点击关注公众号,知识干货及时送达👇
前言
在实战环境下,无论是常态化的一般网络攻击,还是有组织、有规律的高级就攻击,对于防护单位而言,都是对其网络安全防御体系的直接挑战。蓝队需要按照备战、临战、实战、和总结4个阶段来开展安全防护工作。
1.管理方面
在管理方面,要建立合理的安全组织架构,明确工作职责,建立具体的工作小组,同时结合工作小组的责任和内容,有针对性地制定工作计划、技术方案及工作内容,责任到人,明确到位,按着工作计划进行进度和质量把控,确保管理工作落实到位。(以下是备战阶段组织架构)
2.技术方面
-
资产梳理:敏感信息梳理、互联网资产发现、内网资产梳理、第三方供应商梳理、业务连接单位梳理、云资产梳理
-
网络架构梳理:网络访问路径梳理、运维访问路径梳理、安全架构梳理、安全设备部署
-
安全检查:常规安全检查(主要涉及主机、终端安全、中间件、日志审计等等)、专项清查(主要涉及口令及未授权漏洞)、WEB安全检测(例如弱口令、任意文件上传、中间件远程命令执行、SQL注入等)
-
攻防演练:模拟实战,进一步完善技术方案。
3.运营方面
-
应急预案编写及完善(结合自身实际情况编写应急预案)
-
安全意识培训(防止使用钓鱼或者社工等方式成为非法入侵地突破口)
-
生产工作要求(工作保密、个人终端检查及加固、时间要求等等)
临战阶段
1.工作清点
-
业务系统暂停服务(缩小受攻击面,使防护目标更加明确,关停存在安全风险不能及时修复的服务器)
-
关闭服务器对外访问权限(DMZ和应用、数据库、服务器等均应禁止访问互联网,如有必须需求,尽可能确定需要访问地IP地址临时加白)
-
集权类系统排查和暂停服务(域控制器服务器、DNS、堡垒机等)
-
服务器日志检查分析(排查是否存在入侵地痕迹)
2.战前动员(统一思想,统一战术,强调防守工作中的注意事项,提高攻防意识)
3.宣贯工作流程(对参与防守工作地人员进行任务分工,明确责任;固化每日工作流程,做好攻击事件地监测处置、研判上报、溯源处置和情报共享等工作)
4.战术培训(由安全专家分享各阶段地攻击特征,协助防守队伍制定针对不同攻击场景地防守战术)
实战阶段
1.全面开展安全监测预警(根据监测数据、情报信息判断攻击地有效性,不漏报)
2.全面分析研判(对检测人员发现地攻击预警、威胁情报进行分析和确认)
3.全面提高事件处置效率(确定攻击事件成功后,最短时间内采取技术手段遏制攻击)
4.追踪溯源,全面反制(条件允许时,可通过部署地诱捕系统反制攻击队,拿下攻击终端)
总结阶段
1.复盘总结(复盘动作分为管理动作和技术动作两方面进行整体的复盘)
2.改进措施(针对复盘总结中发现地问题和薄弱点进行梳理和分析,制定下一步工作计划并给出解决近期或者长期问题地措施和手段)
3.整体总结(总结工作中存在的问题分析原因,对网络安全建设的不足点,进而改进和提升整体安全防御能力,落实到日常工作中)
小结
总之,实战攻防演习不只是对抗防守的保障活动,其最终目的:通过对抗活动发现我们的网络安全建设的不足,进而改进和提升整体安全防御能力,持续构建完善总体网络安全建设体系。
- End -
点击下方名片,关注我们
哦原文始发于微信公众号(希石安全团队):攻防演习蓝队防守的4个阶段
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论