银狐应对思路与方案

银狐防范的正确思路

培养办公网安全运营能力

• 引入专业办公网运营人才，或使用厂商的托管服务

• 运营流程中，对办公失陷进行有效分类分级，如僵木蠕、黑产、APT，设定运营规范

• 组建应急响应团队，及时应对，如果人力不够，也可以提前构建虚拟团队

在实战的同时，开展安全意识培训

• 条件允许时，结合每次意外点击，每次被控，每次被拉群，在失陷当场对受害人员进行充分的安全意识培训

• 让企业安全团队和员工都意识到，"人"将是未来最大的突破口，需要持续提高安全意识

引入新技术增强办公网威胁发现

• 在流量加密、域前置等手法被广泛应用的当下，流量检测产品无法解决所有新型高级威胁，企业应当在终端侧提升检测响应能力，引入EDR技术增强办公网威胁发现能力

• 选型EDR时，应重点考察日志采集全面性和分析溯源的彻底性，警惕由杀毒的简单行为分析包装成EDR的终端安全产品

• 引入EDR后，应当重新调整杀毒策略和流量侧告警的运营机制，降低终端压力的同时形成良好联动，并提高安全运营效率

集团性质企业的运营下放

• 集团性质企业要有效区分信息公司和子公司的运营分工，检测、处置闭环要进行合理分工和有效闭环

• 管理动作和考核上形成有效联动，紧贴实战需求

• 终端产品安装覆盖度是要持续检测和考核的内容

持续收紧办公终端权限，建立严格终端管控机制

• 统一建设软件仓库和软件管理机制

• 必要时，可考虑上收管理员权限