隨著《網(wǎng)絡(luò)安全法》和《等級保護(hù)制度條例2.0》的頒布與實施,國家層面對網(wǎng)絡(luò)安全的重視程度逐步提高,各級主管部門和監(jiān)管機(jī)構(gòu)出臺了一系列法律法規(guī)來指導(dǎo)企事業(yè)單位的網(wǎng)絡(luò)安全建設(shè)�����。
網(wǎng)絡(luò)安全的本質(zhì)在于對抗,對抗的本質(zhì)在于攻防兩端能力的較量���。華為網(wǎng)絡(luò)安全攻防技術(shù)專家們將以本文為開篇,推出一系列攻防相關(guān)文章����。本期首先介紹在攻防演練中,企業(yè)的防守之道��。
經(jīng)過多年實踐,通過定期開展實戰(zhàn)性的攻防演練,組織具備豐富網(wǎng)絡(luò)安全攻防經(jīng)驗的隊伍,對關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的企事業(yè)單位進(jìn)行模擬攻擊,已經(jīng)成為檢驗各企事業(yè)單位抗攻擊能力和抵御APT組織滲透能力的行之有效的方法�。
在攻防演練中,高強(qiáng)度不間斷的各類高級攻擊,頻頻突破企業(yè)建立的網(wǎng)絡(luò)安全體系,對企業(yè)提出了極大的挑戰(zhàn),這同時也是企業(yè)的機(jī)會。通過攻防演練可以暴露企業(yè)網(wǎng)絡(luò)中的漏洞��、安全建設(shè)的薄弱點和應(yīng)急響應(yīng)能力的不足點,從而進(jìn)行針對性的加強(qiáng),提高企業(yè)的整體網(wǎng)絡(luò)安全水平���。
經(jīng)過多年的攻防演練經(jīng)驗積累,我們對企業(yè)的防守行動開展流程進(jìn)行了規(guī)范和總結(jié)��。
為充分發(fā)揮攻防演練的價值,企業(yè)需要成立正式的防守組織,并通過一系列關(guān)鍵活動來提高基礎(chǔ)防御水平和應(yīng)急響應(yīng)能力等�����。
企業(yè)防守組織
通常情況下,防守組織需要企業(yè)的網(wǎng)絡(luò)�����、安全�、業(yè)務(wù)三個資源線共同參與,由統(tǒng)籌組統(tǒng)一協(xié)調(diào),成立包括對外聯(lián)絡(luò)小組���、業(yè)務(wù)網(wǎng)絡(luò)保障小組�、安全加固小組��、風(fēng)險評估小組��、監(jiān)控分析小組���、應(yīng)急響應(yīng)小組的防守隊伍�。各小組各司其職互相配合,保障信息流暢���、響應(yīng)及時����。
攻防演練關(guān)鍵活動
我們將攻防演練劃分為4個階段,分別是計劃、準(zhǔn)備�����、實戰(zhàn)��、總結(jié)��。
在計劃階段,統(tǒng)籌組制定保障計劃和保障方案,并成立各個防守小組;
在準(zhǔn)備階段,各小組重點進(jìn)行資產(chǎn)梳理和風(fēng)險分析,部署各類安全防護(hù)產(chǎn)品如態(tài)勢感知���、防火墻��、WAF�����、蜜罐等,并根據(jù)實際情況進(jìn)行安全��、網(wǎng)絡(luò)�、業(yè)務(wù)策略調(diào)優(yōu),制定應(yīng)急響應(yīng)預(yù)案應(yīng)對可能的主機(jī)失陷問題,通過開展模擬演練磨合演練軟對和完善協(xié)防流程;
進(jìn)入實戰(zhàn)階段后,各小組根據(jù)預(yù)設(shè)的流程開展工作,利用自動化的檢測和響應(yīng)機(jī)制對攻擊者進(jìn)行快速隔離,盡可能減少攻擊的時間窗口,增加攻擊成本,持續(xù)跟蹤現(xiàn)網(wǎng)爆發(fā)的0day漏洞并及時加固,同時通過蜜罐等技術(shù)實現(xiàn)溯源反制增加防守得分;
在總結(jié)階段,各小組對攻防演練過程中的風(fēng)險進(jìn)行復(fù)盤分析及業(yè)務(wù)恢復(fù),根據(jù)演練過程中暴露出來的薄弱點開展系統(tǒng)加固和安全建設(shè)規(guī)劃��。
下面我們對攻防演練過程中的幾個關(guān)鍵活動進(jìn)行詳細(xì)介紹。
1摸清家底---資產(chǎn)梳理
利用資產(chǎn)管理系統(tǒng)對企業(yè)所有的服務(wù)器��、網(wǎng)絡(luò)設(shè)備����、安全設(shè)備�����、應(yīng)用等進(jìn)行梳理,重點關(guān)注僵尸資產(chǎn)�、無主資產(chǎn)、無用資產(chǎn)���、老舊資產(chǎn)等,做到資產(chǎn)和人員的對應(yīng)�����。
資產(chǎn)梳理是否全面在一定程度上決定了企業(yè)最終的防守效果,在開展該活動時不應(yīng)把目標(biāo)局限于集團(tuán)公司內(nèi)部,還需要對各個分公司進(jìn)行排查����。通過資產(chǎn)梳理做到:
資產(chǎn)暴露面最大限度收斂
集權(quán)類系統(tǒng)(如堡壘機(jī))白名單訪問
業(yè)務(wù)無關(guān)資產(chǎn)下線
公網(wǎng)已泄露信息及時整改
軟硬件供應(yīng)鏈全面管理
內(nèi)外部溝通渠道規(guī)范化
資產(chǎn)梳理的簡易流程如下圖所示:
2主動防御---風(fēng)險評估
對信息系統(tǒng)進(jìn)行全面風(fēng)險評估,通過技術(shù)測試����、調(diào)查等多種途徑,定性與定量相結(jié)合,對網(wǎng)絡(luò)��、系統(tǒng)����、應(yīng)用等的脆弱性��、威脅和影響進(jìn)行全方位評估,總結(jié)風(fēng)險���、及時加固����。
在開展該活動時,應(yīng)重點應(yīng)用如漏洞掃描�����、滲透測試�����、基線配置核查等技術(shù)手段,識別應(yīng)用系統(tǒng)中存在的高危漏洞���、薄弱口令��、區(qū)域隔離不嚴(yán)�、安全策略配置錯誤、防御缺失等問題,修復(fù)安全防護(hù)體系的短板�。
風(fēng)險評估的簡易流程如下圖所示:
3安全加固---安全防護(hù)體系建設(shè)
基于風(fēng)險評估階段識別的企業(yè)薄弱點和風(fēng)險,依據(jù)縱深防御的安全體系建設(shè)思想,在假定攻擊者可以成功入侵的基礎(chǔ)上,企業(yè)需要從主機(jī)、應(yīng)用��、網(wǎng)絡(luò)等方面構(gòu)建完善的防御體系和實時預(yù)警體系,將各類安全設(shè)備有機(jī)結(jié)合,建設(shè)完成如下8個防護(hù)體系,達(dá)成安全防護(hù)實效�。
4戰(zhàn)前實訓(xùn)---模擬演練
在企業(yè)各項活動已準(zhǔn)備充分的基礎(chǔ)上,組織攻擊方和防守方,通過模擬真實的攻擊場景,檢驗安全防御體系和防守隊員應(yīng)對網(wǎng)絡(luò)攻擊的能力,對防御薄弱點進(jìn)行查漏補(bǔ)缺,同時可快速讓防守人員熟悉正式的演練流程�。模擬演練流程應(yīng)盡量貼近現(xiàn)網(wǎng)攻擊。
模擬演練的簡易流程如下圖所示:
5實戰(zhàn)對抗---安全值守&應(yīng)急溯源
在實戰(zhàn)對抗中,值守人員需要持續(xù)監(jiān)控和分析網(wǎng)絡(luò)中的Web攻擊����、APT攻擊、暴力破解�����、惡意文件等各類威脅事件,結(jié)合最新威脅情報和業(yè)務(wù)情況,得出精準(zhǔn)的威脅分析結(jié)果并及時封堵攻擊,對失陷類事件溯源分析,定位威脅來源和影響范圍����。
在該階段,企業(yè)應(yīng)盡可能采用自動化的分析和封堵策略,減小攻擊者的有效攻擊時間窗,重點對如下異常行為進(jìn)行監(jiān)控:
結(jié)束語
攻防演練是對企業(yè)網(wǎng)絡(luò)安全建設(shè)有效性的一種實戰(zhàn)化考核,通過短時間高強(qiáng)度的攻擊發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)的薄弱點,對于企業(yè)下一步的安全規(guī)劃具有重要的指導(dǎo)意義。
從企業(yè)的角度來看,應(yīng)該重視并積極擁抱此類活動,以更加開放的心態(tài)將攻防演練中積累的經(jīng)驗應(yīng)用到日常的安全建設(shè)中,網(wǎng)絡(luò)安全在規(guī)劃�����、在建設(shè)�����、在平時,企業(yè)要以抵御各類APT攻擊為目標(biāo)樹立網(wǎng)絡(luò)安全意識,筑牢網(wǎng)絡(luò)安全防線。
