攻防演练中六条安全体系建议
对抗是攻防双方能力的较量,是一个动态的过程。防守队应未雨绸缪,从管理、技术、运行等方面建立系统化、实战化的安全体系,从而有效应对实战环境下的安全挑战,这里有六条建议供参考。
一、面向实战的纵深防御体系
对于防守队来说,需要考虑的是安全工作的方方面面,仅关注某个或某些防护点已经满足不了防护需求。实战攻防演练中,对攻击队或多或少还有些攻击约束要求,而真实的网络攻击则完全无拘无束,与实战攻防演练相比,更加隐蔽而强大。
从应对实战的角度出发,对现有安全架构进行梳理,以安全能力建设为核心思路,面向主要风险重新设计政企机构整体安全架构,通过多种安全能力的组合和结构性设计形成真正的纵深防御体系,并努力将安全工作前移,确保安全与信息化“三同步”(同步规划、同步建设、同步运行),建立起具备实战防护能力、有效应对高级威胁、持续迭代演进提升的安全防御体系。
二、面向过程的动态防御能力
在攻防对抗实践中,防守队应利用现有安全设备的集成能力和威胁情报能力,通过分析云端威胁情报的数据,让防御体系中的检测设备和防护设备发现更多的攻击行为,并依据设备的安全策略做出动态的响应处置,把攻击队阻挡在边界之外。同时,在设备响应处置方面,也需要多样化的防护能力来识别攻击队的攻击行为和动机,例如封堵 IP、拦截具有漏洞的 URL 访问等策略。通过建立动态防御体系,不仅可以有效拦截攻击队的攻击行为,还可以迷惑攻击队,让攻击队的探测行为失去方向,让更多的攻击队知难而退,从而在对抗中占得先机。
三、以人为本的主动防御能力
构建主动防御的基础是可以采集到内部的大量有效数据,包括安全设备的告警、流量信息、账号信息等。为了将对内部网络的影响最小化,采用流量威胁分析的方式,实现全网流量威胁感知,特别是关键的边界流量、内部重要区域的流量。安全运营团队应利用专业的攻防技能,从这些流量威胁告警数据中发现攻击线索,并对已发现的攻击线索进行威胁巡猎、拓展,一步步找到真实的攻击点和受害目标。
主动防御能力主要表现为构建安全运营的闭环,包括以下三方面。
在漏洞运营方面,形成持续的评估发现、风险分析、加固处置的闭环,减少内部的受攻击面,使网络环境达到内生安全。
在安全事件运营方面,对实战中攻击事件的行为做到“可发现、可分析、可处置”的闭环管理,实现安全事件的全生命周期管理,压缩攻击队在内部的停留时间,降低安全事件的负面影响。
在资产运营方面,逐步建立起配置管理库(CMDB),定期开展暴露资产发现工作,并定期更新配置管理库,这样才能使安全运营团队快速定位攻击源和具有漏洞的资产,通过未知资产处置和漏洞加固,减少内外部的受攻击面。
四、基于情报数据的精准防御能力
从常态化安全运行角度来看,防守队应当逐步建立基于情报数据的精准防御能力。具体来说,主要包括以下三方面。
防守队需要培养精准防御的响应能力,在实战攻防对抗中针对不同的攻击 IP、攻击行为采用更细粒度、更精准的防御手段。
为了最小化攻防活动对业务可用性的影响,需要设计多样化的精准防御手段与措施,既可延缓攻击,又可满足业务连续性需要。
为了保证在实战攻防对抗过程中防守方不会大面积失陷,应对于重要主机,例如域控服务器、网管服务器、OA 服务器、邮件服务器等,加强主机安全防护,阻止主机层面的恶意代码运行与异常进程操作。
五、高效一体的联防联控机制
在实战攻防对抗中,防守队一定要建立起联防联控的机制,分工明确,信息通畅。唯有如此,才能打好实战攻防演练的战斗工作。联防联控的关键点如下。
安全系统协同:通过安全系统的接口实现系统之间的集成,加强安全系统的联动,实现特定安全攻击事件的自动化处置,提高安全事件的响应处置效率。
内部人员协同:内部的安全部门、网络部门、开发部门、业务部门全力配合实战攻防对抗工作组完成每个阶段的工作,并在安全值守阶段全力配合工作组做好安全监控与处置工作。
外部人员协同:实战攻防对抗是一个高频的对抗活动,在这期间,需要外部的专业安全厂商配合工作组防守,各个厂商之间应依据产品特点和职能分工落实各自的工作,并做到信息通畅、听从指挥。
平台支撑,高效沟通:为了加强内部团队的沟通与协同,在内部通过指挥平台实现各部门、各角色之间的流程化、电子化沟通,提升沟通协同效率,助力联防联控有效运转。
六、行之有效的整体防御能力
防守队需要将总部和分支机构进行统一的安全规划和管理,形成整体防御能力,才能有效开展实战攻防对抗。在整体防御能力上,建议防守队开展如下工作。
互联网出入口统一管理:条件允许的情况下,应尽量上收分支机构的互联网出入口。统一管理的好处是集中防御、节约成本、降低风险。同时,在整体上开展互联网侧的各类风险排查,包括互联网未知资产、敏感信息泄露、社工信息的清理等工作。
加强分支机构防御能力:如果无法实现分支机构的互联网出入口统一管理,则让分支机构参考总部的安全体系建设完善其自身的防御能力,避免让出入口成为安全中的短板。
全面统筹,协同防御:在准备阶段,应让分支机构配合总部开展风险排查;在实战值守阶段,让分支机构与自己一起安全值守,并配置适当的安全监控人员、安全分析处置人员,配合自己做好整体的防御、攻击的应急处置等工作。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/840503efe15e5d7c97245b7de】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论