近年来,随着各行业对网络安全的高度重视,采用实战化网络安全攻防演习的方式可以用于检验单位的网络安全防御、监测和响应能力,检验网络安全保障工作成效,检验网络安全防护体系的有效性。在实战的状态下,通过对抗和较量,攻防双方在方式方法、措施手段等方面不断积累经验,促进了企业防守能力的持续提升。因此,实战化网络安全攻防演习已日趋常态,且不断深化发展,成为了企业网络安全保障能力体系建设的有效手段。

在实战化攻防演习过程中,攻击方的攻击方式从演习早期正面对抗、通过发现漏洞直接从互联网进行突破的方式,已经逐步发展到通过供应链、0day,甚至于采取钓鱼、水坑等定性攻击方式,迂回式进行网络攻击。这给防守方提出了较大的挑战,需要防守方深入关注整体防御体系的最短板。同时,网络安全人员对网络安全防护措施的关注点也从“数据中心”的专业防护措施,逐渐外延至操作终端、无线接入和人员网络安全意识等方面。可以看到,攻击的方式方法多变,且涉及网络安全防御体系的方方面面,能够充分检验防御体系的有效性。

站在防守方角度,企业在进行防守时要依托已经建立的网络安全保障体系,充分分析自身安全防护状况与存在的不足,做好组织分工,完善防护、监测和响应等措施,全面展开攻防对抗。在实际工作中,防守方需要构建主动防御的能力体系,持续地应对攻击方发起的各种不同类型和方式的攻击,同时结合威胁情报,精准响应和处置,甚至具有展开追踪反制的能力,是防守方在防御能力进阶的目标和方向。但达到主动防御能力的最佳效果,同时需要防守单位具备扎实的架构安全以及基本完善的被动防御体系,如果在架构安全和被动防御两个阶段存在明显短板,即便提升了持续的监测和分析等主动防御能力,也由于分布广泛的短板和缺口,会让防守人员顾此失彼、应接不暇,最终可能导致系统失陷。

结合常见的攻击方式,防守方应当具备如下防御能力,对现有的网络安全保障体系加以补充和完善,主要包括:

1、防微杜渐:防范被踩点

为了减少防守方情报泄露,防守单位应加强对信息披露内容的检测,尽量防止本单位敏感信息泄露在公共信息平台;对供应链信息进行严格管理;定期开展网络安全意识教育,加强对个人信息的管理,强化对个人口令的安全使用。

2、收缩战线:收敛攻击面

让攻击面缩到最小,缩小防守半径,防守单位应加强对互联网暴露面的梳理,清理暴露在互联网上的测试环境、后台界面、远程维护端口以及和下级单位、业务合作单位等相关单位的联网边界资产等;梳理网络边界设备(包括VPN、无线热点等)、系统以及各类应用的账号和口令等,避免存在弱口令和资产不清等情况;针对供应链厂商或服务商持有的信息严格管控。

3、纵深防御:立体防渗透

强化自身架构安全,层层设防,全路径管控,真正做到纵深防御。防守单位应根据统一的访问控制策略,严格划分安全域并进行细粒度的访问控制策略设置;加强对主机资产、补丁和口令的管理;加强对应用系统的安全管理,减少应用系统自身的安全隐患;整体部署符合标准要求的网络安全防护、监测和处置措施。

4、守护核心:找到关键点

严守集权类系统和目标系统的安全。防守单位应针对集权类设备和核心资产进行最小化权限设置和管理,核心资产可设置白名单机制,加强访问行为的管控和监测分析,加强对核心资产访问的日志审计和监测预警,确保核心资产的安全可控。

5、洞若观火:全方位监控

构建全方位的网络安全监测和运营体系,结合威胁情报持续进行网络安全监测分析和响应。构建网络安全主动防御体系,收集相关情报,全面部署网络安全威胁监测,通过专业的分析人员持续发现网络安全威胁,并进行及时的响应,结合网络安全事件应急响应体系,持续对网络安全事件进行分级分类处置,整体提升对网络安全攻击的发现和处置能力。

实战化攻防演习作为检验网络安全保障体系是否有效的一种方式,是当前被公认为一种非常有效的方式。在实战化攻防能力建设过程中,不仅是缺啥补啥,还要不断审视已有网络安全体系建设成效,总结网络安全体系中的技术和管理措施,分析其效能和短板,从而对现有的网络安全保障体系进行体系化的改进和完善。

如何对本单位的网络安全保障能力进行体系化审视?

通常情况下,企业在进行网络安全保障体系设计的过程中,会依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》、《中华人民共和国突发事件应对法》等网络安全相关法律法规,结合国内外网络安全的标准和最佳实践,例如信息保障技术框架IATF、ISO/IEC 27000信息安全管理体系系列标准、Garter ASA自适应防御系统和GB/T 22239-2019《网络安全等级保护基本要求》等,这些标准和最佳实践涉及网络安全保障体系的框架、方法论、网络安全技术架构、管理体系架构等各个方面,在结合企业的信息化发展实践和管理文化构建网络安全防御体系。同时,在技术方面通过PPDR(策略、防护、监测、响应)的方式,管理方面通过PDCA(戴明环)的方式全面加以落实和实践,从而形成应对来自各类内外部攻击的网络安全保障体系。

基于最佳实践,企业可参考SANS的网络安全滑动标尺模型对网络安全保障体系进行审视,以有效应对实战化背景下的安全挑战。SANS提出的滑动标尺模型划分为五个阶段,即架构安全、被动防御、主动防御、威胁情报和进攻反制。

其中,架构安全指在用安全思维规划、构建和维护系统,安全的系统设计是基础,在此之上才能展开其他的网络安全建设;被动防御是在架构安全的基础上,为系统提供攻击防护,通过添加持续威胁防护和检测且无需经常人工互动的系统,如防火墙、反恶意软件系统、入侵防御系统、防病毒系统等安全系统,这些安全系统可提供防护,填补或缩小已知安全缺口,减少与威胁交互的机会;主动防御是分析人员监控、响应网络内部威胁、从中汲取经验并将知识持续应用进行响应的过程,有效实现主动防御的秘诀之一是能够利用攻击者相关情报,并通过情报推动防护环境中的安全变化、流程和行动;威胁情报是指收集、处理、分析攻击信息和数据,输出情报的过程;进攻是对网络攻击对手直接采取行动。

通过该模型五个阶段的分析,可以使防守方证实当前网络安全保障体系在每个阶段的建设情况,并结合实战化攻防演习中发现的具体问题,找出短板,进行系统化的完善和改进。这其中包括安全技术体系的完善,例如安全架构体系的重构,引入零信任体系;深化纵深防御体系,防护核心;新技术安全体系完善,做好“三同步”等;安全管理体系的健全,例如加强专业技术人员实战能力培养,强化供应商的安全管控、实化敏感信息的安全管控、深化安全意识教育培训等;安全运营体系的深入建设,重点是构建主动防御的运营能力建设,建立全流量威胁监测平台,有效的攻击诱捕技术部署,以及结合威胁情报的运营体系等。

安全防御能力的形成并非一蹴而就,企业管理者应重视安全体系建设,在实战背景下建立起“以人员为核心、以数据为基础、以运营为手段”的安全运营模式,逐步形成威胁预测、威胁防护、持续检测、响应处置的闭环安全工作流程,通过实战化攻防演习可以促进我们攻防相长,构建有效的网络安全保障体系,从而促进网络安全能力持续提升。

声明:本文来自奇安信安全服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。