防守队:为什么我们什么都做了,攻防演习还是输了?
作者: 日期:2022年07月22日 阅:989

“我们并没有做错什么,但不知为什么我们输了”。

这句话是昔日手机巨头诺基亚CEO约玛奥利拉在当年同意微软收购其手机业务时,在记者招待会上说的话。说完,连同他在内的几十名诺基亚高管情不自禁的潸然泪下。

有句毒鸡汤很是扎心,“你全力做到最好,可能还不如别人随便搞搞”。看起来不太励志正能量,但总是命中现实。生活就是这样,没有找到捷径,费了很多力,到头来结果却不尽人意。在每年的实战攻防演习中,这样的情形也在不断上演。

拧紧了发条 却挡不住丢分?

“攻防演习排名要好,安全不要出事”,在攻防演习前,防守方领导人一句看似简单的要求,往往需要安全管理员费尽心思去琢磨怎么做好防守准备工作。

宁可备而不战,决不能无备而战。为了完成防守任务,防守方安全管理员在演习前几个月就开始做安全风险自检、安全加固等各类准备工作。而长时间的备战,让防守方投入了巨大的精力,在真正实战过程中,为了保证防守质量,仍要拧紧发条,这也使得防守方总是疲惫应战、力不从心。而攻击方总能利用守方松懈的破绽,以逸待劳,一举攻陷目标。

事实上,实战演练前所有的防护工作,包括预警、分析、验证、处置和后续的整改加固都必须以监测发现安全威胁、漏洞隐患为前提才能开展,因此防守方在演习前几个月中所做的准备工作,大部分都围绕着“检测”进行。安全以“检测”为始,以“响应”为终,检测只是解决安全事件的第一步,在攻击者对企业信息系统造成最终损害之前,对于威胁的分析、处置、响应也非常重要。只有同时降低威胁的平均检测时间(MTTD)、平均遏制时间(MTTC)、平均响应时间(MTTR)等多个重要应急响应指标,防守方才能在实战攻防演习的战争中赢得最终的胜利。

防守看似严密 但“三大顽疾”会导致功亏一篑

据大部分防守方反馈,在实战演习中,威胁检测不乏高超的手段,但是防守方在威胁分析、处置与响应方面常被以下三大顽疾缠身:

首先,告警分析研判效率不高,应急响应不及时。

防守团队多由多个部门的不同人员组成,部分成员对防守区域的整体网络架构不熟悉,导致在实战过程中,对设备监测时,海量的告警信息研判效率低,威胁响应时间慢,尤其是遇到0day、社工钓鱼等花样百出的攻击手段时,响应时间完全跟不上攻击者的攻击速度;而且告警还不能关联业务场景综合分析,告警分析准确性不高,甚至可能会因为处置不当导致影响正常业务。

其次,防守方坐等被攻击后才应对,防守滞后。

在以往的攻防演习中,防守方均是在攻击方实施攻击之后,才做出下一步的防守动作,十分被动。轻型攻击,防守方容易作出防守应对;重型攻击,防守方往往连反应的时间都没有,就被攻击者“打穿”。

另外,攻击IP阻断不及时,事件处置缓慢。

为有效应对攻击,防守方会在单位不同区域部署具备阻断能力的防护设备,如FW、WAF等,但各安全产品的阻断能力因品牌、功能及版本差异导致无法统一集中管理,无法做到协调联防目的,最终无法快速、全面阻断正在实施攻击的IP,即无法做到“事中阻断”,而且防火墙、WAF等产品的阻断策略数、对象数因性能原因都有较多限制,上述原因最终导致封禁功能无法统筹管理且各自为战。

即使有旁阻阻断设备可以解决上述问题,却因为大部分旁路阻断设备不能在安全与业务的纷乱交织中判断出真实的攻击行为,因此在阻断恶意IP的同时,往往“误杀”了正常的IP,影响业务系统正常运转。

防守方破解之道:攻防“三板斧”,来个“剧情”反转

1、网安行业的专家系统,提效快一步

告警分析研判效率不高,应急处置不及时、不准确,就要从根源上提高分析响应的速率和精准度。但是,防守方分析研判的各个阶段都有人的参与,分析人员面对海量、复杂多变的安全事件,不可避免的会出现错误或者不擅长的领域。为此,防守方不妨利用数字化、自动化的手段来辅助分析,提高告警研判和威胁处置的效率。

奇安信天眼“智能专家研判服务”,运用AI、机器学习技术进行自动化知识搜索与推理,根据专家研判经验智能响应客户的告警分析需求,无需分析人员参与,告警分析研判、事件处置更快速。防守方工程师在几秒内“一键”就能够在天眼系统中清晰查看产生同类告警的基本信息、判断条件、潜在威胁、处置建议等,而且高频告警类型场景均来自于其他客户的攻防演习中,真实、全面、有参考价值,不用担心影响正常业务。

这样一来,即使防守方分析人员人手不足,或者分析能力不足,也不用担心告警研判分析处置的效率跟不上,还能解放一线防守使用者的双手,腾出精力、集中兵力与攻击者搏斗。分析效率提高让防守方应急响应的速度也提高了,老板嘱咐的“安全不要出事”,从此便不再担心!

2、全网通缉攻击者,预警快一步

防守方坐等攻击后才应对,防守太被动。那么,如果能在攻击者到来之前,收到预警信息,对于防守方来说就抢夺了主动权。

奇安信天眼“攻击源IP预警”,让每一个天眼客户与天眼云中心建立点对点链接形成一张网,完成攻击源IP信息的实时获取与预警。简言之,只要有一个防守客户发现攻击行为,天眼便将攻击者IP进行全网通缉,迅速传递至所有的防守客户,并为危害程度定级;下次只要该攻击者再次出现,便会提醒客户提高警惕,同时客户还可以参照威胁的关注热度(危害定级程度),查看其他客户对该IP的处置方法,选择持续关注或者联动处置。

这样一来,客户在攻防演习中被攻击之后才迟迟感知的问题将不复存在,防守方可以提前获知攻击者信息,做好防护准备,减少丢分。老板嘱咐的“攻防演习排名要好”,从此又近了一步!

3、将高级威胁防御前置,阻断快一步

威胁发现的快,分析研判的快,但是阻断攻击IP的速度慢,导致攻击者都攻击完了,IP还没有封禁,业务系统受到影响。如果把阻断攻击再快一步,将攻击的事后阻断变成事中阻断,那么防守者对威胁的遏制和响应时间也将缩短,业务系统受到攻击的波及影响也将降低。

天眼高级旁路阻断,不用串接到网络,无需联动其他设备,可以一键“封禁”IP、域名及高级参数。重点是天眼独有的攻击阻断设计,区别于传统的基于IP封禁的旁阻产品,在同样提供基础的IP封禁功能的同时,也具备更智能的攻击阻断功能,即只对有真实攻击行为的IP进行识别、阻断,无攻击行为的则放行,最大程度保障客户业务系统连续性和可用性,对高级威胁的阻断正确率更高、阻断能力更强。

总体来说,防守是一件具有木桶效应特性的事情,前期备战工作准备不足容易造成防御过度,攻防演习前中期消耗太大也会导致后期疲劳。因此,在临战与实战阶段,各个环节的有效管控、兵力的集中应用、以及装备武器的合理布局就显得尤为重要。

今年攻防演习,在武器库里添加奇安信天眼“三板斧”,点亮防守技能,高提效、少失分、稳上分!

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章