攻防演练-安全防御体系建设实例

准备充分迎挑战:某政府单位防守实例

相较于金融企业、互联网企业,政府单位的信息化和网络安全建 设起步相对较晚,信息系统自身的健壮性和网络安全防护能力均有不 足,面临的攻击路径更多,防守面更广,防守压力更大。某政府单位 在参加大型实战攻防演练时,充分分析行业特点和自身情况,总结出 具有自身特点的防守方案。

三项措施,演练前期充分备战

攻防演练的准备阶段对所有防守单位来说是最重要也最基础的阶 段,该阶段工作的执行情况决定了参演单位的最终防守成绩。该阶段 旨在摸清当前单位的整体网络安全现状,找到网络边界和网络内部的 风险,通过一系列风险管理和技术手段,对所有风险实现相对清零。 某政府单位制定了“1个组织,2个机制,3个任务”的三项工作实施措 施(见图10-5),详细说明如下。

图10-5 实战攻防演练准备阶段的工作架构图

1)明确1个组织。经前期评估,明确了清晰的工作组织:分管理 层和执行层,执行层又分安全监测、研判分析、应急处置和溯源取证4 个工作小组,负责实施措施的落实和各安全工作的执行。

2)确定2个机制。没有沟通,就没有管理;没有运营,就无法解 决发现的安全隐患。如果缺少沟通和运营,一系列安全实施措施和行 为就成了只有设想缺乏活力的机械行为。因此,该政府单位在建立工 作组织的同时确定了防守团队的沟通机制和运营机制。

① 建立沟通机制,旨在让执行层将每天、每周的工作成果和困难

及时与管理层同步,便于管理层整体了解工作进度和困难,并协助解 决困难。为此,最后确定执行层各组成员每天召开收工会,每周向管 理层汇报工作进度、困难和成果。同时,项目组还创建了一线人员工 作即时通信的渠道,方便工作人员之间沟通和同步工作。

② 建立运营机制,旨在让执行层在检查出风险后,通过管理和技
术手段有效降低风险。同时,运营机制是执行层在正式攻防演练期间 遇到攻击时,预警和传递信息的关键。

项目组确定攻防演练前期建立通过安全排查发现风险,管理层协 助整改、消除风险的工作模式;确定正式攻防演练期间建立“安全监 测组实时监测—分析研判组研判分析—应急处置组立即处置—溯源取 证组取证溯源”的流程机制,实现安全防护工作的闭环。

3)完成3个任务。明确工作组织架构、建立安全工作机制之后, 需要确认3个重要问题:资产是否非常清晰?网络是否做好隔离?风险 是否相对清零?

对应这3个问题,就产生了如下3个任务。

  • 建 立 清 晰 的 资 产 信 息 。网络安全工作是围绕网络安全信息资产展开的,因此,详细、彻底的资产梳理工作是攻防演练项目组最重要 的工作之一。工作人员不断整理,将网络资产、安全资产、业务系统 资产(归类)、人员信息和单位信息录入台账,为后续开展安全检 查、攻防演练预演和正式攻防演练确认了准确的基础信息。

  • 进 行 严 格 的 网 络 隔 离 。一是网络出口越多代表暴露面越大,因此收紧网络出口、进行网络出口割接工作是本次工作的重中之重;二 是对各网络出口边界基础设施做好隔离,如边界负载均衡、防火墙、 WAF、流量监测系统等;三是对应用系统实行网格式隔离。为了实现 网格式隔离,对网络安全配置策略进行细化,开启虚拟化云平台虚拟 工作组策略,启用主机防御的配置策略,尤其对关键业务系统采用更 加严格的安全配置。

  • 确 保 风 险 相 对 清 零 。风险相对清零的前提是找出整体网络中技术层面和管理层面的各类风险。项目组通过一系列安全检查工作,针 对网络架构、网络设备、应用系统、人员安全意识、管理流程等开展 风险检查,发现并解决了多个风险点。同时根据历年实战攻防演练中 常用的攻击方式,如弱口令、集权系统漏洞、供应链攻击等,成立专 项问题整改组进行重点攻坚;建立并动态维护风险台账,派专人跟踪 问题清零,对于存在高危风险的资产进行下线处理。

三段作战,破解演练防守困境

在演练的正式阶段,将整个演练分成三个阶段,再将每个阶段分 为前后两个阶段。每个阶段,关键指标会有不同的表现。在大型实战 攻防演练中,可以根据安全事件关键指标的变化判断当前所处的阶 段,并采取应对措施。详细的三段作战如图10-6所示。

图10-6 实战攻防演练三段作战图

第一阶段是体力战。在第一阶段的前段会发生相对较多的安全事 件,其中扫描类和工具测试类的告警占比很高,此时攻击队在不断摸 索进攻路径。在第一阶段的后段会发现扫描类的事件有所下降,但是 漏洞类和上传类的事件有所上升,此时攻击队找到了一些可以攻击的 路径并不断开始试探性攻击。此阶段的战术重心是依靠防守人员抵御 外敌,通过监控发现攻击行为,并根据攻击队不断的尝试做出抵御动 作。此阶段主要依靠防守人员监测攻击和处置人员不断阻断攻击源 头,因此称为“体力战”。

第二阶段是心理战。第二阶段代表蓝队突破边界,进入内网。在 第二阶段的前段会出现主机扫描类的事件上升。蓝队在找到路径并尝 试攻击后,将会对目标主机展开猛烈攻击,此时被攻击的主机会产生 大量的告警,并且红队应该更关注主机的告警,针对每一个告警都要做出及时有效的研判。只要发现并及时处置,不断打断和剔除攻击 者,就会对蓝队的信心造成较大影响,尤其是随着攻防演练时间后 延,剔除蓝队隐藏的攻击源头越多,对其心理打击就越大。在第二阶 段的后段,主机扫描类事件下降,但操作系统和漏洞类安全事件将会 上升。防守队需要保证对每一个告警处置的及时性和有效性。在此阶 段红队和蓝队的心理对抗更加明显,战术重心是剔除内患,因此称为 “心理战”。

第三阶段是死拼战。在第三阶段的前段会出现扫描类、漏洞类、 上传类事件同时攀升。随着攻击和防守进入白热化,更多攻击资源会 在最后阶段集中起来。红队的压力也会达到整个防守阶段的峰值,不 但要及时分辨激增的告警信息,更要从中发现并研判攻击事件,如果 处置不及时或处置有偏差都会带来巨大的影响。在第三阶段的后段, 主机扫描类事件会再次攀升,攻防双方在此决战,拼技术,拼毅力, 不到最后时刻谁都不会放弃。第三阶段的战术重心是严防死守,因此 称为“死拼战”。

防守过程中,还要基于数据的变化来控制整体的防守节奏。通过 及时优化和调整,尽量把蓝队控制在第一阶段,一般第一阶段拖的时 间越长,越会减少红队的压力并带来较好的成绩。第二阶段的前段和 第三阶段的后段是防守的关键阶段,也是能否取得好成绩的关键,这 两段如果部署清晰明确,将会大幅提升整个演练的效果和成绩。

通过此次实战攻防演练中的防守实践,该单位成功保护了目标系 统未被攻破,并取得了优异的防守成绩。经过实战的打磨,不断细化 和完善实战攻防演练的工作方法,增强防守工作方法的执行力度,提 高工作方法的准确性,该单位加强了网络安全实战化防护的整体能 力。

第一阶段是体力战。在第一阶段的前段会发生相对较多的安全事 件,其中扫描类和工具测试类的告警占比很高,此时攻击队在不断摸 索进攻路径。在第一阶段的后段会发现扫描类的事件有所下降,但是 漏洞类和上传类的事件有所上升,此时攻击队找到了一些可以攻击的 路径并不断开始试探性攻击。此阶段的战术重心是依靠防守人员抵御 外敌,通过监控发现攻击行为,并根据攻击队不断的尝试做出抵御动 作。此阶段主要依靠防守人员监测攻击和处置人员不断阻断攻击源 头,因此称为“体力战”。

第二阶段是心理战。第二阶段代表蓝队突破边界,进入内网。在 第二阶段的前段会出现主机扫描类的事件上升。蓝队在找到路径并尝 试攻击后,将会对目标主机展开猛烈攻击,此时被攻击的主机会产生 大量的告警,并且红队应该更关注主机的告警,针对每一个告警都要做出及时有效的研判。只要发现并及时处置,不断打断和剔除攻击 者,就会对蓝队的信心造成较大影响,尤其是随着攻防演练时间后 延,剔除蓝队隐藏的攻击源头越多,对其心理打击就越大。在第二阶 段的后段,主机扫描类事件下降,但操作系统和漏洞类安全事件将会 上升。防守队需要保证对每一个告警处置的及时性和有效性。在此阶 段红队和蓝队的心理对抗更加明显,战术重心是剔除内患,因此称为 “心理战”。

第三阶段是死拼战。在第三阶段的前段会出现扫描类、漏洞类、 上传类事件同时攀升。随着攻击和防守进入白热化,更多攻击资源会 在最后阶段集中起来。红队的压力也会达到整个防守阶段的峰值,不 但要及时分辨激增的告警信息,更要从中发现并研判攻击事件,如果 处置不及时或处置有偏差都会带来巨大的影响。在第三阶段的后段, 主机扫描类事件会再次攀升,攻防双方在此决战,拼技术,拼毅力, 不到最后时刻谁都不会放弃。第三阶段的战术重心是严防死守,因此 称为“死拼战”。

防守过程中,还要基于数据的变化来控制整体的防守节奏。通过 及时优化和调整,尽量把蓝队控制在第一阶段,一般第一阶段拖的时 间越长,越会减少红队的压力并带来较好的成绩。第二阶段的前段和 第三阶段的后段是防守的关键阶段,也是能否取得好成绩的关键,这 两段如果部署清晰明确,将会大幅提升整个演练的效果和成绩。

通过此次实战攻防演练中的防守实践,该单位成功保护了目标系 统未被攻破,并取得了优异的防守成绩。经过实战的打磨,不断细化 和完善实战攻防演练的工作方法,增强防守工作方法的执行力度,提 高工作方法的准确性,该单位加强了网络安全实战化防护的整体能 力。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《红蓝攻防:构建实战化网络安全防御体系PDF》是一本关于网络安全的实践指南,旨在帮助读者构建强大的网络安全防御体系。该指南提供了红蓝攻防的方法论和实战技巧,旨在帮助企业和组织了解和应对不断变化的网络安全威胁。 首先,本指南强调了红队与蓝队的合作。红队是攻击方,模拟黑客的行为,探测网络的弱点和安全漏洞,通过实施攻击来检验蓝队的防御能力。蓝队是防御方,负责检测并修复网络安全漏洞,以提高网络防御能力。本书详细介绍了红蓝攻防的流程和技术,让读者了解红蓝攻防的关键环节和实施方法。 其次,本指南介绍了多种网络安全防御技术。例如,入侵检测系统、防火墙、反病毒软件等。同时,还介绍了信息安全管理制度的建立,包括合规性检查、风险评估和安全策略的制定。读者可以根据自己的实际情况选择适合自己企业或组织的网络安全防御技术和制度。 此外,本书还强调了人员培训的重要性。人员是网络安全的关键环节,技术再先进,若人员不具备相应的安全意识和技能,依然难以抵御网络攻击。因此,本书提供了网络安全培训的建议和方法,包括安全意识培养、技能训练和应急演练等。 总之,《红蓝攻防:构建实战化网络安全防御体系PDF》提供了从理论到实践的全方位网络安全防御指南,适用于各类企业和组织。读者可以通过该指南了解并掌握构建网络安全防御体系的关键技术和方法,以确保网络安全,并有效应对不断变化的网络威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值