临战阶段:战前动员,鼓舞士气
经历了备战阶段的查缺补漏、城防加固等工作,红队的安全防护 能力在技术方面、管理方面和运营方面都有了较大提升。为了更好地 协同配合,高效地应对实战阶段的攻击,减少分析处置事件的时间, 提高防守的效果,还需要做好临战阶段的动员工作。
临战阶段的动员工作建议从以下4方面开展。 (1)工作清点
工作清点的目的是对工作计划清单进行复盘,检查工作完成情 况,再次确认备战阶段所有工作任务均已完成。同时,实施排期至临 战阶段的相关工作任务,例如,对不能整改的安全问题进行访问控 制,关停下线非必要系统等。
1)业务系统暂停服务。为了使防守更加精细化,缩小受攻击面, 使防护目标更加明确,在不影响正常业务系统运行的情况下,可以进 行业务连续性需求评估,关停存在安全风险但不能及时修复的服务 器,并做好记录。(关停服务器不是只关闭服务器的对外映射,而是 要将整个服务器下线,避免内网横向拓展时被利用。)
2)关闭服务器对外访问权限。所有服务器,包括DMZ和应用、数 据库服务器等,均应禁止访问互联网,如有必须主动外连的需求,尽 可能确定需要访问的IP地址并开临时白名单。若为了服务器下载软件 或升级方便,开放访问互联网的权限,攻击者可轻易通过建立反向代 理等方式远程控制服务器,进而对内部网络进行扩散攻击。
3)集权类系统排查和暂停服务。集权类系统一般都是攻击者打击 的主要目标。拿下集权类系统,可以获得其所管辖范围内的所有主机 的控制权。集权类系统包括域控制器服务器(Domain Controller)、 DNS服务器、备份服务器、ITSM运维管理系统、Zabbix、Nagios、堡垒 机等集成监控维护系统,研发服务器、SVN、Git、研发个人终端、运 维个人终端,以及VPN登录及单点登录入口等。
根据以往的工作经验,集权类系统存在0day漏洞的概率比较大。 集权类系统如果被攻击者利用,反而会给攻击者更多的辅助性手段, 他们通过集权类系统可以拿下大批主机。因此在实战期间,集权类系 统若存在安全漏洞且无法及时修复,建议关闭系统、暂停服务。
4)服务器日志检查分析(失陷检测)。在实战之前,可以使用 Web日志失陷检测平台和主机日志分析平台分析关键服务器的Web日志 和Windows操作系统日志,对其关键服务器进行一次排查,查看是否存 在被入侵的痕迹。确保服务器在实战之前“干净”的。后续在实战阶 段,也需要定期通过分析平台对日志进行分析,以发现可能被防护设 备遗漏的入侵行为。
(2)战前动员
战前动员主要包含4部分工作:一是在实战演练开始前,召开现场 战前动员会,统一思想,统一战术,提高斗志,达成共识;二是强调 防守工作中的注意事项,攻击手段多种多样,为防止被攻击利用,防 守人员要严格遵守纪律红线,做到令行禁止;三是提高大家的攻防意 识,对攻击过程进行剖析,对常见的攻击手段部署针对性的防守要 点,做到有的放矢;四是明确奖惩制度,做到有赏有罚,所有参战单 元既有目标又有压力,才能够产生强烈的动力,努力完成任务。
(3)宣贯工作流程
宣贯工作流程的目的:一是对参与防守工作的人员进行任务分 工,说明工作职责,让其各司其职,并使其了解网络环境、资产情 况、业务流向等情况;二是固化每日工作流程,使各岗位协同配合, 做好攻击事件的监测处置、研判上报、溯源处置和情报共享等工作; 三是宣贯制定的工作排班计划、交接班要求等。通过完善工作流程令 防守工作有序、有效,提升防守的效果。
(4)战术培训
战术培训的主要工作内容有两项:一是由安全专家分享其他单位 的网络安全实战攻防演练经验,宣贯各阶段的攻击特征,协助防守队 制定针对不同攻击场景的防守战术;二是由安全专家对演练评分规则 进行详细解读,提高参演人员对演练的认知。
实战阶段:全面监测,及时处置
攻守双方在实战阶段正式展开全面对抗。防守方须依据备战的明 确组织和职责,集中精力和兵力,做到监测及时、分析准确、处置高 效,力求系统不破、数据不失。
在实战阶段,从技术角度总结,应重点做好以下4点。 (1)全面开展安全监测预警
在实战阶段,监测人员须具备基本的安全数据分析能力,能根据 监测数据、情报信息判断攻击的有效性。如存疑,应立即协同专业分 析人员进行分析,确保监控可以实时发现攻击,不漏报,为处置工作 提供准确信息。监测工作应覆盖整个攻击队的攻击时间。
(2)全局性分析研判工作
在实战防护中,分析研判应作为核心环节,分析研判人员要具备 攻防技术能力,熟悉网络和业务。分析研判人员作为整个防护工作的 大脑,应充分发挥专家和指挥棒的作用:向前,对监测人员发现的攻 击预警、威胁情报进行分析和确认;向后,指导和协助事件处置人员 对确认的攻击进行处置。
(3)提高事件处置效率效果
确定攻击事件成功后,最重要的是在最短时间内采取技术手段遏 制攻击,防止攻击蔓延。事件处置环节,应联合网络、主机、应用和 安全等多个岗位的人员协同处置。
(4)追踪溯源,全面反制
在发现攻击事件后,防守队可根据安全防护设备、安全监测设备 产生的告警信息和样本信息等,结合各种情报系统追踪溯源。条件允 许时,可通过部署诱捕系统反制攻击队,拿下攻击终端。
512
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
