学习!某部委在大型实战攻防演习中总结出“三项三段”方法论

  • A+
所属分类:云安全

“85%的中小型金融机构在实战攻防演习中都被攻破过,大型金融机构被攻破占比也达到18%。”由奇安信披露的一组2020年网络安全实战攻防演习数据,折射出广大政企机构在实战攻防演习中面临的窘况。


善用谋略,方能立于不败之地。在国家相关主管部门组织的2020年大型网络安全实战攻防演习行动中,某部委全程参与了此次演习行动并取得优异的防守成绩。该部委总结的“三项三段”防守思路,值得广大政企机构借鉴和参考。


在此次演习防守行动中,演习准备阶段和正式演习阶段是整体演习防守工作的关键阶段。该部委在这两个阶段采用了“三项三段”的防守思路作为整体防守指导策略。“三项”指在准备阶段的三项实施措施,“三段”指正式攻防演习期间有三个阶段的防守动态变化和对应的指挥方法。 



“三项”措施  解决演习准备阶段难题


攻防演习准备阶段是所有防守单位最重要和最基础的一个阶段,该阶段工作是否执行成功,决定着参演单位的最终防守成绩。因此,此阶段旨在摸清当前单位整体网络安全现状,找到网络边界和网络内部的风险,通过一系列的风险管理和技术手段,对所有风险实现相对清零的工作。


奇安信作为该部委客户安全防守的主要技术支撑单位,协助制定了“一个组织,两个机制,三个任务”的三项工作实施措施。具体包括:


学习!某部委在大型实战攻防演习中总结出“三项三段”方法论

为了方便大家更清晰的了解工作具体部署,绘制了攻防演习实施措施工作结构图解,工作架构结构见上图。


1、明确一个组织。组织是落实职责和任务的关键。经项目组前期评估后,明确了清晰的工作组织,分管理层和执行层组建,管理层负责建立和完善运营流程和工作管理制度,执行层组建安全监测、研判分析、应急处置和溯源取证4个工作小组,负责实施措施落实和各安全工作执行。


2、确定两个机制。没有沟通,就没有管理。没有运营,就无法解决发现的安全隐患。缺少管理和运营,项目组提出的一系列安全实施措施行为,就成了只有设想但缺乏活力的机械行为。因此,工作组织建立的同时,项目组立即确定项目沟通机制和运营机制。

沟通机制的建立,旨在工作中的执行层可以将每天、每周的工作成果和困难可以及时同步到管理层,管理层可以整体了解工作进度和困难,协助解决困难。为此,最后确定执行层各组成员每天召开收工会,每周向管理层汇报工作进度、困难和成果。同时,项目组还创建了一线人员工作即时通讯的渠道,方便工作人员之间沟通和同步工作。


运营机制的建立,旨在工作中的执行层将风险检查出来后,风险通过管理和技术手段得到有效解决。同时,运营机制的建立是执行层在正式攻防演习期间遇到攻击,提前预警和信息传递的关键。最后,项目组确定攻防演习前期建立通过安全排查发现风险,管理层协助整改消除风险的工作模式;确定正式攻防演习期间建立使用“安全监测组实时监测-分析研判组研判分析-应急处置组立即处置-溯源取证组取证溯源”的流程机制,实现安全攻击工作的闭环处理。


3、完成三个任务。明确项目组工作组织架构,建立两个安全工作机制,最后,我们提出三个问题:资产是否非常清晰?网络是否隔离?风险是否相对清零?要解决这些问题,就需要完成以下三项任务。

一是需要清晰的资产信息。网络安全工作的开展是以网络安全信息资产为基础并长期围绕资产开展各类安全建设工作,因此,详细彻底的资产梳理工作作为攻防演习项目组最重要的工作之一。经工作人员不断的整理,将服务器、应用系统、网络和安全设备的详细信息录入台账,为后续开展安全检查、攻防演习预演习和正式攻防演习确认了准确的基础信息。


二是需要严格的网络隔离。网络出口越多代表暴露面越大,因此网络出口割接工作也是本次工作的重中之重。二是各网络出口边界基础设施做好隔离,如边界负载均衡、防火墙、WAF、流量监测系统等。三是对应用系统实行网格式隔离,为了达到网格隔离,对网络安全配置策略进行了细化,开启了虚拟化云平台虚拟工作组策略,启用了主机防御的配置策略,尤其对关键业务系统采用更加严格的安全配置。


三是需要风险“相对清零”。风险相对清零的前提是找出整体网络中技术层面和管理层面的各类风险,项目组通过一系列安全检查工作,针对网络架构、网络设备、应用系统、人员安全意识、管理流程等方面开展风险检查,发现了多个风险点,并解决。同时根据历年实战攻防演习常用攻击方式,如弱口令、集权系统漏洞、供应链等成立专项问题整改组重点攻坚,建立并动态维护风险台账,专人跟踪问题清零,对于存在高危风险的资产进行下线处理。



“三段”作战 破解正式演习防守困境


在演习的正式阶段,奇安信协助该部委将整个正式演习分成了三个阶段,每个阶段又分解为前后两小阶段。对于每个阶段的关键指标会有不同的表现,在大型实战攻防演习行动过程中,可以根据安全事件关键指标的变化判断所处当前的阶段,并针对性采取应对措施。详细的动态作战如下图所示:

学习!某部委在大型实战攻防演习中总结出“三项三段”方法论


第一阶段是体力战。在第一阶段的前段会发生相对较大量的安全事件,其中扫描类和工具测试类的告警占比很高,此时攻击方在不断的摸索进攻路径。在第一阶段的后段会发现扫描类的事件有所下降,但是漏洞类和上传类的事件有所上升,攻击者找到了一些可以攻击的路径并不断开始试探攻击。此阶段的战术重心是依靠防守人员抵御外敌,通过监控发现攻击行为,并根据攻击队不断的尝试做出抵御动作,此阶段主要依靠防守人员监测攻击和处置人员不断阻断攻击源头,称为体力战。


第二阶段是心理战。第二阶段攻击者会突破边界进入内网。因此第二阶段的前段会发生主机扫描类的上升,攻击者在找到路径并尝试攻击后,将会对目标主机展开更猛烈的攻击,此时被攻击的主机会产生大量的告警,并且防守方应该更关注主机的告警,针对每一个告警都要做出及时和有效的研判。只要发现并及时处置,不断的打断和踢出攻击者,也会对攻击方的信心造成较大压力,尤其随着攻防演习时间后延的同时,踢出攻击方隐藏的攻击源头越多,心理打击越大。在第二阶段的后段,主机扫描类下降,但操作系统和漏洞类的安全事件将会上升。防守方需要保持对每一个告警处置的及时性和有效性。因此,此阶段是防守方和攻击方心理对抗方面更加明显,战术重心是剔除内患。


第三阶段是死拼战。第三阶段的前段会发生扫描类、漏洞类、上传类同时攀升,随着攻击和防守进入白热化,更多攻击资源会在最后的阶段集中起来。防守方的压力也会达到整个防守阶段的最高峰值,不但要及时分辨激增的告警信息,更要从中发现并研判攻击事件,处置的不及时和偏差都会带来巨大的影响。在第三阶段的后段,主机扫描类事件会再次攀升,攻防双方的最后决战于这个阶段,拼技术拼毅力也集中体现,不到最后一刻都不会放弃。第三阶段的战术重心是严防死守。


防守过程中,还要基于数据的变化来控制整体的防守节奏。通过不断并及时的优化调整,尽力长时间的把攻击者控制在第一阶段,第一阶段拖的时间越长,越会减少防守方的压力并带来较好的成绩。第二阶段的前段和第三阶段的后段是整个防守的最关键阶段,也是能否取得好成绩的关键,此两个阶段如果部署清晰明确,将会影响整个演习的效果和成绩。



总结


通过此次实战攻防演习行动防守工作的实践,该部委成功保护了目标系统未被攻破,并取得了优异的防守成绩。通过实战的打磨,不断细化和完善实战攻防演习的工作方法,增加防守工作方法执行力度,提高工作方法的准确性,进一步加强了该部委网络安全实战化防护的整体能力。


推荐阅读

某大型央企在实战攻防演习中的体系化实践

长安汽车在大型实战攻防演习中的蜜罐溯源实践

学习!某部委在大型实战攻防演习中总结出“三项三段”方法论
学习!某部委在大型实战攻防演习中总结出“三项三段”方法论

让网络更安全

让世界更美好

长按识别二维码关注我们

学习!某部委在大型实战攻防演习中总结出“三项三段”方法论



学习!某部委在大型实战攻防演习中总结出“三项三段”方法论

本文始发于微信公众号(奇安信安全服务):学习!某部委在大型实战攻防演习中总结出“三项三段”方法论

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: