱口令三个角度来进行规划。周期检查域控存在的常见CVE漏洞，及时发现并修复。同时检查业务方日常运维，是否满足基本的安全合规要求，避免出现合规问题，导致集权设施信息泄露或者被攻击。最后通过弱口令字典，实时排查环境内的弱口令情况，杜绝非法用户盗用账户，进入集权设施。

风险视角

我们认为运营应该从场景出发来制定运营策略，积累针对企业内部的运营知识库，逐渐形成运营体系。

02、系统化的防御策略

该方案可以系统化地防御各种安全攻击技术，从事前的安全加固、事中的实时检测，到事后的加固溯源，形成一套综合的防御体系。

事前加固阶段在不了解集权基础设施的安全情况下，使用针对集权的基线扫描检查来解决集权设施的基本安全配置问题。这些基线不仅仅停留在基本的补丁对比、版本对比等基础维度，更着重于切实解决配置风险，如权限配置异常、安全配置风险等。

事中监测：实时防御与威胁诱捕

事中监测确保实时安全，解答“谁在渗透？”“防御如何？”“有攻击吗？”等问题。结合规则检测与实体行为分析，发现异常。利用威胁诱捕技术，部署虚假账号至各终端。一旦终端失陷并尝试使用，立即捕获并警报，实现快速响应与威胁阻止。

事后处理：溯源分析与阻断

对于事前和事中发现的任何安全问题，都需要进行事后处理。事后模块专注于溯源分析，旨在深入调查攻击的来源和路径，同时提供阻断能力，确保攻击者无法继续利用已发现的漏洞。

03、一键接入,智能映射,集权设施安全无忧

首先，从数据流转的角度来看，产品整体的业务逻辑是先通过集成如AD、IAM、vCenter等各种企业内部的集权基础设施，通过获取数据进行攻击面缩减，检查配置错误。通过静态分析引擎与智能分析引擎进行威胁场景分析，产生情景化的威胁告警。同时还引入了图计算针对集权设施的权限分析，威胁狩猎场景进行覆盖。

其次，一键接入，智能映射，迅速部署企业安全防御。支持一键式快速接入企业场景，并已兼容众多应用。对于特定应用，提供自动AI辅助的字段映射功能，能迅速统一不同IT环境中的数据格式，实现与内部数据格式的对接。

这一功能简化了接入过程，缩短了部署时间，使安全检测能更快速地覆盖企业各个角落，有效降低用户部署成本，加强企业安全防护。

同时，产品在部署阶段非常简单，通常只需要1～2小时完成在集权基础设施上部署采集相关数据即可。

此次《FOCUS心无旁骛，专注如一》发布会的举办，正是网星安全对于集权防护实践的深入洞察和专注解决方案的展示。我们期待与您共同探索，为创造一个更加安全、可靠的网络环境而努力。