1. 序言
2016年4月,国家领导人在网络安全和信息化工作座谈会上发表重要讲话指出,“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。”
同年,《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。
自此实战化的“HW行动”成为惯例。结合四年来HW的经验,以及对近年来国内外实战对抗的总结后,我认为要想把HW和小规模网络对抗的防御工作做好,必须解决两个问题:
第一、在实战对抗方案中,大部分的方案都在做“点”的堆叠,这些堆叠往往是基于方案厂商自有的产品和服务能力,并没有考虑到实战对抗中的效果,主要是将以往安全建设的方案进行重新包装,即:新坛装老酒;
第二、以往的方法论,包括:等保、ISMS、ITIL等等,在目标、宏观、指导性层面上虽然极具参考性,但在真正实战中却缺乏落地策略及直接有效的操作方针来阻挡攻击者。
对此,本文将参考一部专门针对小规模战争的著作提出的战术中心思想,落实在真实网络攻防战中,利用主动防御进行黑客对抗。本文重在提出对抗方针,即:在已经进行了基础的信息安全建设后(例如,已经通过等保、分保、ISO 27001、Cobit、SOX404等等),应该从哪些方面入手和加强,以防御真正的实战型网络攻击。奇热具体操作指南需要根据实际业务场景和IT环境进行细化。
本文不求像纲领性文件、要求或一些方法论中做到的全面,仅从最有效的方面进行阐述。
2. 对抗,对抗,对抗
真实的小规模网络攻防中,面对的攻击对象,主要包括国内外敌对势力、商业和民间黑客以及执行HW行动中进行安全性检测的攻击队等。
攻击对象不乏有使用1 day,甚至是0 day的攻击手段,在某些特定对象和场景中,也可能会遇到APT攻击。面对这些攻击时,一味地进行被动防御,即使不断提高防御手段,往往只是增加资源投入和成本,并不能起到更好的效果。
例如:
· 防火墙或网闸买得再多、访问控制策略做得再细致和规范,若它们自身就存在0day漏洞或1day漏洞未修补,则直接可被攻破;
· 业务系统接入了云防御,即使云端防御再好,一旦攻击者找到了未做信任策略的源站地址,一切防御将全部失效;
· 内网部署了很好的防御产品和策略,包括防病毒、反垃圾邮件等,但内部员工被鱼叉攻击,依然会泄露重要和敏感信息;
· 业务系统防范严密,却在某个具有出口的测试环境中存在暗资产,或者在GitHub上泄露了数据,导致其成为跳板甚至被进行内网漫游或使攻击者直接获得了某些重要资料和信息;
等等场景,不胜枚举
被动防御永远在亡羊补牢。基于网络安全发展史的经验来看,面对攻击,是可以进行如下两个判断的:
第一、对每种攻击手段、防御措施的资源投入,平均下来一定远远大于攻击成本;
第二、每个攻击者的攻击手段可能无限多。
所以得出的结论是:仅考虑防御,将会耗尽无限多的资源,而即使如此,也未必能做到最好。
所以网络安全的本质是对抗。
对抗,不是被动防御。对抗的目标是“敌人”,是攻击者,防御方案不仅是为了免责和心里安慰,目的是在真正的小规模网络攻防战中保护自己的业务系统,保护社会数据,保护国家信息资产。
3. 不管资源多少,要将资源尽可能用于主动防御对抗中
只有将目标聚焦到攻击者、聚焦到对“人”的对抗上,才能在实战网络攻防中取得胜利。
主动防御或机动防御理念,是在真实入侵成功之前通过精确预警,有针对性、机动地集中资源重点防御并伺机进行反击。在网络安全领域,目前其方法论和技术方案尚不成熟。
在小规模对抗中,攻击者可能来自于任何地方,但具备攻击能力的人群总数是有限的,对有生力量的精力和时间的打击和消耗,以及进行可能的自然人溯源,是目前我认为的主动防御思想的核心。
在传统安全模型中经常提到“木桶原理”、PDCA、PDRR等概念,旨在强调加强短板建设、形成周期性闭环等等,这些理论是正确的,但这些理论的出发点更多的是考虑通过“知己”及“内建”,以应对外界威胁,更适合用来作为指导性思想,进行常态化和持久化信息安全建设。而在主动防御理论中,更优先考虑的是“知彼”,依据攻击者可能的手段及弱点协调资源进化自己。
所以在整体资源有限、时间周期不长、攻击者相对较明确的网络攻防中,应将资源用于主动防御对抗中,这样能更加明显地实现预期效果并取得更优的成果。
主动防御的出发点应该围绕“敌人”,方案应该更强调“立竿见影”。
以下部分将进行主动防御思想体系下,应对HW及小规模网络对抗的战术方法介绍。