目录
如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。
建立实战化的安全体系
完善面向实战的纵深防御体系
实战攻防演习的真实对抗表明,攻防是不对称的。攻击队秩序撕开一个点就会有所收获,甚至可以通过攻击一个点,拿下一座“城池”。但对防守队来说考虑的确是全局。攻击队在攻防演习中还有些攻击约束,但在现实生活中却无拘无束,真实的网络攻击更加的隐蔽而强大。
从应对实战的角度,应对现有的安全架构进行梳理,面对主要风险重新设计结构性纵深防御体系,确保安全与信息化同步规划,同步建设,同步运行。建立起具备实战防护能力,有效应对高级威胁,持续迭代演进的安全防护体系。
形成面向过程的动态防御能力
攻击队在信息收集方面是通过不断的探测发现环境漏洞,并尝试绕过现有的防御体系,成功入侵到网络体系中。如果防御策略长期不变,一定会被攻击队得手。所以防御体系要有一定适应性的动态监测能力和响应能力。
建设以人为本的主动防御机制
安全的本质是抵抗,对抗的两端是人与人的较量。攻防双方在对抗过程中都会不断提升自己的能力。构建主动防御应该利用现有装备,持续检测内部安全事件的告警信息和异常行为,当攻击队进入系统后应当压缩其停留时间。使用全网流量感知系统能帮助防守队一步步找到真实攻击点和受害目标。
主动防御要做到以下几点:
在漏洞运营方面要形成持续的评估发现,风险分析,加固处置的闭环,减少内部的受攻击面,提升网络环境的内生安全。
在安全事件运营方面,要对攻击事件做到“可发现,可分析,可处置”,实现安全事件的全生命周期管理,压缩攻击队在内部的停留时间,降低安全事件的负面影响。
在资产运营方面,逐步建立起配置管理库(CMDB),定期开展暴露资产发现,定期更新。
基于情报信息的精准防御能力
在实战攻防中,封堵IP是很多防守队采用的响应手段。这种手段简单粗暴,且容易对业务出现影响。如果检测设备误报,就会影响到该用户的业务;如果攻击者的IP是一个IDC出口IP,封堵后会造成IDC后端大量用户的业务不可用。
防守队应该建设一种精确防御的响应能力,针对不同的IP,攻击行为进行更加精准的防护。为最小化攻防活动对业务可用性的影响,需要设计多样化的防御手段,既要延缓攻击,又要实现业务连续。比如针对非实时的业务系统的攻击,可以采用封禁IP的模式;但对实时业务的系统,就应考虑在WAF上拦截具有漏洞的页面访问请求,从而达到对实时业务的影响最小化。
为了保证实战攻防过程中不会大面积失陷,在重要主机侧应加强主机安全防护,阻止主机层面的恶意代码运行与异常进程操作。例如域控服务器,OA服务器,邮件服务器等。
打造高效一体的联防联控机制
防守的各个阶段不只是安全部门在孤军奋战,而是各个部门的联合作战。需要安全体系内外部人员协同,平台支撑和高效沟通。
强化行之有效的整体防御能力
20年之后攻防规则变为攻陷和目标系统同样重要的系统也要参照扣分。所以此后总部和分支部门就变得同样重要。分支部门的防护能力弱于总部,但分支部门和总部却是联通的,总部对分支部门的请求的限制也没有那么多,这都为攻击者横向移动,攻击总部留下了隐患。
所以必须将总部和分支部门进行统一规划,统一防御,形成一个整体防御能力。统一管理的好处是集中防御,节约成本,降低风险。
条件允许的情况下,应尽量收集分支部门的互联网出口,同时展开各类风险排查,包括互联网未知资产,敏感信息泄露,社工信息的清理等工作;如果无法实现分支部门的统一管理,分支部门就要参考总部做好防御功能的完善,避免成为安全中的短板;在准备阶段应配合总部进行风险排查,实战阶段应配置适当的安全人员配合防守队进行整体防御。
钓鱼邮件的攻防是一个持久而富有挑战的过程。攻防总结:某大型攻防演练中红队钓鱼邮件攻击手法复盘 - FreeBuf网络安全行业门户
本文参考《奇安信红蓝紫对抗手册》
601
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
