新时代网络安全的显著特征是技术对抗。为了大力提升网络安全技术对抗能力,需要建设网络安全保护平台,建设网络安全智慧大脑,利用大数据和人工智能等技术将网络安全业务上图,实施挂图作战。
什么是“技术对抗”?
网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较量。攻防是方法、谋略、资源、人才队伍方方面面的较量,需要深入研究黑客(组织)的攻击手法、攻击思路、攻击过程。针对黑客攻击,防护单位应积极落实网络安全“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”(网络安全“三化六防”)的要求,变被动防护为主动防御、变静态防护为动态防御、变单点防护为整体防控、变粗放防护为精细防护,灵活、高效地开展对抗,切实掌握网络安全工作的主动权。
什么是“对抗反制”?
网络安全防护是一项持久性的工作,也是一项需要统筹策划、各部门密切协作配合的系统性、综合性工程,涉及规划、措施、资源、技术等多个方面。
第一,网络攻防对抗要做到知己知彼。防守者要对攻击者的攻击手段、攻击方法、攻击渠道、攻击武器、攻击策略有所了解,同时要清楚自身的网络布局和资产情况、熟悉已有的防护设备和工具,这样才能有针对性地制定策略、调整网络配置和防守的方式方法。
第二,网络攻防对抗,既是技术对抗,也是心理对抗。防守者梳理自身资产情况及网络配置后,需要从内到外、从核心到边界,提高各级人员的安全意识,落实安全责任,减小被攻击者发现漏洞的风险,降低攻击者渗透的成功率。除了采用技术手段,防守者还需要运用社会工程学、心理学等技巧,持续调整应对策略,逐步实现动态防御。
第三,网络攻防对抗是“魔高一尺、道高一丈”的演变过程。随着新技术的逐步应用和防护措施的升级,攻击者也会不断变换技术手段。例如,针对物联网终端、区块链系统、云计算平台、大数据系统等,除传统攻击手段外,攻击者还可能采用人工智能、大数据情报分析等技术进行渗透。
技术对抗挂图作战
网络安全的本质是攻防对抗,攻防对抗的本质是攻防两端力量的较量。网络安全保护过程其实是一个周而复始的技术对抗和较量的过程。从网络安全保护业务工作开展的实际情况看,技术对抗既体现在日常防护工作中,也体现在网络安全攻防演练活动中。在这两个场景中,技术对抗的双方是攻击方和防守方,也称为攻方和守方。在攻击链条上的每一步,攻击方通过各类技术和社会工程学手段对目标进行情报收集,根据攻击经验,综合分析多源情报,了解目标的弱点,然后尝试进行各种渗透攻击,以获取有利于下一步攻击的据点和资源,并对攻击实施过程和攻击效用进行评估,为下一步攻击策略的选择做准备。针对攻击方采取的攻击操作,防守方的监测设备实时进行威胁攻击数据的监测采集,通过分析计算、策略选择制定防护策略,并依托防护设备进行实时防护,通过评估确定防护策略的效果。
网络安全技术对抗挂图作战业务与要素如图所示,体现了网络安全攻防对抗过程中的目标资产、目标系统状态、安全漏洞、攻击策略、防护策略、攻击代价、防护代价、攻击手段、防护措施、攻击效用、防护效果等。从攻击方和防守方的视角,网络安全技术对抗要素包括:攻击相关要素,如攻击工具、所利用资源、行为活动、破坏效果、攻击策略、攻击效用;防守相关要素,如保护目标、监测设备、防护设备、监测数据、遭攻击资产、防护策略、防护效果;对抗相关要素,如对抗态势、对抗评估。
图示 技术对抗挂图作战业务与要素
网络安全技术对抗负责人、指挥官关心的重点问题如下:
- 网络安全保护目标遭攻击情况、遭利用情况。
- 评估当前遭攻击利用的情况,以及采取何种策略进行处置。
- 根据当前攻守双方的对抗态势,评估攻击方下一步可能采取的攻击策略,作出防护决策。
- 评估攻守双方的对抗态势和对抗效果。
小结
原文始发于微信公众号(关键信息基础设施安全保护联盟):网络安全挂图作战之技术对抗挂图作战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论