攻防演习防御体系构建之第三篇之建立实战化的安全体系

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了攻防演习防御体系构建之第三篇之建立实战化的安全体系相关的知识,希望对你有一定的参考价值。

文章目录

建立实战化的安全体系

  • 安全的本质是对抗
  • 对抗是攻防双方能力的较量, 是一个动 态的过程。
  • 业务在发展, 网络在变化, 技术在变化,人员在变化, 攻击手段也在不断变化。
  • 网络安全没有“一招鲜”的方式, 需要在日常工作中,不断积累不断创新, 不断适应变化,持续地构建 自身的安全能力, 才能面对随时可能威胁系统的各种攻击, 不能临阵磨枪、仓促应对, 必须立足根本、打好基础,加强安全建设、 构建专业化的安全团队, 优化安全运营过程,并针对各种攻击事 件采取重点防护才是根本。
  • 防守队不应以 “修修补补, 哪里出问题堵哪里”的思维来解 决问题, 而应未雨绸缪, 从管理、技术、运行等方面建立实战化 的安全体系,有效应对实战环境下的安全挑战。

0x01 完善面对实战的纵深防御体系

  • 实战攻防演习的真实对抗表明, 攻防是不对称的。
  • 通常情况 下,攻击队只需要撕开一个点, 就会有所“收获”,甚至可以通 过攻击一个点,拿下一座“城池”。
    但对于防守工作来说, 考虑的却是安全工作的方方面面, 仅 关注某个或某些防护点, 已经满足不了防护需求。实战攻防演习 过程中, 攻击队或多或少还有些攻击约束要求, 但真实的网络攻 击则完全无拘无束, 与实战攻防演习相比较, 真实的网络攻击更 加隐蔽而强大
  • 为应对真实网络攻击行为, 仅仅建立合规型的的安全体系是 远远不够的。
  • 随着云计算、大数据、人工智能等新型技术的广泛应用, 信息基础架构层面变得更加复 杂, 传统的安全思路已越来越难以适应安全保障能力的要求。
  • 必 须通过新思路、新技术、新方法,从体系化的规划和建设角度, 建立纵深防御体系架构,整体提升面向实战的防护能力
  • 从应对实战角度出发, 对现有安全架构进行梳理, 以安全能 力建设为核心思路, 面向主要风险重新设计政企机构整体安全架 构,通过多种安全能力的组合和结构性设计形成真正的纵深防御 体系, 并努力将安全工作前移, 确保安全与信息化“三同步”(同 步规划、同步建设、同步运行),建立起能够具备实战防护能力、 有效应对高级威胁,持续迭代演进提升的安全防御体系。

0x02 形成面向过程的动态防御能力

  • 在实战攻防对抗中,攻击队总是延续信息收集攻击探测提权持久化的一个个循环过程。
  • 攻击队总是通过不断的探测发 现环境漏洞, 并尝试绕过现有的防御体系, 成功的入侵到网络环 境中。
  • 如果防御体系的安全策略长期保持不变, 一定会被“意志 坚定”的攻击队得手。
  • 所以, 为了应对攻击队的持续变化的攻击 行为, 需要防御体系自身具有一定适应性的动态变得检测能力和 响应能力。
  • 在攻防对抗实践中, 防守对应利用现有安全设备的集成能力 和威胁情报能力, 通过云端威胁情报的数据, 让防御体系中的检 测设备和防护设备发现更多的攻击行为, 并依据设备的安全策略 做出动态的响应处置, 把攻击队阻挡在边界之外。
  • 同时, 在设备 响应处置方面, 也需要通过攻击队的攻击行为和动机支持多样化 的防护能力,例如封堵 IP、拦截具有漏洞的 URL 的组页面访问 等策略。
    通过动态防御体系,不仅可以有效拦截攻击队的攻击行为, 同时还可以迷感攻击队, 让攻击队的探测行为失去方向, 让更多 的攻击队知难而退,从而在对抗过程中占得先机。

0x03建设以人为本的主动防御能力

  • 安全的本质是对抗, 对抗两端是人与人之间的较量。
  • 攻防双 方都在对抗过程中不断提升各自的攻防能力。
  • 在这个过程中, 就 需要建立一个高技术的安全运营团队, 利用现有的防御体系和安 全设备, 持续地检测内部的安全事件告警与异常行为, 通过安全 事件告警和异常行为分析, 发现已进入到内部的攻击队, 并对其 采取安全措施,压缩攻击队停留在内部的时间。
  • 构建主动防御的基础是可以采集到内部的大量的、有效的数据, 包括安全设备的告警、流量信息、账号信息等。
  • 为了对内部 网络影响最小, 采用流量威胁分析的方式, 实现“全网”流量威 胁感知, 特别是关键的边界流量、内部重要区域的流量。
  • 安全运 营团队应利用专业的攻防技能, 从这些流量威胁告警数据中发现 攻击线索, 并对已发现的攻击线索进行威胁巡猎、拓展, 一步步 找到真实的攻击点和受害目标。

主动防御能力主要表现为构建安全运营的闭环, 包括以下几 个方面。
1、在漏洞的运营方面

形成持续的评估发现、风险分析、加固 处置的闭环, 减少内部的受攻击面, 提升网络环境的内生安全。

2、在安全事事件运营方面,

对实战中的攻击事件的行为做到 “可发现、可分析、可处置”的闭环管理过程, 实现安全事件的 全生命周期的管理, 压缩攻击队停留在在内部的时间,
降低安全事件的负面影响。

3、在资产运营方面,

逐步建立起配置管理库(CMDB),定期开 展暴露资产发现, 并定期更新配置管理库, 这样才能使安全运营
团队快速定义攻击源和具有漏洞的资产, 通过对未知资产处置 和漏洞加固,减少内外部的受攻击面。

0x04 基于情报数据的精准防御能力

  • 在实战攻防对抗中, 封堵 IP 是很多防守队的主要响应手段。
  • 这种手段相对来讲简单、粗暴。同时,采用这种手段, 容易造成 对业务可用性的影响,
    主要体现在以下两个方面:
1、如果是检测设备误报, 就会导致被封堵的 IP 并非是真实 的攻击 IP,这会影响到互联网用户的业务。
2、如果攻击 IP 自身是一个 IDC 出口 IP,那么封堵该 IP, 就可能造成 IDC 后端大量用户的业务不可用。

所以, 从常态化安全运行的角度来看, 防守队应当逐步建立基于情报数据的精准防御能力
具体来说, 主要包括以下几个方 面:

1、防守队需要建设一种精准防御的响应能力, 在实战攻 防对抗中针对不同的攻击 IP、攻击行为可采用更加细粒度、精准 的防御手段。
结合实战攻防对抗场景, 防守队可以利用威胁情报数据共享 机制, 实现攻击源的精准检测与告警, 促进进精准防御, 减少检测设备误报导致业务部分中断的影响。
此外, 让威胁情报数据共 享在多点安全设备上共同作用, 可以形成多样化、细粒度化的精准防御。例如,在网络流量检测设备、终端检测与响应系统、主 机防护系统等。
2、 为了最小化攻防活动对业务可用性的影响
需要设计多样化的精准防御手段与措施, 既要延缓攻击, 同时也要实现业 务连续性需要。 例如, 从受害目标系统维度去考虑设计精准防御能力, 围绕不同的目标系统, 采取不同的响应策略。如果是针对非实时业务 系统的攻击, 可以考虑通过防火墙封禁 IP 的模式;但如果是针对实时业务系统的攻击, 就应考虑在 WAF 设备上拦藏具有漏洞的页 面访问请求,从而达到实时业务系统的影响最小化。
3、为了保证实战攻防对抗过程不会大面失陷, 在重要主 机侧应加强主机安全防护, 阻止主机层面的恶意代码运行与异常 进程操作。例如域控服务器、网管服务器、 OA 服务器、邮件服务 器等。

0x05 打造高效一体的联防联控机制

在实战攻防对抗中, 攻击是一个点, 攻击队可以从一个点就 攻破整座“城池”。所以在防守的各个阶段,不应只是安全部门 在孤独的战斗, 而是需要更多的资源、更多的部门协同工作, 才 有可能做好全面的防守工作。
例如,一个攻击队正在对某个具有漏洞的应用系统渗透攻击, 在检测发现层面, 需要安全运营团队的监控分析发现问题, 然后 通知网络部门进行临时封堵攻击 IP,同时要让开发部门对应用 系统的漏洞尽快进行修复。这样才能在最短时间内让攻击事件的 处置形成闭环。
在实战攻防对抗中, 要求防守队一定要建立起联防联控的机 制,分工明确、信息通畅。 唯有如此,才能打好实战攻防演习 的战斗工作。
联防联控的关键点。
1、安全系统协调

通过安全系统的接口实现系统之间的集成, 提升安全系统的 联动, 实现特定安全攻击事件自动化处置, 提高安全事件的响应 处置效率。

2、内部人员协同

内部的安全部门、网络部门、开发部门、业务部门全力配合 实战攻防对抗工作组完成每个阶段的工作, 同时在安全值守阶段全力配合工作组做好安全监控与处置的工作。

3、外部人员协同

实战攻防对抗是一个高频的对抗活动, 在这期间, 需要外部 的专业安全厂商配合工作组一起来防守, 各个厂商之间应依据产品特点和职能分工落实各自工作,并在期间做到信息通讯顺畅、 听从指挥。

4、平台支撑、高效沟通

为了加强内部团队的沟通与协同, 在内部通过指挥平台实现 各部门、各角色之间的流程化、电子化沟通,提升沟通协同效率, 助力联防联控有效运转。

0x06 强化行之有效的整体防御能力

  • 从攻击路径来看, 分支机构的安全能力一般弱于总部,
  • 同时 分支机构和总部网络层面是相通的, 并且早期安全建设的时候往 往会默认对方的网络是可信的;
  • 在安全防护层面, 总部一般也仅 仅是对来自分支机构的访问请求设置一些比较粗犷的访问控制 措施。
  • 这些安全隐患都会给攻击队留出机会, 使攻击队可以从薄 弱点进入,然后横向移动到总部的目标系统。
  • 因此,防守队只有将总部和分支机构进行统一的安全规划和 管理形成一个整体防御能力才能有效的开展实战攻防对抗

在整体防御能力上,建议防守队开展如下工作:

1、互联网出口统一管理

条件允许的情况下,应尽量上收分支机构的互联网出入口。 统一管理的好处是集中防御、节约成本、降低风险。同时, 在整体上开展互联网侧的各类风险排查, 包括互联网来知资产、敏感 信息泄露、杜工信息的清理等工作。

2、加强分支机构防御能力

如果无法实现分支机构的互联网出入口统一管理, 则分支机 构需要参考总部的安全体系建设完善其自身的防御能力, 避免成 为安全中的短板。

3、全面统筹、协同防御

在准备阶段,应配合总部开展风险排查;在实战值守阶段, 与防守队一起安全值守, 并配置适当的安全监控人员、安全分析 处置人员,配合防守队做好整体的防御, 配合防守队做好攻击的 应急处置等工作。

摘抄


<不动怒>
生活中,总会遇到不如意的事。
我们有时会很难控制住自己,
恨不得立刻把心里的不满和委屈都发泄出来。
可等你冷静下来就会发现,
发脾气不仅对你没有任何好处,
反而会让局面变得越来越糟糕。
一个人越软弱,
越爱拿发脾气去逃避问题,
而真正的强者懂得把动怒的时间用来解决问题。


以上是关于攻防演习防御体系构建之第三篇之建立实战化的安全体系的主要内容,如果未能解决你的问题,请参考以下文章

攻防演习防御体系构建之第二篇之应对攻击的常用策略

攻防演习紫队第三篇之 风险规避措施

攻防演习紫队第三篇之 风险规避措施

附件一:202x年xxx攻防演习授权委托书

攻防演习紫队第二篇之组织的不同阶段

攻防演习紫队第二篇之组织的不同阶段