实战分析:乙方视角下行业攻防演练

  • A+
所属分类:安全文章

本文作者:Cose(信安之路安全建设小组成员)

网络安全以“人”为核心,网络安全领域的对抗本质上是人与人之间的对抗,而网络终端、网络设备、介质以及各种工具和平台仅仅是作为辅助手段而存在。因此如何使网络安全人员合理的利用手中的各种工具和策略来提高网络安全对抗水平,是培养“高素质的网络安全和信息化人才队伍”亟需解决的问题。网络攻防演练由此而生,并成为各企事业单位,乃至国家层面培养网络安全人才的创新创新型培养模式。

网络攻防演练的价值分析

举行网络攻防演练具有积极意义,攻防队伍实施“背靠背”的演练,通过攻防对抗,考验防守方的安全防护能力以及对安全事件的监测发现能力和应急处置能力。通过对抗、复盘和研讨,总结经验教训,对提升网络安全保障整体能力和水平具有以下突出价值。

1、检验和提高应网络安全应急响应能力

通过网络攻防演习检验各部门遭遇网络攻击时发现和协同处置安全风险的能力, 对完善网络安全应急响应机制与提高技术防护能力具有重要意义。《网络安全法》和 《国家网络安全事件应急预案》要求,按照“统一指挥、分级负责、密切协同、快速 反应”的原则开展网络安全应急联动、协同处置工作。国内外开展的网络攻防演练均涉及政府机构、企事业等多家单位,通过安全演练强化政企、军民之间的联动防御能力。通过攻防演练发现安全漏洞与风险,找到网络安全防护的短板,检验网络安全风险通报机制、网络威胁情报共享机制以及应急响应方案的合理性,并在演练后总结优化。

2、培养和提升网络安全人才实战能力

2011 年,美国土安全部和人力资源办公室共同提出《网络安全人才队伍框架(草案)》。历经7年讨论修改,2017 年 8 月,美国标准与技术研究所(NIST)正式公布为《NICE 网络安全人才框架》,明确网络安全专业领域的定义、任务及人员应具备的“知识、技能、能力”,对专业化人才队伍建设具有积极的指导作用。我国发布的《关于加强网络安全学科建设和人才培养的意见》明确要求创新网络安全人才培养机 制,突出安全技能的综合培养。实战能力和技术水平是网络安全人才的核心能力,面向真实系统开展网络攻防演练,与在规模、复杂度、网络状态都是仿真靶场的情况无法比拟,能更好锻炼实战能力,选拔人才。

3、有效强化网络安全风险意识

没有意识到风险是最大的风险。当前,网络安全意识教育,存在国家和网络安全厂商“一头热”的情况,企事业单位和个人安全意识落后,且存在“狼来了”的情况,认为自身网络系统没有重要信息,被攻击的可能性不大,技术人员安全意识不强,忽视基本的网络防护。每次攻防演练都有高危漏洞被发现和重要目标系统被攻破,体验和感受网络被攻破的后果是效果最好的网络安全意识教育,有助于各领域管理和技术人员发现网络安全威胁,了解网络攻击带来的巨大危害,更能增强对网络风险认知的直观性和紧迫性。

行业攻防演练战场

1、第一战场

作战力量:攻击方(红队)与防守方(蓝队)之间对抗

关键词:漏洞

笔者所认为的第一战场估计与大家所想的战场差不多,也就是在信息化战场中最简单最直观的攻击面和防守面。从笔者亲身经历的 2018、2019 各级单位组织的攻防演练中看来,在这两面之间的较量存在天渊之别(因笔者参与的角色多为蓝队,以下内容更多以防守思维来展开)。

首先一点毋庸置疑的是作为防守方(蓝队)角度来说,现实环境中存在着庞大且繁多的应用系统,如果按照应用系统的组织架构来细分的话,好比浩瀚的“星河”。这个星河里的组件包含:服务器、中间件、组件、源代码等等,从而衍生出了第一战场关键词:漏洞。

根据笔者这些年安全运维经验来形容:就好比我们日常驾驶的汽车,修漏洞对于笔者来说的感受就等同于“修车”,当然这个“修车”的频率有着最直接的关系是咱们软件开发商、基础服务提供商这些上下级供应链提供的“零部件”是否坚韧和完善。就好比咱们去 4S 提了车,花了这些年的积蓄好不容易提了辆 DreamCar 还没开出 4S 店就漏机油、变速箱问题·······当然,车坏了可以去 4S 店修,出了漏洞怎么办?咱们不比 4S 店,出了漏洞作为安全部门,需要自己评估漏洞的严重性,修复方案,复测等等整个闭环都需要防守方的安全团队去完成。

大概介绍了防守方(蓝队)的工作模式之后,我们来讲讲攻击方(红队)吧,如果形容防守方(蓝队)是修车的,那对比攻击方(红队)真堪比蚍蜉撼大树了,攻击方就好比任何外力因素,只要在防守方的“零部件”里找到任何的瑕疵----漏洞,即可一撸到底,一击毙命,导致破车天天修,天天修不好。所以这就是第一战场当中的重要决胜关键,在漏洞的驱动下防守方永远织的的是网,攻击方好比银针,百密必有一疏,也是第一战场中对抗的不平等性,笔者也通过列举表格来展示红蓝第一战场中双方博弈的优缺点:

实战分析:乙方视角下行业攻防演练

实战分析:乙方视角下行业攻防演练

2、第二战场

作战力量:防守方(甲方)中的各单位作战能力较量

关键词:合规考核

第二战场,顾名思义是甲方横向单位之间防守能力较量的战场。作者认为我们从乙方的服务能力去看待这个战场的话,就是在攻防演练重保期间的防守能力、体系为甲方提供最好、最完善的应急响应服务,通过一系列闭环服务的落地,确保我们服务的客户不被“拿下”,不被考核。

在对抗期间防守方能够做到坚韧牢固并且不受考核,就是第二战场的致胜关键。

3、第三战场

作战力量:为防守方提供技术支持单位之间的博弈

关键词:客户认同

第三战场也可以称之为第二战场的延伸战场,作为防守方这个大团体的组成部分,如何在团队中展现出自我的优势及价值,笔者所认为可以从情报、处置能力、溯源能力来衡量,在这第三战场的博弈当中,也是身为乙方现场服务人员能力的考量,考验应急响应经验、安全服务运维经验。

对抗期间,谁能够第一时间拿到情报及时进行处置进行溯源分析止血,谁就对防守方创造了最大的价值,在做好日常监控防护工作的同时,将被动防守的思维转向主动防御的新思想,为防守方创造更大的防守成果。主动防御的手段有很多,笔者就不一一介绍了。

总体概述第三战场就是在防守团队中谁能够为团队创造最高的成果,谁就能掌舵第三战场的局势。

防守方如何做好工作

网络攻防实战对抗对于大多数防守方来说是一场敌强我弱的持久战。由于攻防双方能力不对等、信息不对称等原因,导致防守方一直处于劣势和被动状态。

首先在认识上,笔者认为无论是演习还是真实对抗,网络安全都是相对而言的,并不会因为一次胜利就能让业务系统长期不被入侵或者入侵难度增大(听起来有点悲观是不?),但好在面对安全风险的处置意识和能力可以不断增强,这是我们真正应该关注和投入的。

在实操上,对于防守方来说,每一轮攻防演练都会经历事前准备、事中对抗、事后总结三个阶段,而情报是胜负的关键,贯穿始末。情报分为内部情报和外部情报,内部情报指自身存在的脆弱性,如业务系统漏洞、管理漏洞等,外部情报指攻击方的脆弱性,如攻击者画像、攻击依赖条件、攻击手法特征等。

1、准备阶段

内部情报

笔者认为,事前绝大多数的准备工作都是为了获取内部情报并加以利用,比如漏洞扫描然后最大限度修复已知漏洞;少部分工作是为了获取外部情报,比如部署蜜罐。如何在事前准备阶段获得更多内部情报我们认为关键在于调动内部人员的积极参与,系统开发人员、运维人员、网络管理员、安全管理员、数据管理员等,齐心协力做好角色所属的安全工作并及时汇聚到情报分析中心,可以使问题发现的更全面、处理的更彻底。

准备工作及规划

在事前,笔者认为大多数前场做的工作都是针对性的网内脆弱性检查,用到的工具大多数为漏洞扫描,不过重心点还是主要以漏洞检查-整改加固-修复复测,三步闭环。以上的闭环工作仅限于目前流行的高危漏洞( Windows-CVE-2019-0708, Weblogic-CVE-2019-2725/2729 等)都是一些近期比较热门且利用性极高的漏洞。

当然在最近的一次攻防演练当中,笔者在实践中痛定思痛,领悟到攻击队的手法后,对于事前准备阶段有了些新的思考:

资产+漏洞+服务全资产感知

通过近期的攻防演练中看出红队的攻击手法,目的是检验我们对甲方应用系统的了解和掌握程度。红队不做多余的嗅探不做多余的扫描,手握重要系统中间件的 0day,一击毙命,更让笔者痛苦的为该中间件是什么,做何用都未曾了解。

所以,笔者提出了资产+漏洞+服务全资产感知概念,从业务系统角度出发,把该应用系统底层至高层所有使用到的环境进行感知,为确保的是在攻防演练期间情报驱动下能够精准、快速定位出现问题的部位,为整改加固工作取得时间上的优势。

2、对抗阶段

外部情报

获取外部情报的途径可分为两种,一种是通过技术手段获取,比如重定向特定的URL到蜜罐,另一种是通过人际关系获取,比如广泛结交攻击队人员和其他防守队伍人员。

行业性攻防演练相比非行业性攻防演练主要有两点不同,一是业务系统相似甚至相同,横向外部情报的可用性更高(因此防守方之间的合作很有用);二是攻击方的技术支持人员多为安全建设项目中的乙方,获取外部情报相对容易,对攻击队来说亦然。这就涉及到了供应链安全问题,而该问题主要由组织方考虑,本文不展开分析。

对抗手段及能力

在事中对抗中,绝大多数的工作中心应该是在于--监控,监控能力的重要因素也取决于监控人员对应用系统的部署情况、网络情况的了解程度,借助下一代防火墙、WAF、ID/PS、态势感知平台等等安全设备做到网内全流量监控。 通过日常的攻击行为监控,并在外部情报的驱动下及时对网络安全设备调优、升级。譬如在无规则库更新的情况下知悉相关应用系统漏洞的利用点、注入点时及时在各设备中人工介入添加告警、阻断规则等。

3、事后总结

① 建立行业分级情报中心,将目前手动的、随机的、弱分析的情报收集模式升级为自动的、有机的、强分析的情报管理模式。防守方的本地情报中心主要为本地服务,组织方的情报中心则主要为行业整体乃至国家服务,最终都是为了发现网络安全风险与威胁,应用到攻防演练之外的各种真实场景当中。

② 不断提高安全工作的工程化能力(包括信息情报、采购能力、新技术应用能力、样例的工程实现与测试能力等),更好地将情报转化为实际的防护措施。

③ 不断提高安全风险管理意识,用与时俱进的攻防思路做好安全管理。

最后,引用《总体战》书中的一句名言:“战争,以一方失去战斗意志为结束”,因此我们不能以一次成败论英雄。可以预见,攻防演练将一轮又一轮的开展下去,基于国家的强大意志以及网络安全越来越和我们的生存发展切身相关,我们的战斗意志将永不熄灭!

实战分析:乙方视角下行业攻防演练

本文始发于微信公众号(信安之路):实战分析:乙方视角下行业攻防演练

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: