反观实战攻防演练的演变,越来越接近于实战化,演练过程中采用的攻击手段与在互联网侧遭受到的真实攻击手段基本一致,在近两年的实战攻防演练中也可以看到,除了传统的应用系统渗透外,0day攻击、1day攻击、Nday攻击、网络钓鱼、定向水坑、物理攻击等攻击方式层出不穷,这些方式相互结合,对网络安全体系的抗攻击能力提出了非常高的要求。
2019年某次实战攻防演练中,攻击队将目标锁定为某城商行,首先利用该城商行应用系统聊天窗口存在的XSS漏洞,向该银行客服人员发送包含恶意代码的文件,并通过客服电话成功诱导客服点击该文件,成功地控制了该行客户人员的终端。并配合其他辅助技术手段,以客服人员办公用机为互联网防线的突破口,成功渗入内网,在该单位“重边界、轻内网”的安全防护机制下,内网的防御机制脆弱,攻击队利用常规漏洞及弱口令等常用的攻击方式,在内网顺利拿下多个内网服务器及数据库权限,并最终获得了个人网银系统的主机权限。
从上面的案例可以看出,中小型银行在应对实战攻防演练上还面临着巨大的挑战。如何做好实战攻防演练的准备工作,我们总结了如下经验,希望对您有所参考价值!
1、易受攻击的系统与设施需要重点关注
通过多年来的实战攻防演练分析发现,银行客户在实战攻防演练中容易被攻击的系统主要集中在门户网站、信用卡系统、网银、电子商城等应用系统,除了这些核心业务系统外,一些非业务类的应用、中间件、平台等都可能作为主要攻击路径成为攻击者突破的重点,常见的攻击路径包括客服系统、教育培训系统、邮件系统等,也包括分支机构、开发测试网、金融云平台、第三方接入区、VPN、集权类系统、可以接入内部网络的个人终端等基础支撑环境。
2、以协同优先为原则,组织实战攻防演练工作
实战攻防演练是一个多军种作战、高频对抗的过程,在实战过程中,对“组织”的有效性有很高的要求,中小型银行可以考虑由行内高层领导挂帅,协调整体的演练工作;网络安全部门作为主责方,牵头实战攻防演练的整体工作落实;数据中心作为主防单位,负责安全设备部署、安全监控等工作的落实;开发中心作为重要的处置单位,配合安全部门和数据中心整改已发现的应用系统问题。
3、强化积极防御能力,降低被攻陷的可能
在实战攻防演练防守期间,除了传统的防护设备,如防火墙、WAF、IDS/IPS之外,要采用网络安全滑动标尺模型中的叠加演进的理念,既要审视与补充原有纵深防护体系中对内网防护能力的不足,又要构建全面的安全监测能力,例如通过部署流量层面的威胁检测手段以及主机侧行为监测手段,并结合专业人员的威胁分析能力,及时发现进入到内网的攻击行为,并采取有效的处置措施,降低攻击带来的影响。
4、吸取大行经验,细节决定成败
由于实战攻防演练与渗透测试不同,攻击队会高度模拟黑客攻击的模式采用不限制攻击路径的方式开展攻击,所以,攻击的范围可能会被无限延伸,对于中小型银行,需要在有相对完善安全防御体系的基础上关注细节,避免因一些小的疏漏而失去全局,经过与各大银行实战攻防演练经验总结,提供细节关注点示例如下:
5、通过实战攻防演练推动安全防护能力建设
实战攻防演练是阶段性的,但是安全工作是持久的,除了定期进行安全评估和渗透测试,有必要常态化组织开展本机构的实战攻防演练工作,评估当前安全防护状况,加强组织内部协调。同时将实战演练时开展的安全工作下沉到日常工作中,避免在实战攻防演练前期短时间的突击,才能达到更好的效果。
6、提升内部人员防护能力才是根本
安全的本质是人的对抗,提升企业内部安全人员自身的能力,才是从源头上提升安全能力。通过场景化安全运营培训,利用虚拟化平台,模拟实战化场景,采用创新的分组轮循式实操教学方式,为客户单位培养优秀的网络安全防护岗位人员,有效提升本单位发现和处置当前多种网络攻击的防护能力。
实战攻防演练的最佳实践
近年来,奇安信参与了众多国家级、省市级以及大型企业的实战攻防演练,积累并总结出一套完整的实战攻防演练防守经验及最佳实践。奇安信实战攻防演练防护框架如下:
为了更好地应对实战攻防演练工作,中小型银行客户需要经历如下几个过程:
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):实践分享 | 中小型银行实战攻防演练经验分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论