攻防演练-网络安全风险收敛和安全加固具体操作流程

最新推荐文章于 2024-07-23 09:50:11 发布

securitypaper

最新推荐文章于 2024-07-23 09:50:11 发布

阅读量1.5k

点赞数

分类专栏：网络安全文章标签：安全 web安全网络

本文链接：https://blog.csdn.net/securitypaper/article/details/125598905

版权

网络安全专栏收录该内容

8 篇文章 1 订阅

订阅专栏

攻防演练-网络安全风险收敛和安全加固具体操作流程

通过攻防演习，参演单位能够充分检验自身的安全防护、攻击监测和应急处置能力。参演单位作为防守方，面对“隐蔽”的网络攻击，只有了解攻击方是如何开展攻击的，才能根据攻击特点建立完善的安全防护体系，有效抵御网络攻击。那么从防守方的角度来看，在网络安全攻防演练中应该采取哪些措施提升安全防护水平呢？

风险收敛加固是攻防演练前序阶段最重要的环节之一

在攻防演练中，前期的准备工作包括安全团队组建、演练流程制定，以及未知资产排查、安全设备 0day 排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作，我们可以把这些技术性工作概括为风险收敛与安全加固两个方向。
风险收敛与安全加固服务作为攻防演练前序阶段最重要的环节之一，聚焦于安全的多维度精细化提升，从而收敛自身攻击面，满足企业对于前期内外网资产风险测评、安全意识提升、风险事件精准捕获、防御范围最大化等多种类安全需求，全方位巩固安全防线，增强防御效果。

如何进行风险收敛加固

对攻防演练的防守方来说，可以从资产评估、安全策略检查、安全防线加固三个方面实现风险收敛与安全加固，做好攻防演练前期风险管理。

资产评估

大多数情况下，蓝队对于自己的资产情况把控不够，导致部分资产未能纳入有效监测、防护范围，形成了防护薄弱点。红队在发起进攻前，会先收集这些薄弱点，并以此为跳板攻入企业关键系统。所以，提前对资产进行评估，及时关闭“老旧”、“无主”、“无用”资产，收敛对外暴露的攻击面变得尤为重要。
公网资产评估：通过收集企业暴露在公网的资产信息和敏感信息，分析存在的未知公网资产、以及业务系统源码、账号密码暴露等安全风险，协助企业在攻击者发起信息收集前收敛外部攻击面，提升企业对自身资产的掌握程度以及应对突发安全事件的能力。
内网资产评估：从内网安全维度对主机安全产品核心功能模块的检测结果进行详细分析，从而发现操作系统、业务系统存在的风险隐患，为客户解读并持续跟进风险整改期间各类技术问题，协助企业提升操作系统、业务系统本身的健壮性，进而提高内网横向攻击门槛。

安全策略检查

安全策略可以简单理解为一组用于保护网络安全的既定规则。其目的在于控制进出网络的访问行为，保护特定网络免受攻击，同时保障网络之间的合法通信。安全人员可以结合业务需求在系统中配置合适的安全策略，对通过设备的数据流进行检验，放行符合安全策略的合法流量，阻断非法流量，实现访问控制，保证网络安全。
传统的安全策略与业务的结合度不高，难以进行高细粒度的安全分析。在攻防演练中高强度的攻击下，很容易出现策略的检测盲区，进而导致被攻破的局面。因此，在攻防演练前期对安全策略的检查、优化非常重要

安全防线加固

安全加固和优化是实现网络安全的关键环节。通过安全加固，可以在安全系统的网络层、主机层、软件层及应用层等不同范围建立起符合安全需求的安全状态，并基于此实现对企业组织安全系统的保护
安全加固是配置软件系统的过程，针对服务器操作系统、数据库及应用中间件等软件系统，通过各种不同的方法修复可能被攻击者利用的漏洞，加强系统安全配置，增加攻击者入侵的难度，提升安全防范水平。它与攻击面收敛、漏洞修复、安全策略优化及等工作形成了完整的风险管理闭环。

风险收敛加固面临的挑战

攻防演练中，企业在提升蓝队安全防护水平的主要方法之一是缩小攻击面、加固原有脆弱点。但这件事说起来容易做起来难，安全人员在试图进行风险收敛加固时，常常会面临以下挑战：
网络不具备可见性。 软件漏洞和网络盲点是常见的安全挑战。随着攻击面的扩大，减少这些漏洞和盲点需要洞察和控制所有流量，以及监控未经授权的设备或请求网络访问的用户的能力。但大部分网络活动或资产处于“隐藏”的状态，安全人员难以实现即时可见。
**网络环境复杂。**随着云环境、虚拟机、容器等新名词的涌现，网络安全面临的局面越来越复杂，风险收敛加固同样无法实现“一招鲜吃遍天”，安全人员必须针对保护对象的特质制定个性化防护策略，这对有限的安全防护资源与技术人员来说，都是巨大的压力。
难以进行集中策略管理。 当今的企业网络高度分散，网络攻击发生的概率大幅度提升。企业需要通过分层访问和策略控制功能来实现集中统一管理所有用户、设备和网络的网络访问策略，以更好地保护网络。
**难以实现主机间的隔离。**网络攻击隐藏的时间越长，造成的伤害就越大。一旦攻击者通过网络入口，他就会在受信任区域内横向移动以避免被发现，并在整个企业范围内传播以危及数据和系统。企业需要通过主机间的隔离将网络划分为多个区域以防止横向移动来降低这种风险。