在信息化社会中,计算机和网络在军事、政治、金融、商业、人们的生活和工作等方面的应用越来越广泛,社会对计算机和网络的依赖越来越大。如果网络安全得不到保障,这将给生产、经营、个人资产、个人隐私等方面带来严重损害,甚至会使金融安全、国防安全以及国家安全面临非常严重的危险。“网络攻防演练”随之也应运而生。
网络攻防演练也具有重大意义,旨在检验单位网络和信息基础设施安全防护、应急处置和指挥调度能力,提高信息系统的综合防御能力。通过实战演习,将应急演练和实战演习常态化、制度化,为重点保护单位提供一个检验网络和信息基础设施安全防护、应急处置和指挥调度的渠道,切实持续提升网络安全综合防御水平。
以下我就根据个人经验浅谈下针对网络攻防演练需要做好哪些准备工作,如有描述不准确和不全面的地方请大家见谅和指导。
作者张涛涛,现任中国电信云南分公司企业信息化部安全管理员,从事IT工作8年,负责部门的网络和信息安全工作,参与安全领域的规划和项目落地工作,将继续在安全领域辛勤耕耘。
一、梳理资产,避免前清后乱,提升资产管理能力,为攻防演练奠定坚实基础
资产的梳理和管理是做好网络安全工作的基础,如果资产都不清晰安全就无从谈起,更无从防护。就像一个家庭,你只有清楚自己的家底你才好进行保护,钞票、金银首饰担心被偷所以放卧室的保险柜,酸奶、水果、零食放餐厅,桌椅板凳很安全所以放客厅。网络安全亦是如此,摸清家底就是为了将资产按照重要程度进行分类,然后按照不同的安全级别进行防护。
1、攻防演练前做好资产的全生命周期管控
要做好“资产接入管理”、“资产变更管理”、“资产监控管理”、“资产退网管理”的全流程闭环,进行严格的IT化管控,避免出现前清后乱的局面,为攻防演练提供精确的资产信息基础台账表。
2、攻防演练前摸清家底,对资产范围进行排查
- 网站、互联网应用系统、APP、小程序、公总号、应用接口等系统
- 互联网出口域名、IP开放端口、服务协议等
- 互联网平台中涉及的敏感信息
- 通过VPN、专项等外联机构
- 测试环境网络发布系统
3、攻防演练前梳理互联网系统的访问策略并优化
- 梳理出无必要开放互联网的系统进行断外网
- 梳理出每套互联网系统的外网地址和对外端口映射关系,将长期不使用和无流量记录的端口进行关停
二、严格管控安全接入,守住网络“大门”
俗话说“一夫当关,万夫莫开”,对于安全亦是如此,要做到入口最小化,对接入方进行严格校验审查,在入口就将存在安全问题的接入全部拦截,防范于未然。
1、攻防演练前做好统一接入,完成身份管理、认证管理、授权管理、审计管理
- 通过4A和堡垒机做好WEB系统、APP、运维主机和数据库的统一接入
- 通过终端管控平台和网络设备策略做好个人终端统一接入
- 通过改造实现APP登陆后自动调动VPN切入内网登陆,实现APP走VPN线条的统一接入
2、攻防演练前做好接入账号的清理工作,完成账号的状态清理、权限清理、使用人清理
- 做好主机账号的清理
- 做好中间件和其他组件账号的清理
- 做好数据库账号的清理
- 做好应用系统账号的清理
- 做好账号弱口令的扫描清理
3、攻防演练前做好网络设备的安全接入策略限制和优化
- 收缩外部访问互联网系统的范围。国外禁止访问,省外建议不访问或者配置固定地址进行访问,省内根据情况开放访问
- 压缩互联网出入口,最小化出口数,以便对接入访问的流量汇聚点进行监控
4、攻防演练前做好接口调用关系的清理
- 系统间接口调用的关系较为复杂,需做好数据库接口关系、中间件接口关系、DBLINK关系、OGG接口关系、DSG接口关系等的清理工作,才能做到万无一失。
- 在接口处需进行接口日志审计,防止敏感数据泄露
三、做好安全纵深防护,为攻防演练保驾护航
提升安全纵深防护能力是攻防演练的一大核心,要做到“进不来”、“看不懂”、“拿不走”、“出不去”。
1、攻防演练前做好安全域的访问控制
对网络安全域进行划分,分类分级防护,按终端域、互联网接入域、开发测试域、接口域、管理域、生产域等维度实现网络安全域分域控制和边界隔离。
2、攻防演练前做好攻击防御软件部署
- 入口处可以通过WAF、IPS、IDS、防火墙、抗ddos等防护
- 系统级可以通过系统WAF、WEB动态防护系统、恶意代码防护系统、防篡改系统等防护
- 出口处可以部署DLP数据防泄漏系统
- 安全域可进行欺骗性防御,适当部署一些蜜罐,及时诱捕入侵行为;或者加入一些AI和UEBA等基于攻击模型的检查手段作为补充
3、攻防演练前做好恶意病毒软件的检测
- 攻防演练前进行网络侧的蠕虫检测、木马行为检测、病毒检测、僵尸网络检测
- 攻防演练前进行终端病毒扫描
4、攻防演练前做好现有资产的安全扫描和渗透工作
- 对所有资产进行安全漏洞扫描,完成高中危漏洞的加固修复
- 对所有设备进行安全基线扫描,完成基线加固
- 对核心系统尤其是互联网系统进行定期渗透测试,将发现的漏洞及时整改修复
四、做好安全分析,提升系统的风险感知和智能分析能力
提升安全分析能力可以更好的对攻击行为进行分析,及时对攻击源进行封堵,也可以做到攻击溯源,为下一步的防御提供依据。
1、攻防演练前部署“安全感知平台”“WEB动态防护系统”等支持日志分析的系统,结合攻击日志做好封堵攻击源和溯源攻击路径的工作
2、对安全日志进行采集汇聚,通过建模进行合理预测,对预测结果进行分析决策,如果确认是真实攻击的话可以执行相关安全防护操作
五、做好演练各阶段的工作安排
“磨刀不误砍柴工”,攻防演练亦是如此,只有在攻防演练开始前做好各阶段的准备工作,才有在演练中立于不败之地的信心。在进行攻防演练之前进行单位的安全宣贯工作也是极为重要,首先要获得领导的支持,方可调动整个单位的力量,全员参与攻防演练,届时攻防演练期间合理的工作分工又将成为决定“攻防演练行动”成败的关键。
- 备战阶段做好团队组建、减少攻击面、全面隐患自查、安全加固、策略优化、防护措施落地
- 临战阶段做好安全宣贯培训、安全演练总结、开始安全监控
- 攻防阶段做好现场值守、威胁监测、分析研判、情报共享、协同处置、应急响应、防护策略优化
- 总结阶段做好知识沉淀、编写总结报告、攻击还原分析、应急防护优化
顺便提一下,在攻防演练结束后也需及时做好复盘工作,对攻击方的“攻击成果”、“攻击行为”、“攻击时序”、“攻击武器”、“高级手段”等进行复盘,对防守方的“攻击面情况”、“防护薄弱点”、“应急处置薄弱点”、“解决方案与措施”等进行复盘,只有知己知彼才能百战不殆。
通过攻防演练总结经验教训,把经验固化到日常工作流程中,形成常态化机制,进一步优化完善完成管理体系,提升企业自身的安全管理水平。通过安全实战锻炼,进一步提升自身安全团队的攻防能力。