隨著網(wǎng)絡(luò)安全成為國(guó)家戰(zhàn)略,特別是《網(wǎng)絡(luò)安全法》的正式頒布實(shí)施,,網(wǎng)絡(luò)安全建設(shè)正逐步走向?qū)崙?zhàn)化,、體系化和常態(tài)化的新時(shí)代。在這一大背景下,,攻防演練越來(lái)越受到各方重視,,成為檢驗(yàn)安全體系建設(shè)水平,促進(jìn)安全運(yùn)營(yíng)能力提升的常備動(dòng)作,。
在網(wǎng)絡(luò)安全攻防演練活動(dòng)中,,保障工作不是一蹴而就,需要系統(tǒng)化的規(guī)劃設(shè)計(jì),、統(tǒng)籌組織和部署執(zhí)行,。對(duì)于攻防演練的防御方,綠盟科技建議按照以下五個(gè)階段組織實(shí)施:
01 啟動(dòng)階段
組建網(wǎng)絡(luò)攻防演練保障團(tuán)隊(duì)并明確相關(guān)職責(zé),,制定工作計(jì)劃,、流程和具體方案。對(duì)信息化網(wǎng)絡(luò)架構(gòu)進(jìn)行梳理和分析,,評(píng)估當(dāng)前網(wǎng)絡(luò)安全能力現(xiàn)狀,。對(duì)內(nèi)外網(wǎng)的信息化資產(chǎn)進(jìn)行梳理。
02 備戰(zhàn)階段
通過(guò)資產(chǎn)安全評(píng)估,、業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估手段,,對(duì)內(nèi)外網(wǎng)信息化資產(chǎn)風(fēng)險(xiǎn)暴露面進(jìn)行全面評(píng)估。制定合理可行的安全整改和建設(shè)方案,,配合推動(dòng)網(wǎng)絡(luò)安全整改與治理工作,。開(kāi)展內(nèi)部人員的網(wǎng)絡(luò)安全意識(shí)宣貫。
03 臨戰(zhàn)階段
制定應(yīng)急演練預(yù)案,,有序組織開(kāi)展內(nèi)部紅藍(lán)對(duì)抗,、釣魚(yú)攻擊等專(zhuān)項(xiàng)演練工作。對(duì)人員進(jìn)行安全意識(shí)專(zhuān)項(xiàng)強(qiáng)化培訓(xùn),。
04 保障階段
依托安全保障中臺(tái),,構(gòu)建云地一體化聯(lián)防聯(lián)控安全保障體系,利用情報(bào)協(xié)同聯(lián)動(dòng)機(jī)制,,持續(xù)有效地進(jìn)行威脅監(jiān)控,、分析研判,、應(yīng)急響應(yīng)、溯源反制等網(wǎng)絡(luò)攻防演練保障工作,。
05 總結(jié)階段
對(duì)攻防演練工作進(jìn)行經(jīng)驗(yàn)總結(jié)和復(fù)盤(pán),,梳理總結(jié)報(bào)告,對(duì)演練中發(fā)現(xiàn)的問(wèn)題進(jìn)行優(yōu)化改進(jìn)和閉環(huán)處理,。
一個(gè)完備高效的攻防演練過(guò)程,,通過(guò)啟動(dòng)、備戰(zhàn),、臨戰(zhàn),、保障和總結(jié)全流程的精心組織,充分調(diào)動(dòng)內(nèi)外部資源,,達(dá)到檢驗(yàn)建設(shè)成果,、鍛煉運(yùn)維團(tuán)隊(duì)、提升運(yùn)營(yíng)能力的目標(biāo),。下面綠盟科技將根據(jù)歷年參與攻防演練活動(dòng)的實(shí)際經(jīng)驗(yàn),,總結(jié)介紹啟動(dòng)、備戰(zhàn),、臨戰(zhàn),、保障和總結(jié)這五個(gè)攻防演練關(guān)鍵階段的具體操作建議,為企業(yè)安全負(fù)責(zé)人開(kāi)展攻防演練工作提供參考,。
01 啟動(dòng)階段
啟動(dòng)階段主要有三大工作:建隊(duì)伍,,清家底,做規(guī)劃,。
1)建隊(duì)伍
在啟動(dòng)階段,,應(yīng)著手建立一個(gè)分工明確的網(wǎng)絡(luò)安全攻防演練職能團(tuán)隊(duì),以保證安全自查工作得到充分開(kāi)展,,安全防護(hù)能力得到有效驗(yàn)證,。因此必須明確安全保障團(tuán)隊(duì)的組織架構(gòu)和職責(zé)劃分。為做好演練工作,,建議以如下方式建立安全保障團(tuán)隊(duì)的整體架構(gòu):
各職能團(tuán)隊(duì)分工如下表所示:
2)清家底
清家底是指對(duì)當(dāng)前網(wǎng)絡(luò)架構(gòu)進(jìn)行合理分析和優(yōu)化,,盤(pán)點(diǎn)內(nèi)外網(wǎng)資產(chǎn),理順資產(chǎn)與業(yè)務(wù)系統(tǒng)的關(guān)系,。摸清,、理順自身家底,充分應(yīng)用自身安全建設(shè)的成果,,為后續(xù)風(fēng)險(xiǎn)排查,、加固優(yōu)化奠定良好基礎(chǔ),主要包括三方面內(nèi)容:
網(wǎng)絡(luò)架構(gòu)分析調(diào)優(yōu)
互聯(lián)網(wǎng)資產(chǎn)暴露面治理
內(nèi)網(wǎng)資產(chǎn)發(fā)現(xiàn)梳理,。
3)做規(guī)劃
做規(guī)劃是指在前期工作的基礎(chǔ)上,,進(jìn)一步明確安全保障應(yīng)用需求,,編制《安全運(yùn)營(yíng)保障實(shí)施計(jì)劃》與《安全運(yùn)營(yíng)保障方案》,制定網(wǎng)絡(luò)安全攻防演練工作目標(biāo),,構(gòu)建網(wǎng)絡(luò)安全攻防演練保障體系,,以全面指導(dǎo)網(wǎng)絡(luò)安全攻防演練工作。
網(wǎng)絡(luò)安全攻防演練保障體系如上圖所示,。體系覆蓋攻防演習(xí)的五大階段,。對(duì)于每個(gè)階段都要建立三位一體的保障體系,包括管理保障,、技術(shù)保障和人員保障,。管理保障是通過(guò)梳理組織架構(gòu)和各類(lèi)保障流程,從管理層面打通各個(gè)環(huán)節(jié),。技術(shù)保障是基于安全基礎(chǔ)設(shè)施構(gòu)建縱深防御和零信任機(jī)制,,并接入安全運(yùn)營(yíng)平臺(tái)實(shí)現(xiàn)整體運(yùn)營(yíng)。人員保障是通過(guò)對(duì)演練人員的賦能培訓(xùn),,滿(mǎn)足監(jiān)控,、研判,、處置,、上報(bào)等各環(huán)節(jié)中對(duì)人員的能力要求。
02 備戰(zhàn)階段
網(wǎng)絡(luò)安全攻防對(duì)抗中,,考驗(yàn)的不僅是雙方在對(duì)抗過(guò)程中的能力與技能,,還有各自戰(zhàn)前準(zhǔn)備工作是否周詳完備。備戰(zhàn)階段可以從資產(chǎn)全面評(píng)估,、業(yè)務(wù)缺陷識(shí)別,、風(fēng)險(xiǎn)整改推進(jìn)、防護(hù)能力補(bǔ)差,、整體策略?xún)?yōu)化和意識(shí)能力培訓(xùn)六個(gè)方面,,發(fā)現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的脆弱性,評(píng)估面臨的安全風(fēng)險(xiǎn),,并通過(guò)技術(shù)和管理兩個(gè)方面進(jìn)行增強(qiáng),,實(shí)現(xiàn)安全策略的全面優(yōu)化。
1)資產(chǎn)全面評(píng)估
對(duì)信息資產(chǎn)的安全性進(jìn)行全面評(píng)估,,主要包括7大評(píng)估方法:漏洞掃描,、配置核查、弱口令檢查,、滲透測(cè)試,、入侵痕跡排查、敏感信息檢查,、安全機(jī)制校驗(yàn),。
2)業(yè)務(wù)缺陷識(shí)別
在業(yè)務(wù)層面,,需要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行分級(jí),針對(duì)重要業(yè)務(wù)系統(tǒng),,特別是攻防演練確定的靶標(biāo)系統(tǒng)和重要業(yè)務(wù)系統(tǒng),,梳理系統(tǒng)關(guān)鍵流程(如登錄、認(rèn)證,、查詢(xún),、申請(qǐng)、審批,、交易等)繪制相應(yīng)時(shí)序圖,,分析業(yè)務(wù)流程和數(shù)據(jù)流轉(zhuǎn)中可能遭遇的攻擊和敏感信息泄露等安全隱患,輸出相應(yīng)風(fēng)險(xiǎn)處置措施以降低風(fēng)險(xiǎn),,保障系統(tǒng)安全,。
在此基礎(chǔ)上,還應(yīng)該對(duì)身份認(rèn)證系統(tǒng),、VPN,、域控系統(tǒng)、網(wǎng)管系統(tǒng)等集權(quán)系統(tǒng)和防火墻,,入侵防御系統(tǒng),,Web安全防護(hù)系統(tǒng),主機(jī)防護(hù)系統(tǒng)等安全設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估,,確保其集權(quán)管控和安全防護(hù)機(jī)制能夠正常運(yùn)行,,且系統(tǒng)本身不存在中高危安全漏洞。此外,,還需要來(lái)自供應(yīng)鏈,,相關(guān)業(yè)務(wù)鏈,第三方人員鏈等第三方的安全風(fēng)險(xiǎn),,防止攻擊者利用第三方實(shí)施入侵,。
3)風(fēng)險(xiǎn)整改推進(jìn)
對(duì)在資產(chǎn)安全評(píng)估和業(yè)務(wù)缺陷識(shí)別中發(fā)現(xiàn)的問(wèn)題,需要制定整改方案,,及時(shí)進(jìn)行修復(fù),。主要包括歷史發(fā)現(xiàn)風(fēng)險(xiǎn)閉環(huán)復(fù)盤(pán)、自查發(fā)現(xiàn)風(fēng)險(xiǎn)跟進(jìn)巡查和各類(lèi)設(shè)備風(fēng)險(xiǎn)跟進(jìn)處置三方面,。
4)防護(hù)能力補(bǔ)差
面對(duì)實(shí)戰(zhàn)攻防演練,,需要構(gòu)建集預(yù)警、防護(hù),、檢測(cè),、響應(yīng)于一體的自適應(yīng)聯(lián)動(dòng)響應(yīng)體系。參與攻防演練的防守方,,可依照下圖展示的網(wǎng)絡(luò)安全最佳實(shí)踐技術(shù)體系,,查漏補(bǔ)缺,,消除短板,整體提升安全防護(hù)能力,。
5)整體策略?xún)?yōu)化
在構(gòu)建完成整體防線(xiàn)后,,下一步就需要提升攻擊檢測(cè)和防護(hù)的效率,對(duì)整體策略進(jìn)行優(yōu)化,,主要包括三方面的優(yōu)化動(dòng)作,。一是優(yōu)化日志分析,采用事件分析法,、時(shí)間分析法以及流量包樣本分析法等方式,,在大量日志中捕獲關(guān)鍵信息,區(qū)分設(shè)備關(guān)注重點(diǎn)事件,;二是處置設(shè)備誤報(bào),,及時(shí)拉通業(yè)務(wù)側(cè)溝通渠道,核實(shí)能否夠及時(shí)對(duì)業(yè)務(wù)代碼邏輯進(jìn)行修改,,解決業(yè)務(wù)誤攔問(wèn)題,;三是優(yōu)化平臺(tái)和設(shè)備策略,根據(jù)日志分析及誤報(bào)處理的結(jié)果,,對(duì)網(wǎng)絡(luò)設(shè)備策略,、安全設(shè)備策略、主機(jī)策略等進(jìn)行進(jìn)一步調(diào)整和優(yōu)化,。
6)意識(shí)能力培訓(xùn)
在安全意識(shí)培訓(xùn)方面,,需要在三大方向發(fā)力,。一是要加強(qiáng)安全意識(shí)宣傳,;二是要加強(qiáng)內(nèi)部安全意識(shí)培訓(xùn);三是要面向第三方開(kāi)發(fā)商和服務(wù)商人員等開(kāi)展安全意識(shí)宣貫,,同時(shí)簽訂安全保密協(xié)議,、責(zé)任界定書(shū),增強(qiáng)其安全敏感度,。
在安全能力培訓(xùn)方面,,首先要展開(kāi)威脅分析能力培訓(xùn),通過(guò)告警分析實(shí)現(xiàn)對(duì)常見(jiàn)攻擊行為和結(jié)果的識(shí)別,,包括利用漏洞執(zhí)行惡意代碼,,手工嘗試弱口令,服務(wù)器被攻陷,,惡意程序被運(yùn)行等,。其次要對(duì)應(yīng)急響應(yīng)能力進(jìn)行培訓(xùn),通過(guò)排查服務(wù)器上的木馬程序,,分析攻擊者入侵途徑,,登錄服務(wù)器操作以驗(yàn)證事件的準(zhǔn)確性等方法實(shí)現(xiàn)安全事件的事中和事后取證分析與及時(shí)處置,。
03 臨戰(zhàn)階段
臨戰(zhàn)階段也叫演練階段,即通過(guò)實(shí)戰(zhàn)攻防演練驗(yàn)證網(wǎng)絡(luò)安全體系建設(shè)成果,,助力企業(yè)建立常態(tài)化的防御機(jī)制,。這四個(gè)攻防演練“錦囊”,請(qǐng)您收好,。
錦囊一 安全應(yīng)急演練
為提升對(duì)網(wǎng)絡(luò)信息安全攻擊事件的響應(yīng)能力和應(yīng)對(duì)突發(fā)安全事件的緊急處理能力,,切實(shí)保障防守方的網(wǎng)絡(luò)安全,需要根據(jù)當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀和面臨的安全威脅編制覆蓋各類(lèi)應(yīng)急場(chǎng)景的重大保障應(yīng)急預(yù)案,,并組織開(kāi)展網(wǎng)絡(luò)安全專(zhuān)項(xiàng)應(yīng)急演練,,檢驗(yàn)網(wǎng)絡(luò)安全應(yīng)急體系和工作機(jī)制運(yùn)行情況,及時(shí)發(fā)現(xiàn)問(wèn)題,,完善應(yīng)急預(yù)案,,提高應(yīng)急處置能力。
錦囊二 釣魚(yú)攻擊演練
為模擬防守方在攻防演練期間可能面臨的真實(shí)攻擊,,同時(shí)對(duì)日常的安全意識(shí)培訓(xùn)效果進(jìn)行驗(yàn)證,,在實(shí)戰(zhàn)開(kāi)展前釣魚(yú)攻擊演練可謂是一計(jì)良策。
通過(guò)相應(yīng)渠道給防守方員工發(fā)送釣魚(yú)測(cè)試郵件,,度量員工安全意識(shí)整體狀態(tài),。在企業(yè)郵件辦公環(huán)境下,還原釣魚(yú)郵件真實(shí)場(chǎng)景,,使員工實(shí)際感受郵件釣魚(yú)威脅,,激發(fā)員工郵件辦公的警惕心理,彌補(bǔ)員工的安全意識(shí)短板,。
錦囊三 內(nèi)部紅藍(lán)對(duì)抗演練
在保證業(yè)務(wù)正常運(yùn)轉(zhuǎn)的前提下,,建議實(shí)戰(zhàn)演練雙方的攻防演習(xí)保障項(xiàng)目組在真實(shí)網(wǎng)絡(luò)環(huán)境下開(kāi)展紅藍(lán)對(duì)抗,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)的真實(shí)隱患,,檢驗(yàn)安全威脅監(jiān)測(cè)發(fā)現(xiàn)能力,、應(yīng)急處置能力和安全防護(hù)能力,并通過(guò)演練結(jié)果進(jìn)一步改進(jìn)保障能力,。
錦囊四 實(shí)戰(zhàn)演練前安全意識(shí)專(zhuān)項(xiàng)強(qiáng)化
攻防演練正式開(kāi)始前,,攻防演練保障項(xiàng)目組需要進(jìn)行戰(zhàn)前宣貫,針對(duì)前期安全意識(shí)培訓(xùn)及釣魚(yú)攻擊演練中發(fā)現(xiàn)的問(wèn)題進(jìn)行同步,,重點(diǎn)關(guān)注IT技術(shù)人員及演練中被釣魚(yú)成功人員,,對(duì)攻擊隊(duì)常用社工手段及防守方法突出強(qiáng)調(diào),通過(guò)實(shí)戰(zhàn)案例的介紹使防守方人員對(duì)攻防演習(xí)中的社工攻擊有更直觀的認(rèn)識(shí),,爭(zhēng)取最大程度降低人員的隱患,。
04 保障階段
企業(yè)應(yīng)建立以情報(bào)驅(qū)動(dòng)為核心,協(xié)同研判分析、溯源反制,、應(yīng)急響應(yīng),、產(chǎn)品支持等安全防護(hù)能力,以點(diǎn)帶面,,實(shí)現(xiàn)“一點(diǎn)發(fā)現(xiàn),,全面風(fēng)險(xiǎn)閉環(huán)”的聯(lián)防聯(lián)控機(jī)制,構(gòu)建云地一體化安全保障體系,,持續(xù)有效地開(kāi)展網(wǎng)絡(luò)攻防演練保障工作,。
綠盟科技安全中臺(tái)支撐全過(guò)程
本地安全監(jiān)控:包括對(duì)外網(wǎng)資產(chǎn)(主機(jī)資產(chǎn)和網(wǎng)站安全)監(jiān)控,以及安全情報(bào),、安全設(shè)備,、安全行為的監(jiān)控,并將每日的監(jiān)控記錄進(jìn)行整理匯總,。
云端安全監(jiān)控:對(duì)網(wǎng)站提供完整性檢測(cè),、可用性檢測(cè)。完整性檢測(cè)能夠甄別出防護(hù)站點(diǎn)頁(yè)面是否發(fā)生了惡意篡改,,是否被掛惡意木馬,,是否被嵌入敏感內(nèi)容等信息;可用性檢測(cè)能夠幫助防守方了解站點(diǎn)此時(shí)的通斷狀況,,延遲狀況,。
威脅分析研判:多渠道匯集安全通告,線(xiàn)下結(jié)合線(xiàn)上,、現(xiàn)場(chǎng)結(jié)合中臺(tái),、情報(bào)結(jié)合狩獵,疊加多級(jí)網(wǎng)絡(luò)安全專(zhuān)家研判體系,,實(shí)現(xiàn)安全風(fēng)險(xiǎn)預(yù)警通告,、安全事件應(yīng)急通告、可疑安全行為通告迅速研判定性,。
應(yīng)急響應(yīng)處置:應(yīng)急響應(yīng)預(yù)設(shè)流程全面高效啟動(dòng),,應(yīng)急小組有條不紊分級(jí)分類(lèi)處置安全事件,,節(jié)奏化完成攻擊阻斷,、取證備份、故障恢復(fù),、總結(jié)評(píng)估,,雙向聯(lián)動(dòng)全國(guó)跨地理、跨行業(yè)多維情報(bào)體系,,多區(qū)域?qū)崟r(shí)下發(fā),,技術(shù)策略實(shí)時(shí)滾動(dòng)升級(jí)。
威脅狩獵溯源:一體化融合安全威脅檢測(cè)設(shè)備,、安全威脅分析平臺(tái),、安全專(zhuān)家服務(wù),,整合平臺(tái)監(jiān)控、分析研判,、中臺(tái)應(yīng)急能力,,多技術(shù)手段溯源攻擊方特性,遏制攻擊擴(kuò)散,。鎖定攻擊源,,針對(duì)性設(shè)計(jì)反制策略,多重誘捕,,由點(diǎn)帶面形成團(tuán)隊(duì)威懾力,。
高質(zhì)量事件上報(bào):融合中臺(tái)實(shí)時(shí)情報(bào),持續(xù)強(qiáng)化一線(xiàn)作戰(zhàn)研判水平與上報(bào)質(zhì)量,,分角色,、分職能、分事件等級(jí)實(shí)現(xiàn)攻擊取證,、分析,、研判過(guò)程記錄,全面把控上報(bào)品質(zhì)與上報(bào)效率,,結(jié)合體系化得分點(diǎn)分析,,確保防守團(tuán)隊(duì)取得有效防守成果。
05 總結(jié)階段
實(shí)戰(zhàn)化場(chǎng)景下網(wǎng)絡(luò)攻防演練的目的是為了發(fā)現(xiàn)企業(yè)當(dāng)前防護(hù)體系中存在的不足,,找出解決的方案,。因此在演練結(jié)束之后,必須及時(shí)進(jìn)行復(fù)盤(pán)總結(jié),,以期全面改進(jìn),。在總結(jié)階段,需要做三項(xiàng)工作:復(fù)盤(pán)總結(jié),、報(bào)告輸出和安全規(guī)劃,。
1)復(fù)盤(pán)總結(jié)
安全事件匯總分析
攻防演練防護(hù)結(jié)束后,攻防演練防護(hù)項(xiàng)目組將對(duì)演練期間的數(shù)據(jù)進(jìn)行匯總,,并從攻擊事件,、風(fēng)險(xiǎn)等級(jí)、攻擊路徑和漏洞利用四個(gè)維度展開(kāi)分析,。
缺陷問(wèn)題輸出閉環(huán)
攻防演練防護(hù)項(xiàng)目組將針對(duì)本次保障前期的待處理事件和中期發(fā)生的安全事件進(jìn)行梳理,,根據(jù)安全問(wèn)題風(fēng)險(xiǎn)程度由高到低設(shè)置處理優(yōu)先級(jí),繪制輸出安全事件跟蹤表,,內(nèi)容包括但不限于:?jiǎn)栴}分類(lèi),、影響范圍、問(wèn)題描述、發(fā)現(xiàn)時(shí)間,、處置完成時(shí)間,、主要跟進(jìn)人、問(wèn)題進(jìn)展,、是否閉環(huán),、事件優(yōu)先級(jí)等。
保障經(jīng)驗(yàn)總結(jié)
攻防演習(xí)階段結(jié)束后,,開(kāi)展攻防演習(xí)總結(jié)會(huì)議,,整理攻防演習(xí)整體數(shù)據(jù)并上報(bào),分析缺陷,,提出改正建議,,總結(jié)經(jīng)驗(yàn),編制網(wǎng)絡(luò)安全監(jiān)測(cè)和應(yīng)急保障工作指導(dǎo)手冊(cè),。
2)報(bào)告輸出
在保障結(jié)束后,,將組織攻防演練防護(hù)參與人員進(jìn)行總結(jié)分析,并于總結(jié)會(huì)議后,,輸出攻防演練總結(jié)報(bào)告,,遞交至攻防演練防護(hù)組、總指揮進(jìn)行初步審閱及最終審閱,。
3)安全規(guī)劃
通過(guò)本次攻防演練活動(dòng)發(fā)現(xiàn)的問(wèn)題,,結(jié)合當(dāng)前安全運(yùn)營(yíng)現(xiàn)狀,有針對(duì)性地設(shè)計(jì)一體化安全運(yùn)營(yíng)方案,,也就是需要改進(jìn)的方向,。
網(wǎng)絡(luò)安全攻防演練,既是檢查網(wǎng)絡(luò)安全建設(shè)成果的試金石,,也是指導(dǎo)開(kāi)展下一步建設(shè)的指路燈,。通過(guò)攻防演練,企業(yè)應(yīng)以體系化建設(shè)為指引,,構(gòu)建“全場(chǎng)景,、可信任、實(shí)戰(zhàn)化”的安全運(yùn)營(yíng)能力,,實(shí)現(xiàn)“全面防護(hù),,智能分析,自動(dòng)響應(yīng)”的防護(hù)效果,,構(gòu)建網(wǎng)絡(luò)安全保障體系,、提升網(wǎng)絡(luò)安全防護(hù)能力。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
