主要工作
包括演习前 安全检查、整改与加固
,演习期间进行网络安全监测、预警、分 析、验证、处置
, 后期复盘总结现有防护工作中的不足之处
,为 后续常态化的网络安全防护措施提供优化依据等。提升管理组织规格、 扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、 提高应急响应速度、增强溯源反制能力、 建立情报收集利用机制
等, 提升整体防守能力。目标系统运营单位、攻防专家、安 全厂商、 软件开发商、网络运维队伍、云提供商
等多方组成的防 守队伍。团队 | 职责 |
---|---|
目标系统运营单位 | 负责红队整体的指挥、组织和协调。 |
安全运营团队 | 负责整体防护和攻击监控工作。 |
攻防专家 | 负责对安全监控中发现的可疑攻击进行分析研判, 指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系 列工作。 |
安全厂商 | 负责对自身产品的可用性、可靠性和防护监控策 略是否合理进行调整。 |
软件开发商 | 负责对自身系统安全加固、监控和配合攻防专 家对发现的安全问题进行整改。 |
网络运维队伍 | 负责配合安全专家对网络架构安全、出口整 体优化、网络监控、溯源等工作。 |
云提供商(如有) | 负责对自身云系统安全加固, 以及对云 上系统的安全性进行监控,同时协助攻防专家对发现的问题进行 整改。 |
其他 | 某些情况下还会有其他组成人员,需要根据实际情况 具体分配工作。 |
特别强调,作为红队,了解对手(蓝队) 的情况非常重要, 正所谓知彼才能知己,从攻击者角度出发, 了解攻击者的思路与 打法, 了解攻击者思维,并结合本单位实际网络环境、运营管理 情况, 制定相应的技术防御和响应机制, 才能在防守过程中争取 到更多的主动权。
时间线 | 演变 |
---|---|
2016 年和 2017 年 | 由于监管单位的推动, 部分单位开始逐 步参与监管单位组织的实战攻防演习,这个阶段各单位主要是作 为防守方参加演习。 |
2018 年和 2019 年 | 实战攻防演习不论 是从单场演习的参演单位数量、攻击队伍数量, 还是攻守双方的 技术能力等方面都迅速增强。 实战攻防演习已经成为公认的检验 各单位网络安全建设水平和安全防护能力的重要手段, 各单位也 从以往单纯的参与监管单位组织的演习, 逐渐演变成 自行组织内 部演习 或联合组织行业演习。 |
2020 年 | 随着实战攻防演习中真刀实枪的不断对抗和 磨砺, 攻守双方在相互较量中都取得了快速发展和进步, 迫于攻 击队技战法迅速发展带来的压力,防守方也发生了很大的变化。 |
2020 年之前的实战攻防演习,主要是
对于大部分参加过实战攻防演习的单位来说, 对于自身的安 全问题和短板已经有了充分认识, 也都开展了安全建设整改工作
。 对于这些单位, 急需的是通过实战攻防演习检验
更多重要系统的 安全性, 发现更全面的安全风险。
因此, 2020 年开始, 在组织攻防演习时, 都会逐渐降低演习中 靶标系统的权重,鼓励攻击更多的单位、系统, 发现更多的问题和风险
。同样, 防守队的防守重心也就从靶标系统为主, 扩大到 所有重要业务系统、所有重要设备和资产、所有的相关上下级单 位
。
随着近几年攻防技术的快速发展, 实战攻防演习中各种攻击 手段层出不穷、花样百出, 各单位在演习中切实感受到了攻击队 带来的严重威胁以及防守的巨大压力, 防守队的监测和防护体系 面临巨大挑战。防守队对于在攻防对抗中确实能够发挥重大作用 的安全产品趋之若鹜,投入大量资金来采购和部署。
钓鱼攻击
、供应链攻击
等还没有有效的防护 产品, 不过随着在实战中快速打磨, 相应产品也会迅速成熟和广 泛使用。要说变化, 2020 年防守队最大的变化应该是从被动挨打
迅速转变为正面对抗、择机反制
。
封锁 IP、下线系统、修复漏洞
, 之后接着等待 下一轮攻击。敌在暗、我在明,只能被动挨打
。溯源和反制能力
, 跟攻击队展开了正面对抗, 也取得了很多战果。能力 | 介绍 |
---|---|
快速响应 | 实战中讲究兵贵神速, 在发现攻击时, 只有最快速地确认 攻击方式、定位受害主机、采取处置措施, 才能够有效 阻止攻击,并为下一步的溯源和反制争取时间。 |
准确溯源 | 俗话说知己知彼百战百胜, 要想和攻击队正面对 抗,首先要找到攻击队的位置 , 并想办法获取攻击队的足够信息, 才能有针对性 的制定反制策略开展反击。 |
精准反制 | 反制其实就是防守队发起的攻击。防守队在准确 溯源的基础上, 需要攻击经验丰富的人员才能够有效精确的实施反制 。当然, 也有些单位会利用蜜罐等产品埋好陷阱, 等着攻击 队跳进来之后,利用陷阱中的木马等快速攻陷攻击队系统。 |
在实战环境下的防护工作, 无论是面对常态化的一般网络攻 击,还是面对有组织、有规模的高级攻击,对于防护单位而言, 都是对其网络安全防御体系的直接挑战。
在实战环境中,红队需 要按照备战
、 临战
、 实战
和战后
四个阶段来开展安全防护工作。
在实战攻防工作开始之前, 首先应当充分地了解自身安全防 护状况与存在的不足, 从管理组织架构、技术防护措施、安全运维处置等各方面能进行安全评估, 确定自身的安全防护能力和工 作协作默契程度, 为后续工作提供能力支撑。 这就是备战阶段的 主要工作
在实战攻防环境中, 我们往往会面临技术、 管理和运营等多 方面限制。
限制 | 介绍 |
---|---|
技术方面 | 基础能力薄弱、安全策略不当和安全措施 不完善、产品部署位置不当、 防护产品自身安全有问题、监控手 段不熟悉、监控手段单一等问题普遍存在; |
管理方面 | 制度缺失, 职责不明, 应急响应机制不完善等问题也很常见; |
运营方面 | 资 产梳理不清晰、 业务架构不了解、 漏洞整改不彻底、安全监测分 析与处置能力不足等问题随处可见。 |
这些不足往往会导致整体防 护能力存在短板,对安全事件的监测、预警、分析和处置效率低 下。
针对上述情况,红队在演习之前, 需要从以下几个方面进行 准备与改进。
改进 | 方法 |
---|---|
技术方面 | 为了及时发现安全隐患和薄弱环节, 需要有针对性地开展自 查工作,并进行安全整改加固,内容包括系统资产梳理、 应用组 件梳理、交互协议梳理、 安全基线检查、网络安全策略检查、 Web 安全检测、关键网络安全风险检查、安全措施梳理和完善、 公开 情报收集、 应急预案完善与演练等。 为了检验监控措施的有效性, 还需对安全产品自身的安全性、 部署位置、覆盖面进行评估; 为了更快的发现问题, 尽量部署全 流量威胁监测、网络分析系统、蜜罐、主机监测等安全防护设备, 提高监控工作的有效性、时效性、准确性; 监测人员还需对安全 产品熟练掌握、优化安全产品规则。 |
管理方面 | 一是建立合理的安全组织架构, 明确工作职责, 建立具体的 工作小组, 同时结合工作小组的责任和内容, 有针对性地制定工 作计划、技术方案、相关方协同机制及工作内容, 责任到人、明 确到位, 按照工作实施计划进行进度和质量把控, 确保管理工作 落实到位,技术工作有效执行。 二是建立有效的工作沟通机制, 通过安全可信的即时通讯工 具建立实战工作指挥群, 及时发布工作通知, 共享信息数据, 了 解工作情况,实现快速、有效的工作沟通和信息传递。 |
运营方面 | 成立防护工作组并明确工作职责,责任到人, 开展并落实技 术检查、整改和安全监测、预警、分析、验证和处置等运营工作, 加强安全技术防护能力。完善安全监测、预警和分析措施,增强 监测手段多元化, 建立完善的安全事件应急处置机构和可落地的 流程机制,提高事件的处置效率。 |
同时, 所有的防护工作包括预警、分析、验证、处置和后续 的整改加固都必须以监测发现安全威胁、漏洞隐患
为前提才能开展。其中, 全流量安全威胁监测分析系统
是防护工作的重要关键 节点,并以此为核心,有效地开展相关防护工作。
方面 | 介绍 |
---|---|
召开战前动员会 | 战前动员会主要进行三部分的工作: 一是实战演习开始前, 通过召开现场战前动员会的形式, 进行战前动员, 统一思想, 统 一战术、提高斗志,达成共识。 二是强调防护工作中注意的事项, 攻击手段多种多样, 为防止防守人员被攻击利用, 要严格遵守记 录红线、 做到令行禁止。 三是提高大家的攻防意识, 对攻击过程 进行剖析, 对常见的攻击手段部署针对性的防守要点, 做到有的 放矢。 |
贯彻工作流程 | 贯彻工作流程的目的 一是对参与防守工作的人员进行任务 分工, 说明工作职责、各司其职。 二是固化每日工作流程、各岗 位协同配合, 做好攻击事件前期的监测、中期的研判和后期的处 置工作。 三是贯彻制定的工作排班计划、交接班要求等。通过工 作流程做到防守工作有序有效,提升防守的效果。 |
组织战术培训 | 战术培训会主要工作内容有两项: 一是由安全专家分享其他 单位的网络安全实战攻防演练相关经验, 协助防守队制定不同攻 击场景的防守战术。 二是安全专家对演练评分规则的详细解读, 提高参演人员对演练的认知。 |
攻守双方在实战阶段正式展开全面对抗。防护方须依据备战 明确的组织和职责,集中精力和兵力,做到监测及时、分析准确、 处置高效,力求系统不破,数据不失。
在实战阶段,从技术角度总结应重点做好以下四点。
技术角度 | 介绍 |
---|---|
全面开展安全监测预警 | 实战阶段监测人员需具备基本的安全数据分析能力, 根据监 测数据, 情报信息能基本判断攻击有效性, 如存疑应立即协同专 业分析人员协助分析, 确保监控可以实时发现, 不漏报, 为处置 工作提供准确信息,同时监测工作应覆盖整个攻击队攻击时间。 |
全局性分析研判工作 | 在实战防护中, 分析研判应作为核心环节, 分析研判人员要 具备攻防技术能力, 熟悉网络和业务。分析研判人员作为整个防 护工作的大脑, 应充分发挥专家和指挥棒的作用。向前, 对监测 人员发现的攻击预警、威胁情报进行分析确认, 向后, 指导协助 事件处置人员对确认的攻击进行处置。 |
提高事件处置效率效果 | 确定攻击时间成功后,最重要的是在最短时间内采取技术手段遏制攻击、防止蔓延。事件处置环节, 应联合网络、主机、应 用和安全等多个岗位人员协同处置。 |
追踪溯源,全面反制 | 在发现攻击事件后, 防守队伍可根据安全防护设备、安全监 测设备产生的告警信息、样本信息等, 结合各种情报系统追踪溯 源。条件允许时, 可通过部署诱捕系统反制攻击队攻击终端, 做 到追踪溯源、防守反制。 |
演习的结束也是防护工作改进的开始。
在实战工作完成后应 进行充分、全面复盘分析, 总结经验、教训。
有两方面工作需要 开展。
一方面:
通过复盘会找出攻防演习备战阶段、临战阶段、实战阶 段中的工作方案、组织管理、工作启动会、系统资产梳理、 安全 自查及优化、基础安全监测与防护设备的部署、安全意识、应急 预案及演练、注意事项、队伍协同、情报共享和使用
等过程还存 在哪些纰漏和不足,输出技术和管理两方面问题整改措施计划。
同时, 各单位还需立即总结攻防演习防守策略, 如情报技术、反 制战术、防守作战指挥策略等, 为演习队伍在下一次保障提供防守技术指导
。
另一方面
二是网络攻防演练活动不是一次性保障活动, 其最终目的
是 单位通过演习发现网络安全建设存在的不足
, 改进和提升整体安 全防御能力
, 通过相对独立的安全运营思路, 以数据为中心建立 整体网络安全防护体系, 进而发挥出最有效的安全能力。
补充
最后, 单位参与和自我组织网络攻防演练活动, 充分积累演 练活动经验, 锻炼安全保障队伍, 不断完善整体网络安全体系和 持续提高安全运营能力。
有始有终
《诗经》有言:
“靡不有初,鲜克有终。”
做事情善始善终,
不仅是对自己的负责,
也是对他人的负责。
当你想要懈怠,
提醒自己不要轻言放弃。
多一分坚持,
就会少一分遗憾。