近年来,国内网络安全实战攻防演习飞速发展,已被广泛应用于检验防守方安全水平。实战攻防演习之后,收尾工作是复盘。通过复盘,仔细检视我们安全工作短板,提出改进加强点。本文介绍了如何进行一次“问题不会再犯”的复盘。
同样问题不再重复;同类问题尽量避免;不要在低级错误上失败;从“复盘”到“复仇”。
解释下最后一点:复盘一般意味着防守方被找到了安全问题,“复仇”是指同类问题不会再犯。我们鼓励通过复盘分析,确定事件的根本原因,找到最终解决方案,并落地执行,防止此类事件再次发生,实现完美“复仇”。
我们经常提到:安全要像可用性一样运维。可以借鉴运维领域ISO20000的问题管理,通过问题管理流程,分析事件的根本原因,找到最终解决方案,并落地执行,防止此类事件再次发生。
问题管理流程将问题拆解为问题定义、关键角色、关键步骤三个基础项,对于复盘的结果需要设置衡量指标,对复盘的整个过程技巧进行提炼,以令其可以快速实现我们想要达到的目的。
![实战攻防演习终章:如何正确的复盘?]( "实战攻防演习终章:如何正确的复盘?")
总而言之,就是从闭环、解决问题的角度出发,从提问的视角进行复盘,多问几个为什么,能不能做到,主动发现问题中潜在的问题或问题背后的根本问题,将问题一步步扩大到线、面、体,梳理出所有问题之后,先解决至关重要的已知问题。
-
问题解决率,指安全问题的解决比率,按照行业的问题关闭标准,我们的问题解决率能够到什么水位?
-
主动发现问题数量,指安全问题中,哪些是被动发现,哪些是主动发现,主动发现问题数量和比例是多少?
-
重复问题数量,指安全问题中,哪些问题是重复发生?
还有几个复盘注意事项:优先解决已知问题;主动发现问题,主动解决问题;先点到线再到面体;提问式复盘,鼓励思考,多提好问题。
多问几个为什么,然后去追寻原因和答案,顺藤摸瓜就能彻底解决问题,实现正确复盘。
![实战攻防演习终章:如何正确的复盘?]( "实战攻防演习终章:如何正确的复盘?")
企业团队和员工清楚自己的安全职责吗?各角色员工具备安全意识和承担安全职责所需的安全技能吗(特别是安全团队没有安全意识和安全技能不足)?正向和负向安全激励对各团队和人员有效吗?
如何从技术层面,点状的防范这个问题?有没有解决这一类问题的技术方案?技术手段是否可以被绕过?所有管理措施和流程是否有技术手段做落地保障?如果这个问题无法防护或者说无法100%防护,有没有安全检测方案?如果技术角度无法有效防护和检测,是否有管理措施代偿?能不能从其他维度降维解决这个问题?是不是我们解决这个为的技术方案不是最佳?有没有新技术方案解决这个问题?
安全事件发生,突破了我们哪些安全机制?突破的原因是什么?我们还缺乏哪些机制?机制足够的话,落实执行是否有效?安全管控是否被业务旁路掉?如果有人不遵守这个流程,我们安全团队能发现吗?安全运营持续改进流程运转情况?
安全团队是否资源足够?安全资源的分配顺序是否合理?除了人员编制和预算,安全政策的支持是否足够?
![实战攻防演习终章:如何正确的复盘?]( "实战攻防演习终章:如何正确的复盘?")
-
邮件监测,怎么保证邮件100%过沙箱?
-
U盘管控,怎么保证防护策略100%生效?
-
我们怎么保证没有未知的终端资产?
-
事中监控效果如何?
-
对终端提权监控/防御能力如何?
-
能不能发现攻击者的下一步行为?
-
横向移动?
-
反向隧道外连?
-
内部信息搜集爬取?翻看敏感信息?
第三步,人员、技术、机制、资源,
四维要素深入分析
在复盘时,可以从人员的安全意识、安全职责、安全技能进行分析:
人员安全意识是否足够?分三个层面:公司全体员工、信息技术部门员工、安全团队。公司全体员工的安全意识,需要通过实战化的安全意识攻击测试来提高。信息技术部门员工安全意识,需要结合开发、运维的不同特点来针对性设计提高方案。安全团队的安全意识,主要看是否具备对安全风险的感知能力。
是否清楚知道自己的安全职责。研发认可自己需要在12个小时内确认并修复高危漏洞并发版吗?运维认可自己需要在Windows月度补丁推出后一天内批准补丁,并在3天内完成高危漏洞在生产服务器上的修复吗?公司全体员工认可自己感知到网络安全异常后应该反馈异常给信息技术部门吗?安全团队大部分时候一厢情愿的认为其他团队的安全职责划分,但实际安全事件发生后才发现分歧,并花了大量时间在管控分歧。
人员安全技能是否足够?研发人员是否具备修复漏洞的知识和技能,运维人员是否具备实施基础架构安全的技能,安全人员是否具备足够的处理告警的安全技能等等。安全事件的背后深层次原因,可能是人员的技能不足,导致无法胜任其所承担的安全职责。
![实战攻防演习终章:如何正确的复盘?]( "实战攻防演习终章:如何正确的复盘?")
点:在终端上的攻防对抗领域,单个技术点包括:常见权限维持工具CobaltStrike检测、无文件攻击、终端插U盘等物理攻击方式,提出单点技术防护和检测方案。
线:同一类问题构成了技术线。除了CobaltStrike,我们还应该具备针对同类型的渗透测试和权限维持框架(如Nishang、Empire)进行防护和检测。
面:技术点和线构成了技术面,这个技术面就是:终端安全的攻防对抗。其他技术面还有:终端安全之基础架构安全(身份认证、可信)、终端安全之数据安全等。
体:技术面构成了体。除了上述技术面之外,终端安全这个体还包括去AD化、网络安全域划分和隔离、零信任体系等等。比如复盘时考虑网络二层隔离,所有终端和终端都无法在二层通信,只能访问公共应用(OA、Mail、CRM、Git...)。
除了点线面体,技术维度还可以考虑是否引进新技术,从底层进行改造,从根源上解决问题,比如Google BeyondCorp、BeyondPod的引入和实践。
复盘的时候,我们要追问一下:这个事件的发生,是不是机制有缺失?机制有的话,是不是执行落地没有保障?以及灵魂发问:如果有人不遵守这个流程,我们安全团队能发现吗?
安全运营持续改进流程则是对安全事件的闭环管理,每笔安全事件的处理结果最终必须为误报、属实,二选一。如果是误报,必须改进SIEM安全检测规则或安全Sensor监测措施。如果属实,根据已经被突破的层进行针对性的改进。安全运营持续改进要求每天、每周、每月都坚持进行安全事件review,有可能重要事件被一时大意的一线人员放过,也可能是其他原因。
安全运营持续改进流程的质量可能决定了整个企业的安全工作质量。
改变理念:安全团队是因为工作干得好,才能获取资源;而不是拿到了资源才能干得好。
上层文化:抓住公司的文化、组织、变革的变化,及时嵌入安全,让安全从中获益。当公司有巨大变化、活动时,一定要想到加入安全的元素、成分。
获取资源策略:作为安全团队的负责人一定要主动去想办法争取更多的资源,常见的有将安全工作显性化,通过红蓝对抗中打胜仗、重大安全事件复盘、对标同等或更好的企业投入,以获取更多的资源。
主动创造资源:从管理学的角度来讲就是胡萝卜管理哲学,公司给到员工的报酬肯定是有限的,除了金钱外,可以主动创造一些荣誉,在内部进行奖励和激励,特别是很支持安全工作的部门和个人。
本文节选自奇安信集团网络安全部总经理聂君的一次专题分享,本次分享还包括多个实战场景复盘案例、实战下的安全建设新思路等内容,点击阅读原文可查看全文。
本文始发于微信公众号(互联网安全内参):实战攻防演习终章:如何正确的复盘?
评论