准备充分迎挑战:某政府单位防守实例
相较于金融企业、互联网企业,政府单位的信息化和网络安全建 设起步相对较晚,信息系统自身的健壮性和网络安全防护能力均有不 足,面临的攻击路径更多,防守面更广,防守压力更大。某政府单位 在参加大型实战攻防演练时,充分分析行业特点和自身情况,总结出 具有自身特点的防守方案。
三项措施,演练前期充分备战
攻防演练的准备阶段对所有防守单位来说是最重要也最基础的阶 段,该阶段工作的执行情况决定了参演单位的最终防守成绩。该阶段 旨在摸清当前单位的整体网络安全现状,找到网络边界和网络内部的 风险,通过一系列风险管理和技术手段,对所有风险实现相对清零。 某政府单位制定了“1个组织,2个机制,3个任务”的三项工作实施措 施(见图10-5),详细说明如下。
图10-5 实战攻防演练准备阶段的工作架构图
1)明确1个组织。经前期评估,明确了清晰的工作组织:分管理 层和执行层,执行层又分安全监测、研判分析、应急处置和溯源取证4 个工作小组,负责实施措施的落实和各安全工作的执行。
2)确定2个机制。没有沟通,就没有管理;没有运营,就无法解 决发现的安全隐患。如果缺少沟通和运营,一系列安全实施措施和行 为就成了只有设想缺乏活力的机械行为。因此,该政府单位在建立工 作组织的同时确定了防守团队的沟通机制和运营机制。
① 建立沟通机制,旨在让执行层将每天、每周的工作成果和困难
及时与管理层同步,便于管理层整体了解工作进度和困难,并协助解 决困难。为此,最后确定执行层各组成员每天召开收工会,每周向管 理层汇报工作进度、困难和成果。同时,项目组还创建了一线人员工 作即时通信的渠道,方便工作人员之间沟通和同步工作。
② 建立运营机制,旨在让执行层在检查出风险后,通过管理和技
术手段有效降低风险。同时,运营机制是执行层在正式攻防演练期间 遇到攻击时,预警和传递信息的关键。
项目组确定攻防演练前期建立通过安全排查发现风险,管理层协 助整改、消除风险的工作模式;确定正式攻防演练期间建立“安全监 测组实时监测—分析研判组研判分析—应急处置组立即处置—溯源取 证组取证溯源”的流程机制,实现安全防护工作的闭环。
3)完成3个任务。明确工作组织架构、建立安全工作机制之后, 需要确认3个重要问题:资产是否非常清晰?网络是否做好隔离?风险 是否相对清零?
对应这3个问题,就产生了如下3个任务。
-
建 立 清 晰 的 资 产 信 息 。网络安全工作是围绕网络安全信息资产展开的,因此,详细、彻底的资产梳理工作是攻防演练项目组最重要 的工作之一。工作人员不断整理,将网络资产、安全资产、业务系统 资产(归类)、人员信息和单位信息录入台账,为后续开展安全检 查、攻防演练预演和正式攻防演练确认了准确的基础信息。
-
进 行 严 格 的 网 络 隔 离 。一是网络出口越多代表暴露面越大,因此收紧网络出口、进行网络出口割接工作是本次工作的重中之重;二 是对各网络出口边界基础设施做好隔离,如边界负载均衡、防火墙、 WAF、流量监测系统等;三是对应用系统实行网格式隔离。为了实现 网格式隔离,对网络安全配置策略进行细化,开启虚拟化云平台虚拟 工作组策略,启用主机防御的配置策略,尤其对关键业务系统采用更 加严格的安全配置。
-
确 保 风 险 相 对 清 零 。风险相对清零的前提是找出整体网络中技术层面和管理层面的各类风险。项目组通过一系列安全检查工作,针 对网络架构、网络设备、应用系统、人员安全意识、管理流程等开展 风险检查,发现并解决了多个风险点。同时根据历年实战攻防演练中 常用的攻击方式,如弱口令、集权系统漏洞、供应链攻击等,成立专 项问题整改组进行重点攻坚;建立并动态维护风险台账,派专人跟踪 问题清零,对于存在高危风险的资产进行下线处理。
三段作战,破解演练防守困境
在演练的正式阶段,将整个演练分成三个阶段,再将每个阶段分 为前后两个阶段。每个阶段,关键指标会有不同的表现。在大型实战 攻防演练中,可以根据安全事件关键指标的变化判断当前所处的阶 段,并采取应对措施。详细的三段作战如图10-6所示。
图10-6 实战攻防演练三段作战图
第一阶段是体力战。在第一阶段的前段会发生相对较多的安全事 件,其中扫描类和工具测试类的告警占比很高,此时攻击队在不断摸 索进攻路径。在第一阶段的后段会发现扫描类的事件有所下降,但是 漏洞类和上传类的事件有所上升,此时攻击队找到了一些可以攻击的 路径并不断开始试探性攻击。此阶段的战术重心是依靠防守人员抵御 外敌,通过监控发现攻击行为,并根据攻击队不断的尝试做出抵御动 作。此阶段主要依靠防守人员监测攻击和处置人员不断阻断攻击源 头,因此称为“体力战”。
第二阶段是心理战。第二阶段代表蓝队突破边界,进入内网。在 第二阶段的前段会出现主机扫描类的事件上升。蓝队在找到路径并尝 试攻击后,将会对目标主机展开猛烈攻击,此时被攻击的主机会产生 大量的告警,并且红队应该更关注主机的告警,针对每一个告警都要做出及时有效的研判。只要发现并及时处置,不断打断和剔除攻击 者,就会对蓝队的信心造成较大影响,尤其是随着攻防演练时间后 延,剔除蓝队隐藏的攻击源头越多,对其心理打击就越大。在第二阶 段的后段,主机扫描类事件下降,但操作系统和漏洞类安全事件将会 上升。防守队需要保证对每一个告警处置的及时性和有效性。在此阶 段红队和蓝队的心理对抗更加明显,战术重心是剔除内患,因此称为 “心理战”。
第三阶段是死拼战。在第三阶段的前段会出现扫描类、漏洞类、 上传类事件同时攀升。随着攻击和防守进入白热化,更多攻击资源会 在最后阶段集中起来。红队的压力也会达到整个防守阶段的峰值,不 但要及时分辨激增的告警信息,更要从中发现并研判攻击事件,如果 处置不及时或处置有偏差都会带来巨大的影响。在第三阶段的后段, 主机扫描类事件会再次攀升,攻防双方在此决战,拼技术,拼毅力, 不到最后时刻谁都不会放弃。第三阶段的战术重心是严防死守,因此 称为“死拼战”。
防守过程中,还要基于数据的变化来控制整体的防守节奏。通过 及时优化和调整,尽量把蓝队控制在第一阶段,一般第一阶段拖的时 间越长,越会减少红队的压力并带来较好的成绩。第二阶段的前段和 第三阶段的后段是防守的关键阶段,也是能否取得好成绩的关键,这 两段如果部署清晰明确,将会大幅提升整个演练的效果和成绩。
通过此次实战攻防演练中的防守实践,该单位成功保护了目标系 统未被攻破,并取得了优异的防守成绩。经过实战的打磨,不断细化 和完善实战攻防演练的工作方法,增强防守工作方法的执行力度,提 高工作方法的准确性,该单位加强了网络安全实战化防护的整体能 力。
第一阶段是体力战。在第一阶段的前段会发生相对较多的安全事 件,其中扫描类和工具测试类的告警占比很高,此时攻击队在不断摸 索进攻路径。在第一阶段的后段会发现扫描类的事件有所下降,但是 漏洞类和上传类的事件有所上升,此时攻击队找到了一些可以攻击的 路径并不断开始试探性攻击。此阶段的战术重心是依靠防守人员抵御 外敌,通过监控发现攻击行为,并根据攻击队不断的尝试做出抵御动 作。此阶段主要依靠防守人员监测攻击和处置人员不断阻断攻击源 头,因此称为“体力战”。
第二阶段是心理战。第二阶段代表蓝队突破边界,进入内网。在 第二阶段的前段会出现主机扫描类的事件上升。蓝队在找到路径并尝 试攻击后,将会对目标主机展开猛烈攻击,此时被攻击的主机会产生 大量的告警,并且红队应该更关注主机的告警,针对每一个告警都要做出及时有效的研判。只要发现并及时处置,不断打断和剔除攻击 者,就会对蓝队的信心造成较大影响,尤其是随着攻防演练时间后 延,剔除蓝队隐藏的攻击源头越多,对其心理打击就越大。在第二阶 段的后段,主机扫描类事件下降,但操作系统和漏洞类安全事件将会 上升。防守队需要保证对每一个告警处置的及时性和有效性。在此阶 段红队和蓝队的心理对抗更加明显,战术重心是剔除内患,因此称为 “心理战”。
第三阶段是死拼战。在第三阶段的前段会出现扫描类、漏洞类、 上传类事件同时攀升。随着攻击和防守进入白热化,更多攻击资源会 在最后阶段集中起来。红队的压力也会达到整个防守阶段的峰值,不 但要及时分辨激增的告警信息,更要从中发现并研判攻击事件,如果 处置不及时或处置有偏差都会带来巨大的影响。在第三阶段的后段, 主机扫描类事件会再次攀升,攻防双方在此决战,拼技术,拼毅力, 不到最后时刻谁都不会放弃。第三阶段的战术重心是严防死守,因此 称为“死拼战”。
防守过程中,还要基于数据的变化来控制整体的防守节奏。通过 及时优化和调整,尽量把蓝队控制在第一阶段,一般第一阶段拖的时 间越长,越会减少红队的压力并带来较好的成绩。第二阶段的前段和 第三阶段的后段是防守的关键阶段,也是能否取得好成绩的关键,这 两段如果部署清晰明确,将会大幅提升整个演练的效果和成绩。
通过此次实战攻防演练中的防守实践,该单位成功保护了目标系 统未被攻破,并取得了优异的防守成绩。经过实战的打磨,不断细化 和完善实战攻防演练的工作方法,增强防守工作方法的执行力度,提 高工作方法的准确性,该单位加强了网络安全实战化防护的整体能 力。
2685
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
