随着网络安全成为国家战略,特别是《网络安全法》的正式颁布实施,网络安全建设正逐步走向实战化、体系化和常态化的新时代。在这一大背景下,攻防演练越来越受到各方重视,成为检验安全体系建设水平,促进安全运营能力提升的常备动作。
在网络安全攻防演练活动中,保障工作不是一蹴而就,需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方,绿盟科技建议按照以下五个阶段组织实施:
· 启动阶段
组建网络攻防演练保障团队并明确相关职责,制定工作计划、流程和具体方案。对信息化网络架构进行梳理和分析,评估当前网络安全能力现状。对内外网的信息化资产进行梳理。
· 备战阶段
通过资产安全评估、业务风险评估手段,对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案,配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。
· 临战阶段
制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。
· 保障阶段
依托安全保障中台,构建云地一体化联防联控安全保障体系,利用情报协同联动机制,持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。
· 总结阶段
对攻防演练工作进行经验总结和复盘,梳理总结报告,对演练中发现的问题进行优化改进和闭环处理。
一个完备高效的攻防演练过程,通过启动、备战、临战、保障和总结全流程的精心组织,充分调动内外部资源,达到检验建设成果、锻炼运维团队、提升运营能力的目标。下面绿盟科技将根据历年参与攻防演练活动的实际经验,总结介绍启动、备战、临战、保障和总结这五个攻防演练关键阶段的具体操作建议,为企业安全负责人开展攻防演练工作提供参考。
01启动阶段
启动阶段主要有三大工作:建队伍,清家底,做规划。
1)建队伍
在启动阶段,应着手建立一个分工明确的网络安全攻防演练职能团队,以保证安全自查工作得到充分开展,安全防护能力得到有效验证。因此必须明确安全保障团队的组织架构和职责划分。为做好演练工作,建议以如下方式建立安全保障团队的整体架构:
各职能团队分工如下表所示:
2)清家底
清家底是指对当前网络架构进行合理分析和优化,盘点内外网资产,理顺资产与业务系统的关系。摸清、理顺自身家底,充分应用自身安全建设的成果,为后续风险排查、加固优化奠定良好基础,主要包括三方面内容:
• 网络架构分析调优
• 互联网资产暴露面治理
• 内网资产发现梳理。
3)做规划
做规划是指在前期工作的基础上,进一步明确安全保障应用需求,编制《安全运营保障实施计划》与《安全运营保障方案》,制定网络安全攻防演练工作目标,构建网络安全攻防演练保障体系,以全面指导网络安全攻防演练工作。
网络安全攻防演练保障体系如上图所示。体系覆盖攻防演习的五大阶段。对于每个阶段都要建立三位一体的保障体系,包括管理保障、技术保障和人员保障。管理保障是通过梳理组织架构和各类保障流程,从管理层面打通各个环节。技术保障是基于安全基础设施构建纵深防御和零信任机制,并接入安全运营平台实现整体运营。人员保障是通过对演练人员的赋能培训,满足监控、研判、处置、上报等各环节中对人员的能力要求。
02备战阶段
网络安全攻防对抗中,考验的不仅是双方在对抗过程中的能力与技能,还有各自战前准备工作是否周详完备。备战阶段可以从资产全面评估、业务缺陷识别、风险整改推进、防护能力补差、整体策略优化和意识能力培训六个方面,发现网络和业务系统的脆弱性,评估面临的安全风险,并通过技术和管理两个方面进行增强,实现安全策略的全面优化。
1)资产全面评估
对信息资产的安全性进行全面评估,主要包括7大评估方法:漏洞扫描、配置核查、弱口令检查、渗透测试、入侵痕迹排查、敏感信息检查、安全机制校验。
2)业务缺陷识别
在业务层面,需要对业务系统进行分级,针对重要业务系统,特别是攻防演练确定的靶标系统和重要业务系统,梳理系统关键流程(如登录、认证、查询、申请、审批、交易等)绘制相应时序图,分析业务流程和数据流转中可能遭遇的攻击和敏感信息泄露等安全隐患,输出相应风险处置措施以降低风险,保障系统安全。
在此基础上,还应该对身份认证系统、VPN、域控系统、网管系统等集权系统和防火墙,入侵防御系统,Web安全防护系统,主机防护系统等安全设备进行风险评估,确保其集权管控和安全防护机制能够正常运行,且系统本身不存在中高危安全漏洞。此外,还需要来自供应链,相关业务链,第三方人员链等第三方的安全风险,防止攻击者利用第三方实施入侵。
3)风险整改推进
对在资产安全评估和业务缺陷识别中发现的问题,需要制定整改方案,及时进行修复。主要包括历史发现风险闭环复盘、自查发现风险跟进巡查和各类设备风险跟进处置三方面。
4)防护能力补差
面对实战攻防演练,需要构建集预警、防护、检测、响应于一体的自适应联动响应体系。参与攻防演练的防守方,可依照下图展示的网络安全最佳实践技术体系,查漏补缺,消除短板,整体提升安全防护能力。
5)整体策略优化
在构建完成整体防线后,下一步就需要提升攻击检测和防护的效率,对整体策略进行优化,主要包括三方面的优化动作。一是优化日志分析,采用事件分析法、时间分析法以及流量包样本分析法等方式,在大量日志中捕获关键信息,区分设备关注重点事件;二是处置设备误报,及时拉通业务侧沟通渠道,核实能否够及时对业务代码逻辑进行修改,解决业务误拦问题;三是优化平台和设备策略,根据日志分析及误报处理的结果,对网络设备策略、安全设备策略、主机策略等进行进一步调整和优化。
6)意识能力培训
在安全意识培训方面,需要在三大方向发力。一是要加强安全意识宣传;二是要加强内部安全意识培训;三是要面向第三方开发商和服务商人员等开展安全意识宣贯,同时签订安全保密协议、责任界定书,增强其安全敏感度。
在安全能力培训方面,首先要展开威胁分析能力培训,通过告警分析实现对常见攻击行为和结果的识别,包括利用漏洞执行恶意代码,手工尝试弱口令,服务器被攻陷,恶意程序被运行等。其次要对应急响应能力进行培训,通过排查服务器上的木马程序,分析攻击者入侵途径,登录服务器操作以验证事件的准确性等方法实现安全事件的事中和事后取证分析与及时处置。
03临战阶段
临战阶段也叫演练阶段,即通过实战攻防演练验证网络安全体系建设成果,助力企业建立常态化的防御机制。这四个攻防演练“锦囊”,请您收好。
锦囊一 安全应急演练
为提升对网络信息安全攻击事件的响应能力和应对突发安全事件的紧急处理能力,切实保障防守方的网络安全,需要根据当前的网络安全现状和面临的安全威胁编制覆盖各类应急场景的重大保障应急预案,并组织开展网络安全专项应急演练,检验网络安全应急体系和工作机制运行情况,及时发现问题,完善应急预案,提高应急处置能力。
锦囊二 钓鱼攻击演练
为模拟防守方在攻防演练期间可能面临的真实攻击,同时对日常的安全意识培训效果进行验证,在实战开展前钓鱼攻击演练可谓是一计良策。
通过相应渠道给防守方员工发送钓鱼测试邮件,度量员工安全意识整体状态。在企业邮件办公环境下,还原钓鱼邮件真实场景,使员工实际感受邮件钓鱼威胁,激发员工邮件办公的警惕心理,弥补员工的安全意识短板。
锦囊三 内部红蓝对抗演练
在保证业务正常运转的前提下,建议实战演练双方的攻防演习保障项目组在真实网络环境下开展红蓝对抗,及时发现网络资产的真实隐患,检验安全威胁监测发现能力、应急处置能力和安全防护能力,并通过演练结果进一步改进保障能力。
锦囊四 实战演练前安全意识专项强化
攻防演练正式开始前,攻防演练保障项目组需要进行战前宣贯,针对前期安全意识培训及钓鱼攻击演练中发现的问题进行同步,重点关注IT技术人员及演练中被钓鱼成功人员,对攻击队常用社工手段及防守方法突出强调,通过实战案例的介绍使防守方人员对攻防演习中的社工攻击有更直观的认识,争取最大程度降低人员的隐患。
04保障阶段
企业应建立以情报驱动为核心,协同研判分析、溯源反制、应急响应、产品支持等安全防护能力,以点带面,实现“一点发现,全面风险闭环”的联防联控机制,构建云地一体化安全保障体系,持续有效地开展网络攻防演练保障工作。
本地安全监控:包括对外网资产(主机资产和网站安全)监控,以及安全情报、安全设备、安全行为的监控,并将每日的监控记录进行整理汇总。
云端安全监控:对网站提供完整性检测、可用性检测。完整性检测能够甄别出防护站点页面是否发生了恶意篡改,是否被挂恶意木马,是否被嵌入敏感内容等信息;可用性检测能够帮助防守方了解站点此时的通断状况,延迟状况。
威胁分析研判:多渠道汇集安全通告,线下结合线上、现场结合中台、情报结合狩猎,叠加多级网络安全专家研判体系,实现安全风险预警通告、安全事件应急通告、可疑安全行为通告迅速研判定性。
应急响应处置:应急响应预设流程全面高效启动,应急小组有条不紊分级分类处置安全事件,节奏化完成攻击阻断、取证备份、故障恢复、总结评估,双向联动全国跨地理、跨行业多维情报体系,多区域实时下发,技术策略实时滚动升级。
威胁狩猎溯源:一体化融合安全威胁检测设备、安全威胁分析平台、安全专家服务,整合平台监控、分析研判、中台应急能力,多技术手段溯源攻击方特性,遏制攻击扩散。锁定攻击源,针对性设计反制策略,多重诱捕,由点带面形成团队威慑力。
高质量事件上报:融合中台实时情报,持续强化一线作战研判水平与上报质量,分角色、分职能、分事件等级实现攻击取证、分析、研判过程记录,全面把控上报品质与上报效率,结合体系化得分点分析,确保防守团队取得有效防守成果。
05总结阶段
实战化场景下网络攻防演练的目的是为了发现企业当前防护体系中存在的不足,找出解决的方案。因此在演练结束之后,必须及时进行复盘总结,以期全面改进。在总结阶段,需要做三项工作:复盘总结、报告输出和安全规划。
1)复盘总结
• 安全事件汇总分析
攻防演练防护结束后,攻防演练防护项目组将对演练期间的数据进行汇总,并从攻击事件、风险等级、攻击路径和漏洞利用四个维度展开分析。
• 缺陷问题输出闭环
攻防演练防护项目组将针对本次保障前期的待处理事件和中期发生的安全事件进行梳理,根据安全问题风险程度由高到低设置处理优先级,绘制输出安全事件跟踪表,内容包括但不限于:问题分类、影响范围、问题描述、发现时间、处置完成时间、主要跟进人、问题进展、是否闭环、事件优先级等。
• 保障经验总结
攻防演习阶段结束后,开展攻防演习总结会议,整理攻防演习整体数据并上报,分析缺陷,提出改正建议,总结经验,编制网络安全监测和应急保障工作指导手册。
2)报告输出
在保障结束后,将组织攻防演练防护参与人员进行总结分析,并于总结会议后,输出攻防演练总结报告,递交至攻防演练防护组、总指挥进行初步审阅及最终审阅。
3)安全规划
通过本次攻防演练活动发现的问题,结合当前安全运营现状,有针对性地设计一体化安全运营方案,也就是需要改进的方向。
网络安全攻防演练,既是检查网络安全建设成果的试金石,也是指导开展下一步建设的指路灯。通过攻防演练,企业应以体系化建设为指引,构建“全场景、可信任、实战化”的安全运营能力,实现“全面防护,智能分析,自动响应”的防护效果,构建网络安全保障体系、提升网络安全防护能力。
