本期嘉宾
随着《网络安全法》和《等级保护制度条例2.0》的颁布与实施,国家层面对网络安全的重视程度逐步提高,各级主管部门和监管机构出台了一系列法律法规来指导企事业单位的网络安全建设。
网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较量。华为网络安全攻防技术专家们将以本文为开篇,推出一系列攻防相关文章。本期首先介绍在攻防演练中,企业的防守之道。
经过多年实践,通过定期开展实战性的攻防演练,组织具备丰富网络安全攻防经验的队伍,对关键信息基础设施相关的企事业单位进行模拟攻击,已经成为检验各企事业单位抗攻击能力和抵御APT组织渗透能力的行之有效的方法。
在攻防演练中,高强度不间断的各类高级攻击,频频突破企业建立的网络安全体系,对企业提出了极大的挑战,这同时也是企业的机会。通过攻防演练可以暴露企业网络中的漏洞、安全建设的薄弱点和应急响应能力的不足点,从而进行针对性的加强,提高企业的整体网络安全水平。
经过多年的攻防演练经验积累,我们对企业的防守行动开展流程进行了规范和总结。
为充分发挥攻防演练的价值,企业需要成立正式的防守组织,并通过一系列关键活动来提高基础防御水平和应急响应能力等。
企业防守组织
通常情况下,防守组织需要企业的网络、安全、业务三个资源线共同参与,由统筹组统一协调,成立包括对外联络小组、业务网络保障小组、安全加固小组、风险评估小组、监控分析小组、应急响应小组的防守队伍。各小组各司其职互相配合,保障信息流畅、响应及时。
攻防演练关键活动
我们将攻防演练划分为4个阶段,分别是计划、准备、实战、总结。
在计划阶段,统筹组制定保障计划和保障方案,并成立各个防守小组;
在准备阶段,各小组重点进行资产梳理和风险分析,部署各类安全防护产品如态势感知、防火墙、WAF、蜜罐等,并根据实际情况进行安全、网络、业务策略调优,制定应急响应预案应对可能的主机失陷问题,通过开展模拟演练磨合演练软对和完善协防流程;
进入实战阶段后,各小组根据预设的流程开展工作,利用自动化的检测和响应机制对攻击者进行快速隔离,尽可能减少攻击的时间窗口,增加攻击成本,持续跟踪现网爆发的0day漏洞并及时加固,同时通过蜜罐等技术实现溯源反制增加防守得分;
在总结阶段,各小组对攻防演练过程中的风险进行复盘分析及业务恢复,根据演练过程中暴露出来的薄弱点开展系统加固和安全建设规划。
下面我们对攻防演练过程中的几个关键活动进行详细介绍。
1摸清家底---资产梳理
利用资产管理系统对企业所有的服务器、网络设备、安全设备、应用等进行梳理,重点关注僵尸资产、无主资产、无用资产、老旧资产等,做到资产和人员的对应。
资产梳理是否全面在一定程度上决定了企业最终的防守效果,在开展该活动时不应把目标局限于集团公司内部,还需要对各个分公司进行排查。通过资产梳理做到:
资产暴露面最大限度收敛
集权类系统(如堡垒机)白名单访问
业务无关资产下线
公网已泄露信息及时整改
软硬件供应链全面管理
内外部沟通渠道规范化
资产梳理的简易流程如下图所示:
2主动防御---风险评估
对信息系统进行全面风险评估,通过技术测试、调查等多种途径,定性与定量相结合,对网络、系统、应用等的脆弱性、威胁和影响进行全方位评估,总结风险、及时加固。
在开展该活动时,应重点应用如漏洞扫描、渗透测试、基线配置核查等技术手段,识别应用系统中存在的高危漏洞、薄弱口令、区域隔离不严、安全策略配置错误、防御缺失等问题,修复安全防护体系的短板。
风险评估的简易流程如下图所示:
3安全加固---安全防护体系建设
基于风险评估阶段识别的企业薄弱点和风险,依据纵深防御的安全体系建设思想,在假定攻击者可以成功入侵的基础上,企业需要从主机、应用、网络等方面构建完善的防御体系和实时预警体系,将各类安全设备有机结合,建设完成如下8个防护体系,达成安全防护实效。
4战前实训---模拟演练
在企业各项活动已准备充分的基础上,组织攻击方和防守方,通过模拟真实的攻击场景,检验安全防御体系和防守队员应对网络攻击的能力,对防御薄弱点进行查漏补缺,同时可快速让防守人员熟悉正式的演练流程。模拟演练流程应尽量贴近现网攻击。
模拟演练的简易流程如下图所示:
5实战对抗---安全值守&应急溯源
在实战对抗中,值守人员需要持续监控和分析网络中的Web攻击、APT攻击、暴力破解、恶意文件等各类威胁事件,结合最新威胁情报和业务情况,得出精准的威胁分析结果并及时封堵攻击,对失陷类事件溯源分析,定位威胁来源和影响范围。
在该阶段,企业应尽可能采用自动化的分析和封堵策略,减小攻击者的有效攻击时间窗,重点对如下异常行为进行监控:
结束语
攻防演练是对企业网络安全建设有效性的一种实战化考核,通过短时间高强度的攻击发现企业网络的薄弱点,对于企业下一步的安全规划具有重要的指导意义。
从企业的角度来看,应该重视并积极拥抱此类活动,以更加开放的心态将攻防演练中积累的经验应用到日常的安全建设中,网络安全在规划、在建设、在平时,企业要以抵御各类APT攻击为目标树立网络安全意识,筑牢网络安全防线。
|