在实战环境中的防护工作,无论是面对常态化的一般网络攻击, 还是面对有组织、有规模的高级攻击,对于防护单位而言,都是对其 网络安全防御体系的直接挑战。在实战环境中,红队防守需要按照备 战、临战、实战和总结四个阶段来开展安全防护工作,采取信息清 理、纵深防御、协同作战、溯源反制等防守策略以及防钓鱼、防信息 泄露等防护手段,全面确保有效构建红队防御体系。
在实战环境下,无论是常态化的一般网络攻击,还是有组织、有 规模的高级攻击,对于防护单位而言,都是对其网络安全防御体系的 直接挑战。红队需要按照备战、临战、实战和总结4个阶段来开展安全 防护工作。
在管理方面,要建立合理的安全组织架构,明确工作职责,建立 具体的工作小组,同时结合工作小组的责任和内容,有针对性地制定 工作计划、技术方案、相关方协同机制及工作内容,责任到人、明确 到位,按照工作计划进行进度和质量把控,确保管理工作落实到位, 技术工作有效执行。
(1)备战阶段组织架构及职责分工 备战阶段组织架构如图6-1所示。
图6-1 备战阶段组织架构图
1)领导小组。为确保备战阶段的工作能顺利开展,应由最高级别 领导担任组长(局长、主任或集团副总以上级别),由高层领导组成 领导小组,统一领导、指挥和协调备战阶段的准备工作,定期听取备 战指挥组的工作汇报。领导小组的主要职责如下。
确认各工作组职责并将执行权力赋予备战指挥组。 - 确定战时目标(战略目标:零失分、保障排名等)。 - 审核并确定防护范围(是否包含下辖单位及子公司等)。 - 参与项目启动会。
提供经费及人员保障。
做出重大事件决策。
确定考核机制。
定期听取备战指挥组的工作汇报并做出批示(红线)。
2)备战指挥组。建议由负责演练防守的主责部门及其他协同部门 领导组成备战指挥组,具体组织安全自查与整改、防护与监测设备部 署、人员能力与意识提升、应急预案制定以及外协单位联络等战前准 备工作,与监管单位建立长效沟通机制,保持随时联络。备战指挥组 的主要职责如下。
向领导小组说明战时工作的背景、重要性及影响,引起领导重 视。
建立战时组织架构,明确各组工作职责。
结合现状评估和攻防演练评估得出防护风险后,提出战时目标 及防护范围建议,并提交领导小组审核。
建立工作机制,协调各工作组开展相关工作,并明确考核标
准。
编写工作方案及计划。
根据战时战略目标、工作方案核算资源投入(人员需求、设备 需求、场地需求等)情况。
组织战时工作的宣贯和培训。 - 监督、推动各工作组按计划落实工作。 - 总结问题并协调解决。 - 定期向领导小组汇报工作进展。
与战时组织机构保持良好沟通,及时获取相关信息。
3)网络工作组。一般由网络主管部门及其运维管理人员组成,负 责网络架构及网络设备(路由、交换、负载均衡、防火墙等)的梳 理、加固,协助安全工作组部署新增设备等网络相关工作。
资产梳理:
网络架构、出口IP、域名梳理; - 网络设备资产及对应供应商梳理; - 集权系统(如网管系统)梳理。 - 网络架构梳理和优化: - 互联网区域和内网重要业务区域的业务路径排查与梳理; - 外连单位接入路径排查与梳理; - 网络设备运维访问路径梳理。
整改加固:
网络设备互联网暴露整改; - 内网中无用网络资产清理;
加密流量的调整; - 协助安全防护、监控设备部署; - 网络设备特权账号及基线检查(弱口令)排查整改; - 运维终端、跳板机自身风险检查与加固; - 演练作战室专用网络搭建; - 其他网络相关问题整改与加固。
4)安全工作组。一般由参演单位的安全运维团队和安全公司项目 组的部分成员组成,负责安全设备风险整改、新增安全设备部署等安 全防护相关工作。
资产梳理: - 安全设备资产及对应供应商梳理; - 集权系统梳理(如堡垒机、安全监控系统); - 口令安全专项梳理。
网络架构梳理优化: - 安全设备运维访问路径梳理; - 重要系统访问路径梳理。
整改加固: - 安全监控、防护、诱捕类设备部署与加固; - 运维终端、跳板机自身风险检查与加固; - 安全防护类设备可用性检查; - 安全设备基线检查与加固; - 安全设备安全加固;
安全策略调优; - 账号和口令安全检查; - VPN加固或下线; - 集权系统管控加固、策略优化; - 协助各工作组开展安全检查与加固。
5)基础环境工作组。一般由基础环境组、云服务商组成,负责应 用的基础环境(操作系统、中间件、云、容器)的资产梳理、风险识 别及整改等相关工作。
资产梳理:
配合应用系统进行资产梳理; - 集权系统(如域控、云管平台、集群管理系统)梳理; - 云资产梳理。
整改加固:
操作系统加固;
特权账号梳理整改; - 操作系统检查、整改、加固,非必要服务及服务器关停下线;
集权系统安全检查与加固; - 运维终端、跳板机自身风险检查与加固。
6)应用系统工作组。一般由应用系统开发商、运维商组成,负责 应用系统资产梳理、风险识别及整改等相关工作。
资产梳理:
应用系统资产梳理,包括但不限于开发框架、组件、责任人、 系统重要性梳理;
集权系统(如SSO、认证系统、4A - 供应商梳理; - 非重要系统关停下线梳理; - 管理后台互联网开放情况梳理; - 重要系统(含靶标系统)关联应用梳理。 - 网络架构梳理和优化: - 网络访问路径梳理; - 运维访问路径梳理。
整改加固: - 弱口令、通用口令、默认口令整改; - 重要系统、集权系统基线检查; - 安全自查和整改; - 配合安装主机防护软件;
系统)梳理;
删除安全工作组发现的泄露的敏感信息。
7)协调联络工作组。一般由参演单位及其集成商人员组成,负责 下级单位、供应商等的协调联络工作。
协助演练指挥组建立与下级单位相关的工作机制,向下级单位 下达相关工作指令,向备战指挥组反馈执行情况。
协助演练指挥组建立与供应商相关的工作机制,向供应商下达 安全管理和技术防护的相关工作要求,协调供应商提供人员、设备等 方面的支持。
与业务连接单位建立协同机制,情报共享,进行联防联控。 - 进行技术培训,包括战时防守的工作重点、具体工作内容、防
守流程等。
(2)实战阶段组织架构及职责分工 实战阶段组织架构如图6-2所示。
图6-2 实战阶段组织架构图
1)领导小组。为加强攻防演练的组织领导,确保攻防演练效果, 应成立演练领导小组,统一领导和指挥攻防演练工作。领导小组的主 要职责如下。
确认演练工作组职责并赋予指挥组执行权力。 - 参加战时实战阶段启动会,鼓舞士气。 - 做出重大安全事件决策。
进行危机公关。
2)演练指挥组。领导小组下设演练指挥组,组织和部署攻防演练 的工作任务,具体管理和协调攻防演练工作,向上级单位、战时指挥 部汇报工作。演练指挥组的主要职责如下。
工作日报。
3)监测组。由网络、安全、系统、应用等多个监控点的人员组 成,实时监控可疑的攻击行为,并进行初步分析;监测组人员应具备 初步渗透的能力。
4)研判分析组。对疑似入侵行为进行研判分析。
5)应急处置组。对攻击行为及时封堵、处置,对被攻击资产进行 下线、加固。
6)溯源反制组。进行攻击对象溯源,对攻击者进行反制,协助编 制防守报告。
7)情报组。与情报协同单位、各供应商(设备、应用、服务)搜 集攻击线索、漏洞情报,及时上报,做到情报共享。
8)保障组。为基础环境和设施可用性提供技术保障,为作战现场 所需生活物资提供后勤保障。
9)协调联络组。负责下级单位、外连单位、兄弟及友邻单位的协 调联络工作。
(3)建立工作沟通机制与考核机制
此外,还要建立有效的工作沟通机制,通过安全可信的即时通信 工具建立实战工作指挥群,及时发布工作通知,共享信息数据,了解 工作情况,实现快速、有效的工作沟通和信息传递。
建立考核机制的要求如下。
1)与参演单位原有考核机制相关联,如要求参演单位在绩效考核 上给予一定的权限,对准备工作执行不力的单位进行敲打。
2)制定考核红线,如被通过弱口令、钓鱼等方式打穿,则KPI考 核为0,并通报批评。
(4)对下级单位的工作要求 1)提出防守要求(必须)。
开展资产梳理,形成《互联网资产调研表》;整理可在实战阶 段下线的资产,在实战演练前进行下线处理,并将未下线资产向防守 主单位报备。
开展安全检查与加固。 - 提供《检查与加固手册》,对重要系统逐项开展检查与加固工
作。
对非重要系统进行实战阶段的临时下线处理。 - 定期汇报工作成果。 - 每周定期开例会汇报工作进展。 - 自我组织防守。
依据实战开展时间自我组织战时防守工作。 - 实战阶段联防要求。 - 防守情况:每日开例会汇报攻击和防守情况,有紧急情况随时
汇报。
2)要求下级单位组建防守队伍,通过周例会的形式监督防守准备 工作完成情况。
3)进行技术检查:针对重点业务以全面检查的形式进行风险识 别,提出加固建议。
4)进行技术培训:内容包括战时防守的工作重点、具体工作内 容、防守流程等。
(5)对供应商的工作要求 1)人员支持:为现场支持、远程保障提供技术人员。 2)安全加固:做好自身设备漏洞收集及安全加固工作。
3)安全管理:做好本单位安全管理工作,禁止未经授权部署与客 户侧应用系统相似的测试系统,禁止留存客户侧相关的敏感信息(包 括但不限于账号和密码信息、配置信息、人员信息)。
(6)业务连接单位工作机制 1)防护准备工作联动。
2)情报共享:通过联络员随时共享情报内容(包括但不限于漏洞 情报、得失分情报、攻击者情报)。
(7)对公有云单位的工作要求
1)时刻对参演单位托管的业务系统进行监测,防范外部机构或人 员对业务系统的攻击行为。
2)对来自同一公有云内部其他云租户的异常流量进行阻断。