随着重庆万国半导体科技有限公司（以下简称“重庆万国”）功率半导体业务规模不断扩大，核心数据泄露等风险使企业网络安全重要性日益凸显。在此背景下，重庆万国安全团队如何应对新型威胁？

　　据了解，重庆万国企业IT架构目前主要由企业办公网、用于支撑生产办公的IT网及生产网（OT网络）三张逻辑隔离、互不通信的“网”组成。对大量已公开的黑客攻击案例进行分析，并结合自身安全建设，重庆万国安全团队认为，办公网是黑客入侵最常用的突破点。特别是远程、移动办公需求增加，进一步加大了安全风险。从防御新型威胁的角度来看，提升办公网安全防护能力，重点保证远程、移动办公设备的安全成为重庆万国安全团队优先考虑的网络安全建设目标。

　　“被入侵的办公终端通常只是‘跳板’，黑客会在内网横移搜寻目标，这会产生异常流量，利用NDR流量检测类产品理论上能很好地检测并响应黑客攻击，通过对流量进行观测也能更好地把握内网安全状态。”安全团队介绍，针对黑客攻击过程这两个环节的特点，在经过反复测试和对比之后，重庆万国选择使用微步在线“OneDNS+TDP”组合方案，不仅在原有网络安全解决方案基础上补足应对新型网络威胁的能力，同时对企业资产获得更清晰的全局视野与威胁感知能力。其中，OneDNS为位于云端的互联网安全DNS服务，通过拦截恶意代码发起的域名反连，简单高效地让企业办公网络拥有防范新型威胁的能力；TDP则是深度融合情报的实战化检测与响应平台，通过对出入站流量进行全量分析，并结合资产盘点与风险发现等功能，为用户提供基于全局视角的威胁感知能力。

重庆万国采用OneDNS+TDP组合方案，利用OneDNS提升办公网安全防护能力，TDP则对内网流量进行检测并响应

　　办公网安全形势较为复杂，是黑客攻击常见的突破点，常用方式包括（0day）漏洞利用、钓鱼邮件等，而传统终端安全方案通常以防病毒为主，很难应对新型威胁。同时，企业员工参差不齐的网络安全防范意识也增加了不确定性。对黑客在这一阶段的行为进行分析可知，在入侵后要反连C&C服务器，以获得权限维持能力，利用DNS域名解析环节拦截反连成为重庆万国阻断黑客攻击的关键。

　　据介绍，OneDNS可将要解析的域名与云端威胁情报库进行碰撞，如果是正常域名，则返回正确的IP地址；如果发现是黑客攻击或恶意代码发起的域名请求，则直接返回拦截页面地址，达到阻断黑客攻击的目的。此外，OneDNS还可提供定位、溯源、取证等功能，实现安全闭环。例如，通过安装在本地DNS的VA（虚拟转发器）定位发起恶意反连的终端（无需终端安装Agent），如果终端上安装了轻量级Agent还可溯源取证，以发现问题的源头；轻量级Agent也使远程、移动办公终端拥有与办公内网终端同等的安全防护能力。

　　对于企业安全运营人员而言，好用的“工具”是及时发现并阻断黑客攻击的关键，如能对企业资产进行全面梳理以最小化攻击面的工具、能准确告警且无漏报的工具、可溯源以定位风险点的工具等。重庆万国安全团队顺应需求选择TDP威胁感知平台，以旁路方式接入核心交换机，基于双向全流量分析，结合攻击者手法特征和攻击者情报推导攻击意图，识别针对性威胁，自动判定攻击成功失败。通过降低威胁噪声，让安全团队不必再对大量告警进行分析研判，消除了繁琐重复的无效行为，极大地提升了整个安全团队的工作效率。同时，借助TDP的精准告警能力与简洁方便的管理控制台，仅需一人运营TDP即可掌控全局，进出站流量与安全态势一目了然。

　　除了全面、精准的检测能力之外，重庆万国安全团队还利用TDP的全面梳理能力对网络资产和服务进行盘点，TDP通过被动监听流量的方式来识别发现资产，并自动进行风险提示，无需进行扫描，对现有网络架构无任何影响。通过对企业内网的资产进行盘点，自动化登录入口梳理和登录风险识别，极大降低了重庆万国被攻击突破的风险。（范欣）