攻防演练之蓝队安全防护体系建设

admin 2022年4月21日12:35:42企业安全评论14 views3135字阅读10分27秒阅读模式


01

攻防演练简介及蓝队安全防护现状


网络安全攻防演练一般是以获取目标系统的最高控制权为目标,在监管机构监督下,红、蓝两队直接在真实网络环境开展对抗,进行可控的网络安全实战攻击,检验蓝队安全防护和应急处置的综合防控能力。

近年来,随着《网络安全法》的颁布及相关监管单位安全规范的要求,蓝队的安全防护能力有所加强,但仍存在重发展,轻安全,安全投入不足等现象。尤其,在面对有组织的实战攻击时,蓝队的整体安全防线建设方面仍存在空白。


攻防演练之蓝队安全防护体系建设



02

攻防演练整体防守思路


站在防守角度来看,蓝队面对攻防演练期间高强度的攻击,落实整体安全防护能力乃重中之重。一般来说,蓝队防守工作开展时间轴可分为四大阶段,分别为准备阶段、预演阶段、实战阶段、总结阶段。蓝队从技术、管理、制度、人员等多角度出发提前规划,查漏补缺,形成预防、监测、响应、溯源立体纵深防护体系,提升蓝队网络安全防御水平,增加红队攻击成本,让红队知难而退。

攻防演练之蓝队安全防护体系建设

在夯实整体安全防护能力过程中,完备的防守作战武器是制胜法宝,新华三在经过多年攻防演练安全服务工作经验的积累及实战检验,以“敢战,能战、可赢”为目标,为客户打造了一系列利策、利保、利剑等攻防演练单兵作战装备,为客户的网络安全保驾护航。

攻防演练之蓝队安全防护体系建设

03

建设立体纵深式防护体系


■ 优化作战体系,组建防守团队

防守过程中,首先,蓝队应落实网络安全“一把手”责任制,责任落实到人,确保在人力、资源等方面获得有力支撑,可引入外部安全服务厂家作为技术支持单位。其次,蓝队内部形成统一的作战体系,明确职责划分,保障对接流程顺畅。在这一过程中,明确防守组织架构是关键,如下图为常见的防守组织架构图。

领导小组:牵头负责攻防演练期间的组织及重大事项决策协调工作;

作战工作组:统筹演练保障组、专家顾问组、各阶段工作小组工作;

演练保障组:负责演练期间的后勤保障、资源调配等工作;

专家顾问组:对总体工作部署等提出整改建议;

各阶段工作小组:听候作战工作组指挥,实施具体防守工作。

攻防演练之蓝队安全防护体系建设


■ 明确防守流程与应急预案

防守过程中涉及多团队协同作战,为实现快速反应、高效配合,构建一个可落地实施的防守流程及应急预案显得尤为重要。防守流程作为防守工作中监测、分析、处置的“指示灯”,应明确规定各防守小组的执行过程及运作机制,确保防守工作“上通下达”。在防守流程的框架下,针对不同类型的安全事件,制定专项应急预案快速对安全事件进行匹配。一言以蔽之,从细处着手,减少沟通成本,做到快速反应、有序处置。

攻防演练之蓝队安全防护体系建设

上图为实战中安全事件监测、分析及处置常规流程,监测告警组需借助有效的全网流量监测、分析安全设备,如新华三“利剑”工具箱进行实时安全威胁检测,并对发现的安全事件进行确认,提交处置或进一步研判。分析研判组多产品联动分析攻击事件,明确攻击源和攻击方式,进一步溯源分析。应急处置组根据分析结果,在保证重要业务正常运行的前提下,本着“先处置再分析”的原则,采取相应处置措施。

攻防演练之蓝队安全防护体系建设


■ 常态化资产管理,做好资产梳理

常言道“知己知彼,方能百战不殆”,所以蓝队在攻防演练前,应摸清家底,全面掌握资产现状,做好动态、周期性的资产监测工作,常态化资产管理。蓝队基于掌握的资产清单,梳理资产部署、业务属性及应用上下游关系,提前排查并认清风险,推动安全加固整改工作,如,收敛互联网暴露面,关闭或下线老旧及“无主”资产,避免因资产排查存在遗漏,责任人不明确,导致存在监测“盲区”,被红队利用作为跳板发起深度攻击。

攻防演练之蓝队安全防护体系建设




■ 全面开展安全排查与安全加固


1)攻击面收敛

大多数情况下,蓝队对于自己的资产情况掌握不全,导致资产未能全部纳入有效监测、防护范围,存在明显地防护薄弱点。一般情况下,红队在进攻前,会先收集该单位暴露在互联网的资产,而这些防护薄弱的资产,将成为攻击者攻入关键业务区的跳板。所以,提前发现在互联网中暴露的资产变得尤为重要,关闭“老旧”、“无主”、“无用”资产,对于用户较少但存在一定业务需求的系统迁入内网,收敛对外暴露攻击面。


2)风险点排查

俗话说“不打无准备之仗”,对于防守工作也是同样道理,开展风险点及隐患排查,提前“补短板”。一般风险点的排查,可从安全漏洞扫描、渗透测试、安全基线检查、敏感信息梳理、弱口令检查等着手,新华三“利保”工具箱具备漏扫、渗透、资产挖掘等多项能力,可提供一键式风险点排查功能。

攻防演练之蓝队安全防护体系建设


3)安全策略检查

开展IPS、IDS、WAF、流量分析系统、防病毒软件、主机防护等安全产品的特征库进行版本检查,检查特征库版本是否为最新。并对本单位的防火墙安全策略进行梳理,最小化授权,但该动作会面临着安全策略混乱、梳理周期长的问题,可通过引入安全策略管理工具实现自动化管理提升效率,新华三“利策”安全策略管理设备可有效解决该痛点。

攻防演练之蓝队安全防护体系建设


4)攻击路径梳理

红队为了控制攻击成本,从防护薄弱点下手,一旦获得进入内网的“据点”,一般优先攻击高权限账号、终端以及集权系统、基础设施等,作为蓝队需提前梳理红队可能的攻击路径,明确关键布防点。

攻防演练之蓝队安全防护体系建设


5)安全加固推进

跟进攻击面收敛、漏洞修复、安全策略优化及安全防线加固等工作,做好风险闭环。


■ 安全防护能力落地

整体安全防线的建设,不仅依托于完善的管理、制度及流程建立,安全产品部署及整体防护能力加强也是必不可少的环节。首先,应开展全面网络架构评估,明确网络安全域划分,梳理整体访问控制关系,从实战来看,网络层的访问控制非常有必要,红队很难绕过,且绕过的时间成本较高。做好网络层隔离,是有效对抗攻击的方式,也可以说是整个安全防护的基础。其次,评估攻击面及入侵防护情况,明确防护重点(如靶标系统、VPN、集权系统、邮件系统等),建立全面、立体纵深式的监测、防护体系。

攻防演练之蓝队安全防护体系建设


■ 安全意识宣贯与提升

近年来,随着攻防手段不断升级,攻击方式不再拘泥于WEB端,邮件钓鱼、社工、近源等方式也逐渐频繁。显然,面对此类攻击,仅靠技术还不能效解决,它牵扯到每个员工的安全意识防范,故开展安全意识培训及贯宣愈发重要。

安全意识培训:面向全体员工,定期开展网络安全意识培训;

模拟社工攻击:蓝队内部不定期举行邮件钓鱼、近源攻击等演习活动,提升全员防范意识;

常态化网络安全意识贯宣:通过海报、视频、邮件等形式定期宣贯,强化每名员工的安全意识。


■ 组织内部攻防预演

攻防预演工作的开展,主要是检验前期的安全加固成效、防护能力、保障能力、应急响应流程、管理制度等是否到位,针对该阶段发现的安全风险及管理问题等进行优化,提前进行防守队伍的磨合。


■ 建立威胁情报共享机制

蓝队可通过拉通内、外部的威胁情报共享,打破信息交换壁垒,掌握防守主动权。首先,建立外部威胁情报共享机制,可联合专业的安全情报厂商获取最新威胁情报,如0day、C2地址等,尽早进行漏洞修复或策略封堵。其次,防守工作组同步协调上下级、兄弟单位组建内部情报共享机制,如恶意 IP实时同步,并通知值守人员在安全设备进行封堵。


■ 溯源与反制

随着攻防双方对抗力量的升级,蓝队不能坐以待毙,需化“被动”为“主动”,主动出击,可采取部署蜜罐系统作为诱饵来诱敌深入,增加攻击时间及成本,并通过捕获的信息有效追踪攻击者,最终溯源反制获得加分。


攻防演练之蓝队安全防护体系建设



04

总结


总的来说,蓝队的安全防护体系的建设是一个“路漫漫其修远兮”的大工程,仅靠攻防演练期间临时组建团队,堆人、堆设备,虽能达到一定成效,但未从实质上解决问题。而是,需要蓝队把安全防护体系建设工作常态化,落实“一把手”责任制,自上而下推进,本着“专业的人干专业的事”原则,引入专业的安全服务,推进整体工作部署及开展,将工作前置并提前防范与加固,方可打造固若金汤的网络安全防线。


本文转自:新华三大安全





攻防演练之蓝队安全防护体系建设攻防演练之蓝队安全防护体系建设

↑↑↑长按图片识别二维码关註↑↑↑




原文始发于微信公众号(全栈网络空间安全):攻防演练之蓝队安全防护体系建设

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月21日12:35:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  攻防演练之蓝队安全防护体系建设 http://cn-sec.com/archives/931796.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: