对抗。攻击队只需要撕开一个点, 就会有所“收获”,甚至可以通 过攻击一个点,拿下一座“城池”。真实的网络攻击更 加隐蔽而强大。传统的安全思路已越来越难以适应安全保障能力的要求。体系化的规划和建设角度, 建立纵深防御体系架构,整体提升面向实战的防护能力。信息化“三同步”(同 步规划、同步建设、同步运行),建立起能够具备实战防护能力、 有效应对高级威胁,持续迭代演进提升的安全防御体系。延续信息收集、 攻击探测、 提权、持久化的一个个循环过程。探测发 现环境漏洞, 并尝试绕过现有的防御体系, 成功的入侵到网络环 境中。动态的响应处置, 把攻击队阻挡在边界之外。多样化 的防护能力,例如封堵 IP、拦截具有漏洞的 URL 的组页面访问 等策略。安全的本质是对抗, 对抗两端是人与人之间的较量。安全运营团队, 利用现有的防御体系和安 全设备, 持续地检测内部的安全事件告警与异常行为, 通过安全 事件告警和异常行为分析, 发现已进入到内部的攻击队, 并对其 采取安全措施,压缩攻击队停留在内部的时间。主动防御能力主要表现为构建安全运营的闭环, 包括以下几 个方面。
1、在漏洞的运营方面
形成持续的评估发现、风险分析、加固 处置的闭环, 减少内部的受攻击面, 提升网络环境的内生安全。
2、在安全事事件运营方面,
对实战中的攻击事件的行为做到 “可发现、可分析、可处置”的闭环管理过程, 实现安全事件的 全生命周期的管理, 压缩攻击队停留在在内部的时间,
降低安全事件的负面影响。
3、在资产运营方面,
逐步建立起配置管理库(CMDB),定期开 展暴露资产发现, 并定期更新配置管理库, 这样才能使安全运营
团队快速定义攻击源和具有漏洞的资产, 通过对未知资产处置 和漏洞加固,减少内外部的受攻击面。
1、如果是检测设备误报, 就会导致被封堵的 IP 并非是真实 的攻击 IP,这会影响到互联网用户的业务。
2、如果攻击 IP 自身是一个 IDC 出口 IP,那么封堵该 IP, 就可能造成 IDC 后端大量用户的业务不可用。
所以, 从常态化安全运行的角度来看, 防守队应当逐步建立基于情报数据的精准防御能力。
具体来说, 主要包括以下几个方 面:
1、防守队需要建设一种
精准防御的响应能力, 在实战攻 防对抗中针对不同的攻击 IP、攻击行为可采用更加细粒度、精准 的防御手段。
结合实战攻防对抗场景, 防守队可以利用威胁情报数据共享 机制, 实现攻击源的精准检测与告警, 促进进精准防御, 减少检测设备误报导致业务部分中断的影响。
此外, 让威胁情报数据共 享在多点安全设备上共同作用, 可以形成多样化、细粒度化的精准防御。例如,在网络流量检测设备、终端检测与响应系统、主 机防护系统等。
2、 为了最小化攻防活动对业务可用性的影响,
需要设计多样化的精准防御手段与措施, 既要延缓攻击, 同时也要实现业 务连续性需要。 例如, 从受害目标系统维度去考虑设计精准防御能力, 围绕不同的目标系统, 采取不同的响应策略。如果是针对非实时业务 系统的攻击, 可以考虑通过防火墙封禁 IP 的模式;但如果是针对实时业务系统的攻击, 就应考虑在 WAF 设备上拦藏具有漏洞的页 面访问请求,从而达到实时业务系统的影响最小化。
3、为了保证实战攻防对抗过程不会大面失陷, 在重要主 机侧应加强主机安全防护, 阻止主机层面的恶意代码运行与异常 进程操作。例如域控服务器、网管服务器、 OA 服务器、邮件服务 器等。
在实战攻防对抗中, 攻击是一个点, 攻击队可以从一个点就 攻破整座“城池”。所以在防守的各个阶段,不应只是安全部门 在孤独的战斗, 而是需要更多的资源、更多的部门协同工作, 才 有可能做好全面的防守工作。
例如,一个攻击队正在对某个具有漏洞的应用系统渗透攻击, 在检测发现层面, 需要安全运营团队的监控分析发现问题, 然后 通知网络部门进行临时封堵攻击 IP,同时要让开发部门对应用 系统的漏洞尽快进行修复。这样才能在最短时间内让攻击事件的 处置形成闭环。
在实战攻防对抗中, 要求防守队一定要建立起联防联控的机 制,分工明确、信息通畅。 唯有如此,才能打好实战攻防演习 的战斗工作。
联防联控的关键点。
1、安全系统协调
通过安全系统的接口实现系统之间的集成, 提升安全系统的 联动, 实现特定安全攻击事件自动化处置, 提高安全事件的响应 处置效率。
2、内部人员协同
内部的安全部门、网络部门、开发部门、业务部门全力配合 实战攻防对抗工作组完成每个阶段的工作, 同时在安全值守阶段全力配合工作组做好安全监控与处置的工作。
3、外部人员协同
实战攻防对抗是一个高频的对抗活动, 在这期间, 需要外部 的专业安全厂商配合工作组一起来防守, 各个厂商之间应依据产品特点和职能分工落实各自工作,并在期间做到信息通讯顺畅、 听从指挥。
4、平台支撑、高效沟通
为了加强内部团队的沟通与协同, 在内部通过指挥平台实现 各部门、各角色之间的流程化、电子化沟通,提升沟通协同效率, 助力联防联控有效运转。
统一的安全规划和 管理,形成一个整体防御能力, 才能有效的开展实战攻防对抗。在整体防御能力上,建议防守队开展如下工作:
1、互联网出口统一管理
条件允许的情况下,应尽量上收分支机构的互联网出入口。 统一管理的好处是集中防御、节约成本、降低风险。同时, 在整体上开展互联网侧的各类风险排查, 包括互联网来知资产、敏感 信息泄露、杜工信息的清理等工作。
2、加强分支机构防御能力
如果无法实现分支机构的互联网出入口统一管理, 则分支机 构需要参考总部的安全体系建设完善其自身的防御能力, 避免成 为安全中的短板。
3、全面统筹、协同防御
在准备阶段,应配合总部开展风险排查;在实战值守阶段, 与防守队一起安全值守, 并配置适当的安全监控人员、安全分析 处置人员,配合防守队做好整体的防御, 配合防守队做好攻击的 应急处置等工作。
<不动怒>
生活中,总会遇到不如意的事。
我们有时会很难控制住自己,
恨不得立刻把心里的不满和委屈都发泄出来。
可等你冷静下来就会发现,
发脾气不仅对你没有任何好处,
反而会让局面变得越来越糟糕。
一个人越软弱,
越爱拿发脾气去逃避问题,
而真正的强者懂得把动怒的时间用来解决问题。