文/马金龙

是什么?

俗称护网行动,由公安部等国家监管部门组织的,攻击队伍是由其内部技术团队,头部互联网巨头蓝军团队,以及安全公司渗透团队组成的技术力量,防守方为目标企业,经过几年的工作的有序开展,基本达到每年会搞一次,对于企业来讲是一项政治任务;

为什么?

攻防演练是在真实环境下开展对抗,目的是检验工作成效、查找问题短板、深化巩固提升,进一步提高国家及行业的网络安全水平;同时让企业进一步认清形势,提高站位,夯实责任,将网络安全责任制工作要求落实落细,确保网络安全工作有序、安全、高效;

该做点什么?

前期准备:资产,人,技术,流程要明确

  1. 传达及时,收到通知后,一定要及时上报给高层领导;

  2. 高层重视,要有相应的网络安全攻防演练小组,主持及部署攻防演练相关工作;

  3. 摸清家底,做好系统,网络,服务器等的资产梳理,无用的系统及服务及时下线,减少利用点及攻击面;

  4. 做好监控,对网络及服务器运行状态的日常安全监测,出现异常进行报警;

  5. 值班值守,做好值班安排,实行7x24小时值班制度,采用0报告方式;

  6. 系统加固,补丁要打好,并提高漏洞扫描的力度,并做好修复工作;

  7. 做好培训及宣传,提高全体员工安全意识,减少被社工的风险;

  8. 应急预案,对各类突发事件做好预案,尽量做到及时响应并处理,将损失降到最小;

事中处理:攻防演练主要是考验的就是应急响应及处置的能力

  1. 攻防工作日例会制度,对当日攻防工作进行总结分析,安排部署下一日的攻防工作;

  2. 应急响应处理,在攻防演练中,攻击方是大量渗透专业的人士,不可能做到万无一失,当出现被攻破的情况时也不用慌张,针对相应应急预案作出适当的调整和修正;

    应急措施的几个阶段:攻击阻断、网络隔离、调查取证、溯源反制、木马清除、业务恢复。

    1. 攻击阻断,发现外连IP,进行封禁;

    2. 网络隔离:将业务切走,并针对被攻击的服务器及疑似影响网络进行隔离排查;

    3. 调查取证:通过排查定位原因及影响,最好同取证单位一起收集证据链,并由取证单位开具电子数据司法鉴定报告;

    4. 溯源反制:根据证据定位攻击源,攻击对象,最好能确认攻击者,然后报警,防止出现有人在攻防演练过程中的真实攻击行为;

    5. 木马清除:清除相应的木马,后门文件,最好重装系统,防止持久化木马;

    6. 业务恢复:业务切回

事后总结:全面复盘,分析得失,为下一次做准备

参演结束后,演练小组一要召开总结会,全面复盘、分析得失,根据演练报告对比攻击思路及路径,整改有关问题,优化相应安全策略,从而提升安全能力;

此文源于....算了,不说了,都是泪的笔者有感而成,感谢大家的观看,如有问题,欢迎交流;

聊完,收工!

声明:本文来自安全管理杂谈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。