对抗勒索软件,保障产线安全(二)

最新推荐文章于 2025-06-25 17:15:06 发布
最新推荐文章于 2025-06-25 17:15:06 发布
阅读量605 收藏 7
点赞数 15
CC 4.0 BY-SA版权
文章标签: 安全 网络 网络安全 运维 软件需求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/endpointcentral/article/details/144840071

上期我们介绍了Endpoint Cenrtral帮助客户管理终端的概况,并展示了终端管理可视化的价值以及如何在公司危机中发挥巨大作用。本期我们将继续介绍这个案例。

保护生产服务器: 安全与可用性之间的平衡

在他们的制造工厂中,生产机器是他们运营的支柱。这些机器由服务器控制,服务器存储了即将由原始设备制造商(OEM)推出的新车型的机密设计、生产计划文档和其他知识产权。他们在2016年的经验使他们深刻意识到修复这些服务器的漏洞以防止勒索软件攻击的重要性。然而,服务器的可用性是他们安全运营的一个障碍。这些服务器上的软件和数据库在向生产机器提供设计和工作数据、以及监控生产活动。为这些服务器打补丁是一个挑战,因为这些服务器不能轻易重启。如果一台服务器宕机,生产将会停止。对于这家制造组织来说,这在严格的生产时间表下是不可接受的。

补丁策略概述:

为办公环境打补丁是日常工作,他们可以在全球范围内按需处理紧急操作系统更新,SLA为2-5天,而标准补丁周期仅需10天,这都得益于我们的Endpoint Central的自动化功能。他们采用基于测试的补丁流程,首先在小规模上测试补丁,然后进行自动审批,逐步在办公环境中推广。所有用户设备在几天内完成一次补丁部署。

对于服务器的补丁管理,和对PC的管理是很不一样的。这个企业通过Endpoint Central获得了2万5千个终端的集中和实时的数据。这是执行集中管理和采用差异补丁管理策略的基础。这些Endpoint Central获得的的资产信息定期录入到他们的内部配置管理数据库(CMDB)中。各个生产工厂管理员为每台服务器添加了标签,以明确是什么类型的服务器,属于工程、预生产或生产环境。对于生产服务器,他们需要服务器配置、正在运行的应用程序和数据库的信息,并记录其所有者。这些CMDB信息在规划管理和维护策略的时候,例如打补丁,是至关重要,帮助他们确定相关人,沟通和确认服务器维护时间。

他们的标准做法是为生产和预生产服务器保持N-1软件版本,其中N-1表示一个月前的软件版本。通过我们的平台,他们可以保留最近三个月的已替代补丁。他们在将补丁安全地推广到生产服务器之前,会在测试组上进行30天的最新补丁行为检测。

Endpoint Central的部署策略可以选择不同类型的服务器,并进行配置,不对这些服务器的重启。服务器操作员随后在预定的停机时间内手动执行重启。

安全团队每月与漏洞风险系统(Tenable)进行例行审计,以验证系统是否存在漏洞,并与IT运维团队就审计结果进行讨论。为了充分利用现有投资并简化漏洞响应流程,IT团队正在探索Endpoint Central与Tenable的集成方案。尽管Endpoint Central的安全版包含一个专有的漏洞管理模块,但Endpoint Central的可扩展和集成能力通过集成已有系统,帮助这家企业能够最大限度地从当前投资中提取价值,最终降低他们的总体成本。

应对挑战: 可持续性、安全性及更多

随着公司的壮大和业务的发展,IT管理要面对设计师和工程师远程工作带来的进一步终端管理和安全的挑战。员工们一般在办公室内有桌面电脑,随身携带笔记本电脑用于漫游办公,这就需要从个人笔记本电脑连接到这些位于办公室的桌面电脑。为此,他们采用了ManageEngine卓豪PAM 360,这是一种经济实惠的解决方案,提供安全的远程连接。另外一个挑战,制造业非常关注能源节约,需要管理终端在不活动期间的电源计划,以符合其环境、社会及治理(ESG)目标。为了解决这个问题,IT团队有效利用Endpoint Central收集了350个地点的用户登录报表。该数据对于规划电源管理时间表至关重要。利用平台的远程管理功能,他们高效地将不活动的桌面电脑休眠,并按各个时区的登录和工作时间表设置批量计算机的关机计划。这一贡献加强了该企业成为其行业中全球首选可持续解决方案提供商的能力。

以前,该公司将大部分敏感数据存储在与互联网隔离的生产服务器和中央存储系统中。只有少数高管会在公司网络之外使用这些数据。随着大多数员工转向远程工作,这些敏感更多会直接暴露于互联网,他们的攻击面大大扩展。对于IT来说,保证生产力和数据安全的平衡变得挑战重重,需要管理机密的设计和生产计划文档在终端上的本地存储。为了解决这一问题,Endpoint Central发挥了关键作用,通过启用BitLocker加密在其不同位置的设备上保护敏感数据。即使员工休假或长时间离线,我们的平台也安全地备份BitLocker恢复密钥,从而简化了加密管理过程。

携手同行

在ManageEngine卓豪二十多年的行业历程中,像这样的制造企业与我们的伙伴关系是我们存在的重要组成部分。当他们开始与我们合作后,就迅速认识到我们是为了长远合作提供产品和解决方案的。我们凭借完全自主开发的方式,在一个平台上开发了所有功能,从来不依赖收购去堆砌功能。我们稳定的产品结构,提供了可靠的扩展能力,这样这家公司就使用Endpoint Central应对终端的增长速度,而且终端管理和安全流程更加成熟。

通过和我们的合作,他们成功整合了孤立的工具和流程。他们逐渐替换了多个工具,如用于补丁的WSUS、操作系统部署系统、移动设备管理和远程控制(使用TeamViewer)。这一举措大幅减少了管理开销和IT投入。

随着勒索软件和数据泄露威胁的增加,这些威胁占今天网络攻击的70%以上,该公司开始使用我们的“新一代防毒”模块。“新一代防毒”可以主动应对勒索软件的攻击,保护和恢复数据;通过基于机器学习的恶意行为管控,来提高终端的安全。

展望未来,该公司正在进一步评估这些新的功能,强调了他们对我们作为长期合作伙伴的信任,能够满足他们今天和未来的需求。

[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
对抗勒索软件保障线安全(一)
endpointcentral的博客
12-30 964
那天一早,IT资管理(ITAM)和安全负责人接到了首席信息官(CIO)的电话,这一通电话将永远改变他们的补丁管理方法。此外,他们对合规性的要求的实现,通过ISO审核等得到了进一步能力增强,实现了全流程管理。通过与Endpoint Central的成功合作,IT团队更有信心,创建一个专门的小组,把终端管理扩展到了生线环境中,就像办公环境和服务器基础设施中一样。考虑到我们的运营规模和复杂性,这是一项巨大的成就。机在内的终端信息集中在一个地方,显著增强了审计人员的信心,有力支持了公司业务在全球的开展。
以及一般业务安全的应对思路
anquanniu的博客
08-11 1141
业务安全顾名思义是与业务紧密联系的,企业常见的业务场景有账号安全、活动安全、账户安全、交易安全、内容安全等,每种场景可能遇到不同类型的威胁,如虚假注册、撞库、盗号等等。 业务安全的目标是识别业务访问为正常或是异常,是机器人还是真人,是本人还是欺诈分子。比如有的岗位叫业务安全策略工程师,针对业务层面的恶意用户或恶意行为所采取的识别和打击策略,由于登录过程如何识别是正常登陆还是撞库小号呢?识别出撞库小号后业务形态要做出什么响应,是增加验证方式还是拒绝登录呢? 不同公司不同业务面临的业务安全场景 业
攻防对抗中“可持续安全运营” 有多重要?
MSB_WLAQ的博客
10-08 614
防得好需要“可持续安全运营”,持续监控、动态调整,不断提升可持续安全运营能力,实现可持续安全。 经历过2003年SARS的人,想必也会有类似的想法:“一鼓作气,新冠疫情就过去了!”现实却很骨感。医学专家预言Covid 19比同出一门的SARS、MERS等冠状病毒都“聪明”。跨入2021年,Covid 19各种变异,仅被列为高度关注的有四种,包括最近备受瞩目的Delta(δ)。 即使在广州等地出现了Covid 19的变异病毒,国内的疫情防控态势依旧不错,一年多来整体反应更迅速,管理更人性化,对日常经济.
山石岩读丨攻防对抗为什么离不开“可持续安全运营” ?
山石网科的博客
07-27 235
防得好需要“可持续安全运营”,持续监控、动态调整,不断提升可持续安全运营能力,实现可持续安全。 经历过2003年SARS的人,想必也会有类似的想法:“一鼓作气,新冠疫情就过去了!”现实却很骨感。医学专家预言Covid 19比同出一门的SARS、MERS等冠状病毒都“聪明”。跨入2021年,Covid 19各种变异,仅被列为高度关注的有四种,包括最近备受瞩目的Delta(δ)。 即使在广州等地出现了Covid 19的变异病毒,国内的疫情防控态势依旧不错,一年多来整体反应更迅速,管理更人性化,对日.
勒索病毒应急措施及防护方案
junge_sys的博客
08-26 5945
本文共7916字 阅读时间大概15分钟 随着国家在政府、企业、教育及医疗等行业“互联网+”战略的不断推进,各个行业在逐渐数字化、网络化、智能化、逐步拥抱业互联网化的大浪潮过程中,也逐渐暴露出一系列网络安全问题。勒索病毒也乘机发难,疯狂敛财,影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施,成为勒索病毒攻击的目标。 勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法..
2025年网络安全十大趋势:一场“看不见的战争”正在升级!
chengxuyuanyy的博客
04-08 922
网络安全业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障
日常安全运营工作的一些思考
si1ence的博客
10-31 2408
安全运营是一个闭环、螺旋提升的过程;区别于运维保障围绕网络设备正常运行的工作不同,安全运营更为主要是在保障业务正常运行的基础上,提升组织整体安全能力;网络世界里,威胁不断演变,需要可持续的安全运营不断提升对抗能力。借周末天时间总结一些关于安全运营一些经验与思路,个人觉得安全运营是一个技术复合型要求比较高的工作岗位,对个人素质/技术门槛要求都比较高,在一次一次攻击对抗、溯源的过程中也能获取到新的想法收获、那种充实的成就感也是安全运营带给人为数不多的喜悦;安全能力也需要一步步持续提升,攻防一体、知行合一;
网络安全专业名词解释
热门推荐
qq_40909772的博客
03-04 1万+
Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解.
办公网络终端都应该做哪些安全防御措施
maoguan121的博客
10-03 3176
终端安全响应系统(Endpoint Detection and Response,EDR) 是传统终端安全品在高级威胁检测和响应方面的扩展与补充,它通 过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文 件等维度来评估企业网络中存在的未知风险,并以行为引擎为核心, 利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失, 增强可见性,提高整体安全能力。
网络空间安全——总结
LinYuan
09-10 1万+
1 绪论 课程目标: 系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。 课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意代码及防护 操作系统安全线网络安全 数据安全 信息隐藏 隐私保护 区块链 物联网安全 密码学基础 网络空间安全概念由来 欧洲信息安全局:网络空间安全和信息安全概...
Fortinet发布全新AI驱动邮件安全解决方案组合,邮件安全品矩阵再升级
Sophya89的博客
06-23 395
专注推动网络安全融合的全球性综合网络安全解决方案供应商 Fortinet®(NASDAQ:FTNT),近日宣布发布新一代企业级邮件安全解决方案组合FortiMail Workspace Security suite,全面增强旗下数据和生安全品组合,实现邮件安全生态全面进化。
企业级安全实践:SSL 加密与权限管理(一)
06-22 891
SASL 认证、ACL 权限控制、传输层加密配置。
网络安全智能体:重塑重大赛事安全保障新范式
tigerman20201的博客
06-22 699
在2025年亚冬会期间,安恒信息基于安全智能体开发平台(如图1所示),以恒脑安全垂域大模型为底座,设计部署10个亚冬会专属智能体(数据安全风险评估智能体、场馆安全风险分析智能体、主机异常行为分析智能体、AI告警研判智能体、恶意IOC查询智能体、恶意IOC拓线智能体、安全情报分析智能体、恶意文件分析智能体、亚冬小恒智聊智能体、场馆安全检查助手),为亚冬会网络安全提供了丰富且专业的技术保障。三是智能分析与决策。在此基础上,网络安全智能体根据预设的规则和策略,还可自动作出决策,生成相应的处置建议。
安全壁垒 - K8s 的 RBAC、NetworkPolicy 与 SecurityContext 精要
weixin_42587823的博客
06-25 526
K8s安全机制精要 Kubernetes安全体系包含三个核心组件: RBAC:精确控制API访问权限,通过角色(Role/ClusterRole)和绑定(RoleBinding/ClusterRoleBinding)实现最小权限分配 NetworkPolicy:定义Pod间网络隔离规则,依赖CNI插件实现,默认全通,启用后转为默认拒绝 SecurityContext:容器运行时安全配置,包括非root运行、权限降级等 最佳实践: 遵循最小权限原则 为应用创建专用ServiceAccount 定期审计权限配置
运行时安全引擎RSE
卢鸿波-security²-安全二次方
06-22 623
该博客重点介绍了运行时安全引擎(Runtime Security Engine,简称 RSE)与应用处理器(Application Processor,简称 AP)之间的关系。 根据 ARM 的参考设计,RSE 是位于同一芯片(die)上的一个独立核心,与 AP 和系统控制处理器(System Control Processor,简称 SCP)并列存在。RSE 为整个系统提供基本的安全保障和运行时服务,例如:可信启动(trusted boot)、度量启动(measured boot)、平台认证(platf
淘宝API安全合规指南:避免数据泄露与封禁
最新发布
rRachel111的博客
06-25 218
在收集用户数据前,开发者需明确告知用户收集数据的目的、用途和方式,并获得用户的明确同意。若要与第三方共享用户数据,需事先获得用户同意,并向用户明确告知共享的第三方信息、共享的数据内容和用途。同时,与第三方合作伙伴签订保密协议,要求其采取必要的安全措施保护用户数据,防止数据泄露。建议将密钥存储在安全的地方,如加密的配置文件或安全的密钥管理系统中,避免泄露给未经授权的第三方。同时,定期更换密钥,增加安全性。例如,若只需用户的收货地址来完成商品配送,就不应收集其他无关信息,如用户的身份证号、银行卡号等敏感信息。
深度洞察丨2025零信任应对挑战,拥抱变革,开启智能安全新时代
trusfort的博客
06-24 523
零信任从早期市场向主流市场过渡时正在面临重大障碍
实习/秋招记录:软件开发转AI或安全
Kagamigawa Noelle
06-23 317
没有很合适我的岗位,只能在所谓的AI岗和安全岗上做点尝试。记录我的转方向历程,持续更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值