刘克艳 新华三大安全
新华三大安全
微信号 H3CSecurity
功能介绍 新华三技术有限公司安全产品线官方账号,在这里,您可以获取最新的产品资讯、市场进展、公司动态等信息
__
收录于话题
01
攻防演练简介及蓝队安全防护现状
网络安全攻防演练一般是以获取目标系统的最高控制权为目标,在监管机构监督下,红、蓝两队直接在真实网络环境开展对抗,进行可控的网络安全实战攻击,检验蓝队安全防护和应急处置的综合防控能力。
近年来,随着《网络安全法》的颁布及相关监管单位安全规范的要求,蓝队的安全防护能力有所加强,但仍存在重发展,轻安全,安全投入不足等现象。尤其,在面对有组织的实战攻击时,蓝队的整体安全防线建设方面仍存在空白。
_ 02_
攻防演练整体防守思路
站在防守角度来看,蓝队面对攻防演练期间高强度的攻击,落实整体安全防护能力乃重中之重。一般来说,蓝队防守工作开展时间轴可分为四大阶段,分别为准备阶段、预演阶段、实战阶段、总结阶段。蓝队从技术、管理、制度、人员等多角度出发提前规划,查漏补缺,形成预防、监测、响应、溯源立体纵深防护体系,提升蓝队网络安全防御水平,增加红队攻击成本,让红队知难而退。
在夯实整体安全防护能力过程中,完备的防守作战武器是制胜法宝,新华三在经过多年攻防演练安全服务工作经验的积累及实战检验,以“敢战,能战、可赢”为目标,为客户打造了一系列利策、利保、利剑等攻防演练单兵作战装备,为客户的网络安全保驾护航。
_ 03_
建设立体纵深式防护体系
■ 优化作战体系,组建防守团队
防守过程中,首先,蓝队应落实网络安全“一把手”责任制,责任落实到人,确保在人力、资源等方面获得有力支撑,可引入外部安全服务厂家作为技术支持单位。其次,蓝队内部形成统一的作战体系,明确职责划分,保障对接流程顺畅。在这一过程中,明确防守组织架构是关键,如下图为常见的防守组织架构图。
领导小组 :牵头负责攻防演练期间的组织及重大事项决策协调工作;
作战工作组 :统筹演练保障组、专家顾问组、各阶段工作小组工作;
演练保障组 :负责演练期间的后勤保障、资源调配等工作;
专家顾问组 :对总体工作部署等提出整改建议;
各阶段工作小组 :听候作战工作组指挥,实施具体防守工作。
■ 明确防守流程与应急预案
防守过程中涉及多团队协同作战,为实现快速反应、高效配合,构建一个可落地实施的防守流程及应急预案显得尤为重要。防守流程作为防守工作中监测、分析、处置的“指示灯”,应明确规定各防守小组的执行过程及运作机制,确保防守工作“上通下达”。在防守流程的框架下,针对不同类型的安全事件,制定专项应急预案快速对安全事件进行匹配。一言以蔽之,从细处着手,减少沟通成本,做到快速反应、有序处置。
上图为实战中安全事件监测、分析及处置常规流程,监测告警组需借助有效的全网流量监测、分析安全设备,如新华三“利剑”工具箱进行实时安全威胁检测,并对发现的安全事件进行确认,提交处置或进一步研判。分析研判组多产品联动分析攻击事件,明确攻击源和攻击方式,进一步溯源分析。应急处置组根据分析结果,在保证重要业务正常运行的前提下,本着“先处置再分析”的原则,采取相应处置措施。
■ 常态化资产管理,做好资产梳理
常言道“知己知彼,方能百战不殆”,所以蓝队在攻防演练前,应摸清家底,全面掌握资产现状,做好动态、周期性的资产监测工作,常态化资产管理。蓝队基于掌握的资产清单,梳理资产部署、业务属性及应用上下游关系,提前排查并认清风险,推动安全加固整改工作,如,收敛互联网暴露面,关闭或下线老旧及“无主”资产,避免因资产排查存在遗漏,责任人不明确,导致存在监测“盲区”,被红队利用作为跳板发起深度攻击。
■ 全面开展安全排查与安全加固
**
**
1)攻击面收敛
大多数情况下,蓝队对于自己的资产情况掌握不全,导致资产未能全部纳入有效监测、防护范围,存在明显地防护薄弱点。一般情况下,红队在进攻前,会先收集该单位暴露在互联网的资产,而这些防护薄弱的资产,将成为攻击者攻入关键业务区的跳板。所以,提前发现在互联网中暴露的资产变得尤为重要,关闭“老旧”、“无主”、“无用”资产,对于用户较少但存在一定业务需求的系统迁入内网,收敛对外暴露攻击面。
2)风险点排查
俗话说“不打无准备之仗”,对于防守工作也是同样道理,开展风险点及隐患排查,提前“补短板”。一般风险点的排查,可从安全漏洞扫描、渗透测试、安全基线检查、敏感信息梳理、弱口令检查等着手,新华三“利保”工具箱具备漏扫、渗透、资产挖掘等多项能力,可提供一键式风险点排查功能。
**
**
3)安全策略检查
开展IPS、IDS、WAF、流量分析系统、防病毒软件、主机防护等安全产品的特征库进行版本检查,检查特征库版本是否为最新。并对本单位的防火墙安全策略进行梳理,最小化授权,但该动作会面临着安全策略混乱、梳理周期长的问题,可通过引入安全策略管理工具实现自动化管理提升效率,新华三“利策”安全策略管理设备可有效解决该痛点。
4)攻击路径梳理
红队为了控制攻击成本,从防护薄弱点下手,一旦获得进入内网的“据点”,一般优先攻击高权限账号、终端以及集权系统、基础设施等,作为蓝队需提前梳理红队可能的攻击路径,明确关键布防点。
5)安全加固推进
跟进攻击面收敛、漏洞修复、安全策略优化及安全防线加固等工作,做好风险闭环。
■ 安全防护能力落地
整体安全防线的建设,不仅依托于完善的管理、制度及流程建立,安全产品部署及整体防护能力加强也是必不可少的环节。首先,应开展全面网络架构评估,明确网络安全域划分,梳理整体访问控制关系,从实战来看,网络层的访问控制非常有必要,红队很难绕过,且绕过的时间成本较高。做好网络层隔离,是有效对抗攻击的方式,也可以说是整个安全防护的基础。其次,评估攻击面及入侵防护情况,明确防护重点(如靶标系统、VPN、集权系统、邮件系统等),建立全面、立体纵深式的监测、防护体系。
■ 安全意识宣贯与提升
近年来,随着攻防手段不断升级,攻击方式不再拘泥于WEB端,邮件钓鱼、社工、近源等方式也逐渐频繁。显然,面对此类攻击,仅靠技术还不能效解决,它牵扯到每个员工的安全意识防范,故开展安全意识培训及贯宣愈发重要。
安全意识培训 :面向全体员工,定期开展网络安全意识培训;
模拟社工攻击 :蓝队内部不定期举行邮件钓鱼、近源攻击等演习活动,提升全员防范意识;
常态化网络安全意识贯宣 :通过海报、视频、邮件等形式定期宣贯,强化每名员工的安全意识。
■ 组织内部攻防预演
攻防预演工作的开展,主要是检验前期的安全加固成效、防护能力、保障能力、应急响应流程、管理制度等是否到位,针对该阶段发现的安全风险及管理问题等进行优化,提前进行防守队伍的磨合。
■ 建立威胁情报共享机制
蓝队可通过拉通内、外部的威胁情报共享,打破信息交换壁垒,掌握防守主动权。首先,建立外部威胁情报共享机制,可联合专业的安全情报厂商获取最新威胁情报,如0day、C2地址等,尽早进行漏洞修复或策略封堵。其次,防守工作组同步协调上下级、兄弟单位组建内部情报共享机制,如恶意 IP实时同步,并通知值守人员在安全设备进行封堵。
■ 溯源与反制
随着攻防双方对抗力量的升级,蓝队不能坐以待毙,需化“被动”为“主动”,主动出击,可采取部署蜜罐系统作为诱饵来诱敌深入,增加攻击时间及成本,并通过捕获的信息有效追踪攻击者,最终溯源反制获得加分。
_ 04_
总结
总的来说,蓝队的安全防护体系的建设是一个“路漫漫其修远兮”的大工程,仅靠攻防演练期间临时组建团队,堆人、堆设备,虽能达到一定成效,但未从实质上解决问题。而是,需要蓝队把安全防护体系建设工作常态化,落实“一把手”责任制,自上而下推进,本着“专业的人干专业的事”原则,引入专业的安全服务,推进整体工作部署及开展,将工作前置并提前防范与加固,方可打造固若金汤的网络安全防线。
相关阅读:
预览时标签不可点
收录于话题 #
个 __
上一篇 下一篇
阅读
分享 收藏
赞 在看
____已同步到看一看写下你的想法
前往“发现”-“看一看”浏览“朋友在看”
前往看一看
看一看入口已关闭
在“设置”-“通用”-“发现页管理”打开“看一看”入口
我知道了
__
已发送
取消 __
发送
攻防演练之蓝队安全防护体系建设
最多200字,当前共字
__
发送中
微信扫一扫
关注该公众号
微信扫一扫
使用小程序
取消 允许
取消 允许
知道了
长按识别前往小程序