网络攻防对抗演练实战工作要点
随着网络安全成为国家战略,特别是《网络安全法》的正式颁布实施, 网络安全建设正逐步走向实战化、体系化和常态化的新时代。在这一大背景下,攻防演练越来越受到各方重视,成为检验安全体系建设水平,促进安全运营能力提升的常备动作。
如图所示,网络安全能力塑造是在人员、技术和流程的支持下,从治理、识别、保护、侦测和响应等5个方面开展体系化建设的过程。能力塑造到什么程度,需要通过攻防演练进行检验。实战化攻防演练可以发现网络系统中存在的安全问题,识别安全风险,并通过持续改进进一步加强体系化建设成果。
为达到这个目的,攻防演练要从实战出发,按照网络战的思维组织攻击模式。同样,防御方更需要精心组织,充分应用自身安全建设的成果,达到发现攻击、抵御攻击的目的。
网络攻防演练保障工作不是一蹴而就,需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方,应按照以下五个阶段组织实施:
-
启动阶段:
组建网络攻防演练保障团队并明确相关职责,制定工作计划、流程和具体方案。对信息网络架构进行梳理和分析,评估当前网络安全能力现状。对内外网的信息化资产进行梳理。
-
备战阶段:
通过风险评估手段,对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案,配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。
-
临战阶段:
制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。
-
保障阶段:
依托安全保障中台,构建云地一体化联防联控安全保障体系,利用情报协同联动机制,持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。
-
总结阶段:
对攻防演练工作进行经验总结和复盘,梳理总结报告,对演练中发现的问题进行优化改进和闭环处理。
一个完备高效的攻防演练过程,通过启动、备战、临战、保障和总结全流程的精心组织,充分调动内外部资源,在取得好的成绩的同时,达到检验建设成果、锻炼运维团队、提升运营能力的目标。
一、启动阶段重点工作要点
万丈高楼平地起,要搞好网络安全攻防演练,在演练过程中取得好成绩,必须在演练之初就积极准备,做好整体计划提前部署。在网络安全攻防演练的启动阶段主要有三大工作:建队伍,清家底,做规划。
(一)、建队伍
在启动阶段,应着手建立一个分工明确的网络安全攻防演练职能团队,以保证安全自查工作得到充分开展,安全防护能力得到有效的验证。因此必须明确安全保障团队的组织架构和职责划分。为做好演练工作,建议以如下方式建立安全保障团队的整体架构:
各职能团队分工如下表所示:
|
分组角色 |
职责 |
|
领导组 |
负责策略制定、重大事件决策、整体进度把控 |
|
指挥决策组 |
负责安全攻防演习保障工作管理、协调、组织工作 |
|
支持保障组 |
负责后勤保障工作,如准备攻防演习保障期间所需要的场地及物资 |
|
方案设计团队 |
负责制定攻防演习保障的整体方案,包括人员、分工、流程等 |
|
资源准备团队 |
负责准备攻防演习期间所需要的相关网络资源 |
|
风险排查团队 |
负责备战阶段中对保障资产的全面安全检查工作 |
|
安全加固团队 |
负责备战阶段中安全策略加固、优化、重点安全隐患排查工作 |
|
演练攻击团队 |
负责内部演练阶段中攻击方的工作,对资产进行真实模拟攻击, 以发现真实存在的相关漏洞 |
|
演练防守团队 |
负责内部演练阶段中防守方的工作,对攻击方的攻击行为作出真实防御操作,以检验防御环节的漏洞 |
|
安全监控团队 |
负责信息安全攻防演习保障阶段安全攻击行为监控分析 |
|
事件分析团队 |
负责对安全设备的告警或上报的安全事件进行完整地分析及判断 |
|
应急处置团队 |
负责对发生的安全事件进行及时研判和应急处置 |
|
调查取证团队 |
负责开展应急处置过程中的调查和证据留存工作 |
|
情报收集团队 |
负责收集保障期间每日的相关安全情报,包括监控反馈、安全预警、厂商安全情报和其他渠道的攻击情报等 |
|
事件报告团队 |
负责对发生的安全事件进行完整的记录并形成文档,及时向分析人员和指挥组人员汇报 |
|
分析总结团队 |
负责对整个保障期间的相关安全工作进行有效总结 |
(二)、清家底
清家底是指对当前网络架构进行合理分析和优化,盘点内外网资产,理顺资产与业务系统的关系。摸清、理顺自身家底,充分应用自身安全建设的成果,为后续风险排查、加固优化奠定良好基础。主要包括三方面内容:网络架构分析调优、互联网资产暴露面治理和内网资产发现梳理。
-
网络架构分析调优
分为两大阶段,网络信息收集和安全架构分析。网络信息收集主要是完成对网络安全建设方案、已有网络安全拓扑、网络设备相关配置和流量镜像等方面的初步收集,并在完成初步收集后,同资产拥有方进行相关信息核对,找出存在异常的资产并及时处置。安全架构分析是在现场开展人工访谈和安全测试,以进一步验证前期所收集到的网络信息,并对比收集到的信息和现场调研的结果,综合输出网络安全架构分析报告。
-
互联网资产暴露面治理
是通过专业服务,利用专业测试工具、搜索引擎等多类方式,对用户开放的互联网IP、端口服务、Web站点等进行梳理,并与用户进行归属确认,开放必要性核对,输出互联网暴露资产清单,供后续风险自查及保障使用。
-
内网资产发现梳理
是要理清网络中全部信息资产,主要包括各类业务系统、内部运维系统、测试系统、网络设备、安全设备、接口设备、终端网段等,以便后续对资产进行风险自查、策略优化,同时识别全量资产中的重点保障关键资产,在后续防护和保障中对其进行加固保护。
(三)、做规划
做规划是指在前期工作的基础上,进一步明确安全保障应用需求,编制《安全运营保障实施计划》与《安全运营保障方案》,制定网络安全攻防演练工作目标,构建网络安全攻防演练保障体系,以全面指导网络安全攻防演练工作。
网络安全攻防演练保障体系如上图所示。体系覆盖攻防演习的五大阶段。对于每个阶段都要建立三位一体的保障体系,包括管理保障、技术保障和人员保障。管理保障是通过梳理组织架构和各类保障流程,从管理层面打通各个环节。技术保障是基于安全基础设施构建纵深防御和零信任机制,并接入安全运营平台实现整体运营。人员保障是通过对演练人员的赋能培训, 满足监控、研判、处置、上报等各环节中对人员的能力要求。
因此,网络安全攻防演练的启动阶段,要做好建队伍、清家底、做规划这三项基础性工作,才能为网络安全攻防演练开好头,更好指导攻防演练工作的有序开展,为后续工作打好坚实基础。
二、备战阶段工作要点
实战对抗中,考验的不仅是双方在对抗过程中的能力与技能,还有各自战前准备工作是否周详完备。应从资产全面评估,业务缺陷识别,风险整改推进,防护能力补差,整体策略优化和意识能力培训六个方面,落实发现网络和业务系统的脆弱性,评估面临的安全风险,并通过技术和管理两个方面进行增强,实现安全策略的全面优化。
(一)、资产全面评估
在前期理清资产的基础上对网络架构进行合理分析和优化,盘点内外网资产,理顺资产与业务系统的关系,需要对信息资产的安全性进行全面评估,主要包括以下7大评估方法:
-
漏洞扫描:检查系统中是否有中、高危漏洞,并结合人工检查进行 确认。
-
配置核查:检查网络架构是否符合隔离要求,设备配置是否最优。
-
弱口令检查:定制弱口令字典,执行自动化扫描,发现资产口令存在的问题。
-
渗透测试:从攻击者视角发现被忽视的威胁路径。
-
入侵痕迹排查:检查资产中是否存在webshell、木马等可被利用进行远控的手段。
-
敏感信息检查:检查桌面敏感文件、开发过程文档等资料中是否存在用户名、密码等企业敏感信息。
-
安全机制校验:检查现有主机、设备、应用、服务等模块的安全监控、安全防护、网络策略、安全策略等机制,检查其是否有效。
(二)、业务缺陷识别
资产是业务的支撑,业务是资产的聚合。在业务层面,需要对业务系统进行分级,针对重要业务系统,特别是攻防演练确定的靶标系统和重要业务系统, 梳理系统关键流程(如登录、认证、查询、申请、审批、交易等)绘制相应时序图,分析业务流程和数据流转中可能遭遇的攻击和敏感信息泄露等安全隐患,输出相应风险处置措施以降低风险,保障系统安全。
在此基础上,还应该对身份认证系统、VPN、域控系统、网管系统等集权系统和防火墙,入侵防御系统,web安全防护系统,主机防护系统等安全设备进行风险评估,确保其集权管控和安全防护机制能够正常运行,且系统本身不存在中高危安全漏洞。此外,还需要来自供应链,相关业务链,第三方人员链等第三方的安全风险,防止攻击者利用第三方实施入侵。
(三)、风险整改推进
对在资产安全评估和业务缺陷识别中发现的问题,需要制定整改方案,及时进行修复。主要包括:
-
历史发现风险闭环复盘:梳理以往发现的安全风险,对尚未解决的中 高风险快速进行全面排查,针对历史上发生的重要安全事件进行复盘,总结教训,提升意识,并确认已无潜在风险。
-
自查发现风险跟进巡查:对自查中发现的风险及问题进行最终汇总整合,形成相应的跟踪表,设立每项风险闭环的责任主体和负责人,明确整改期限,及时跟进直至各项风险排查结束。
-
各类设备风险跟进处置 :跟进网络设备、安全设备自身的安全风险处置,做好相应的修复规划和策略配置优化等,并及时更新同步。
(四)、防护能力补差
面对实战攻防演练,需要构建集预警、防护、检测、响应于一体的自适应联动响应体系。攻防演练的防守方,可参考下图展示的网络安全最佳实践技术体系,查漏补缺,消除短板,整体提升安全防护能力。
(五)、整体策略优化
在构建完成整体防线后,下一步就需要提升攻击检测和防护的效率,对整体策略进行优化,主要包括三方面的优化动作。一是优化日志分析,采用事件分析法,时间分析法,以及流量包样本分析法等方式,在大量日志中捕获关键信息,区分设备关注重点事件。二是处置设备误报,及时拉通业务侧沟通渠道,核实能否够及时对业务代码逻辑进行修改,解决业务误拦问题。三是优化平台和设备策略,根据日志分析及误报处理的结果,对网络设备策略、安全设备策略、主机策略等进行进一步调整和优化。
(六)、意识能力培训
在安全意识培训方面,需要在三大方向发力。一是要加强安全意识宣传,通过发放张贴安全意识宣传材料,播放安全意识宣传视频等方式加强员工对信息安全的重视和关注。二是要加强内部安全意识培训,通过面向一般人员、技术人员等不同的员工群体,组织针对性的专项培训。三是要面向第三方开发商和服务商人员等开展安全意识宣贯,同时签订安全保密协议、责任界定书,增强其安全敏感度。
在安全能力培训方面,首先要展开威胁分析能力培训,通过告警分析实现对常见攻击行为和结果的识别,包括利用漏洞执行恶意代码,手工尝试弱口令,服务器被攻陷,恶意程序被运行等。其次要对应急响应能力进行培训,通过排查服务器上的木马程序,分析攻击者入侵途径,登录服务器操作以验证事件的准确性等方法实现安全事件的事中和事后取证分析与及时处置。
三、攻防制胜要点建议
实战攻防演练能够有效验证网络安全体系建设成果。通过实战演练,达到以攻促防的目的,助力企业建立常态化的防御机制。无论是实战演练还是日常工作,网络安全必须要做到持续运营,平战结合。四个攻防制胜“锦囊”,助您铠甲加身,让攻击无处隐藏。
(一) 安全应急演练
为提升对网络信息安全攻击事件的响应能力和应对突发安全事件的紧急处理能力,切实保障防守方的网络安全,需要根据当前的网络安全现状和面临的安全威胁编制覆盖各类应急场景的重大保障应急预案,并组织开展网络安全专项应急演练,检验网络安全应急体系和工作机制运行情况,及时发现问题,完善应急预案,提高应急处置能力。
(二) 钓鱼攻击演练
为模拟防守方在攻防演练期间可能面临的真实攻击,同时对日常的安全意识培训效果进行验证,在实战开展前钓鱼攻击演练可谓是一计良策。
通过相应渠道给防守方员工发送钓鱼测试邮件,统计点击钓鱼链接员工的邮箱及人员信息,并输出统计报表,度量员工安全意识整体状态。在企业邮件办公环境下,还原钓鱼邮件真实场景,通过定制企业办公邮件与企业网站页面,使员工实际感受邮件钓鱼威胁,激发员工邮件办公的警惕心理,弥补员工的安全意识短板,演练结果直接成为后续安全教育的良好素材。
(三) 内部红蓝对抗演练
在保证业务正常运转的前提下,建议实战演练双方的攻防演习保障项目组在真实网络环境下开展红蓝对抗,及时发现网络资产的真实隐患,检验安全威胁监测发现能力、应急处置能力和安全防护能力,并通过演练结果进一步改进保障能力。
红蓝对抗演练组织方与参演单位协商基本信息,并提供演练技术支撑,制定对抗规则,提供后期保障,组织红蓝双方在指定时间内开展红蓝对抗。蓝队(攻击方)模拟黑客的动机与行为,探测企业网络存在的薄弱点,加以利用并深入扩展,在授权范围内获得业务数据、服务器控制权限、业务控制权限。红队(防守方)通过设备监测和日志及流量分析等手段,监测攻击行为并响应和处置。
(四)实战演练前安全意识专项强化
除了开展上述演练活动外,在实战攻防演练前安全意识专项强化工作也必不可少。攻防演练正式开始前,攻防演练保障项目组需要进行战前宣贯,针对前期安全意识培训及钓鱼攻击演练中发现的问题进行同步,重点关注IT技术人员及演练中钓鱼成功人员,对攻击队常用社工手段及防守方法突出强调,通过实战案例的介绍使防守方人员对攻防演习中的社工攻击有更直观的认识,争取最大程度降低人员的隐患。
贴近实战大练兵,磨砺攻防真本领。通过“背靠背”的体系化、实战化攻防演练,攻守双方能够进一步提高自身整体的安全防护能力,为接下来的保障阶段打下坚实基础。
来源:互联网
原文始发于微信公众号(网络侦查研究院):网络攻防对抗演练实战工作要点
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论