2016年《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。网络安全实战化攻防演练作为国家层面促进各个行业重要信息系统顺利建设、加强关键信息基础设施网络安全防护、提升应急响应水平的关键工作,以实战、对抗等方式促进网络安全保障能力提升。
网络安全的本质是对抗,对抗的本质在于攻防两端的较量。随着大规模攻防演练行动的开展,网络安全技术已经趋向于实战对抗的防护思路,网络安全建设逐渐从合规驱动型转向实战对抗驱动型。如何有效地实施演练,提升实战攻防对抗演练效果,让防守方在行动时做出更加准确的判断成为了大量企业的关注重点。
结合实战对抗下网络安全现状与关键信息基础设施运营单位网络安全需求北京中睿天下信息技术有限公司(简称“中睿天下”)面向关键基础设施运营单位提出实战对抗—392积极防御体系建设方案,其核心思想定位为“利用攻击溯源技术,立足实战对抗前沿,实现攻击精准防护”。
中睿天下成立于2014年6月,成立前期公司核心成员一直从事于网络攻击实战对抗前沿,自成立至今始终站在攻击者的视角,深入研究攻击手法与攻击工具,深度揣摩攻击者心理,结合多年实战攻防经验把当下安全建设分为三大阶段:
第一个阶段依法合规建设:满足国家级监管部门安全合规、依法运行要求,保障业务基础防御能力。
第二个阶段是积极防御建设:结合企业自身现状提升安全能力建设,积极主动应对未知威胁攻击。例如0day攻击、APT攻击、供应链攻击等。完善企业自身安全团队建设,提高企业软硬综合实力。
第三个阶段网络对抗建设:通过常态化对抗演练来模拟和验证企业积极防御能力,达到平时练兵,战时用兵的效果。
中睿天下总结多年实战对抗经验,从安全防护体系的角度将积极防御与网络对抗合并为实战对抗,将实战对抗进一步拆解为三个阶段、九个动作、两个支撑。应对攻击的三个阶段分别为攻击前的风险识别加固、攻击中的监测溯源阶段、攻击后的常态化运营阶段;九大动作分别为认清风险、整改加固、定期演练、拦截阻断、监控预警、攻击溯源、应急响应、修补整改、常态运营;两大能力包含基于实战攻防视角的红蓝队能力支撑。协助关基运营单位建设实战对抗下的积极防御的体系,提升企业实战对抗过程中软硬实力。
安全建设的第一步是摸清家底,攻击者在攻击前阶段进行的工作就是在摸清企业的家底,通过各种攻击工具利用各种攻击手段找到企业资产风险,例如敏感端口、互联网暴露面资产、设备系统弱密码、企业敏感数据等等。中睿天下站在攻击者的视角,模仿攻击者的“作案”手法与工具,以安全服务加合法工具的方式帮助企业提前认清风险,协助企业整改加固系统补齐企业安全短板,最后通过定期演练加强企业员工的安全意识,站在全局视角协助企业提升风险应对能力。
攻击正在进行或者攻击已经发生,都可以归类于攻击中阶段,在攻击中阶段积极防御的能力突显尤为重要。
首先我们可以联动阻断设备对已经明确的攻击进行主动拦截;
其次对正在进行的攻击通过安全工具和安全服务进行监控预警,这个时候比的是设备的软硬实力(检测能力和有效告警);
再者利用全流量存储设备结合威胁情报系统对攻击进行溯源,溯源攻击者的攻击行为、攻击工具、攻击手法、国家背景等等;
最后是对已经发生的攻击做应急响应,利用主机溯源深入挖掘攻击者痕迹,结合取证分析服务和事件溯源出具溯源报告。
攻击后阶段最重要的工作就是要不断的修改整补最终实现常态化运营,以当前安全常态化运营的发展局势来看,需要有功能强大的态感平台和一支安全技术过硬的安全团队共同支撑。安全工具可以通过技术实现,安全队伍建设需要经过不断的培训来拉齐队伍认知,红队培训可以解决网络对抗下攻防不对等的问题,拉齐红队PK攻击组织的能力。蓝队培训有助于提升基于实战对抗下的蓝队综合防御能力。
原文始发于微信公众号(中睿天下):中睿天下实战对抗之392积极防御体系建设
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论