实战攻防演练的结束也是红队改进防守工作的开始。在每次红蓝 对抗演练结束后,应对各阶段进行充分、全面的复盘分析,提出整改 措施。一般须遵循“遗留最小风险”和“问题相对清零”的原则持续 优化防守策略,对不足之处进行整改,进而逐步提升防守水平。因 此,红队可通过沙盘推演、桌面推演等方式找出自己在备战阶段、临 战阶段、实战阶段存在的纰漏,涉及以下方面:工作方案、组织管 理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与 防护设备的部署、安全意识、应急预案、注意事项、队伍协同、情报 共享和使用、反制战术、防守作战指挥策略等。同时,结合实战攻防 对抗过程中发现的网络架构、主机安全、数据库安全、应用安全、安 全和网络设备、身份安全、供应链等方面的风险和问题进行整改,输 出管理、技术、运维三方面问题的整改措施和计划,实现风险和问题 闭环清零。
复盘总结
本节主要阐述红队防守工作活动的关键复盘动作,复盘动作将分 为管理动作和技术动作两方面。另外,总体复盘任务包括但不限于以 下关键动作,防守单位在复盘工作开展时可以增加总结动作。
(1)设定防守工作目标
结合防守单位自身网络安全的实际情况,设定符合单位防守实际 的工作目标,目标不应过高也不应过低。目标过高,意味着防守工作 投入过大;目标过低,则无法通过演练检验实际的网络安全短板具体 在哪里。所以,应该复盘是否结合了单位网络安全建设的实际水平设 定工作目标。演练活动结束后,检验是否达到预期目标。达到或未达 到预期目标都需要总结,并反思为什么能达到或未达到,即需对目标 结果完成复盘分析。
(2)制订工作方案
复盘工作方案,根据整体防守实施过程分析方案的完备性,以实 际工作过程检验制订的方案中是否存在缺失项。
(3)组织架构和分组职责
复盘是否成立了有足够推动力、可以实现跨部门统筹和协调工作 的领导小组,防守工作小组结构是否健全、完备,各小组职责是否清 晰、完备。分析防守过程中是否存在因职责不明确或组织架构不全, 导致无法感知攻击行为或感知攻击行为后无法及时处置的问题。
(4)防守靶标系统基本信息调研
应该复盘演练前是否对靶标系统的基本信息进行过调研,选择靶 标系统时是否遵循了选择原则,是否调研过靶标系统部署的网络环 境、主机操作系统类型、中间件类型、数据库类型、应用系统开发语 言和开发框架信息,以及靶标系统网络访问策略情况、业务交互情 况、攻击靶标系统的关键攻击路径和运维管理节点是否可控等。
(5)防守单位和人员确认
复盘是否制作了完整的防守单位和人员排班表,是否制作了工作 人员技术能力画像表,技术人员所在的技术岗位职责是否清晰,所在 岗位人员能力是否满足岗位要求等。
(6)工作启动会
复盘防守过程中是否正式召开了工作启动会,是否有具备足够推 动力的领导参加启动会,是否所有相关的防守单位均参加了启动会。
(7)签署保密协议
复盘是否所有第三方参演单位的工作人员都签署了保密协议。参 与工作人员不仅包含实际参战的技术人员,还包括商务、会务和后勤 保障等成员。即使所有工作人员都签署了保密协议,还是需要在启动 会中全员宣贯和强调安全保密的意识。
(8)沟通软件部署
复盘演练活动中是否部署了高效的沟通软件,沟通组织的各个工 作小组人员是否熟练使用软件功能,复盘有没有需要改进的通信组织 结构和账号权限建议。高效的沟通机制是红队防守成功的前提。
(9)防守工作场地
按照各单位攻防演练活动中红队实际参演人数的规模大小,复盘 是否准备了适当的工作场地。一般红队防守工作将持续1~2周甚至更 长时间,因此需要根据防守人数考虑工作场地面积大小、物资保障物 品多少和保障物质的输送频率。此外,还需考虑场地是否需要屏幕, 网络、防守终端设备是否通畅,桌椅板凳是否齐全、舒适等。
(10)制订应急预案和流程
复盘红队防守工作方案中是否包含安全应急预案,检查前期预案 是否包含不同场景,并按照场景设计了符合单位实际的应急处置流 程。
(11)防守规则调研
检查攻防演练活动中红队防守工作的备战阶段,项目组是否充分 了解防守规则,是否对防守规则进行过研讨并制订了规则解读表。
(12)系统资产梳理
复查资产及台账管理,检查防守过程中是否存在由硬件、软件、 数据资产梳理不清或者台账不全、不准确导致资产受损无感知甚至对 遭受的攻击行为无法分析等问题。
(13)部署基础设备
复查防守工作中的基础设备部
最低0.47元/天 解锁文章
424
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
