您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
實(shí)戰(zhàn)化背景下的安全防護(hù)能力體系建設(shè)思路
近年來(lái),隨著各行業(yè)對(duì)網(wǎng)絡(luò)安全的高度重視,采用實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演習(xí)的方式可以用于檢驗(yàn)單位的網(wǎng)絡(luò)安全防御、監(jiān)測(cè)和響應(yīng)能力,檢驗(yàn)網(wǎng)絡(luò)安全保障工作成效,檢驗(yàn)網(wǎng)絡(luò)安全防護(hù)體系的有效性。在實(shí)戰(zhàn)的狀態(tài)下,通過(guò)對(duì)抗和較量,攻防雙方在方式方法、措施手段等方面不斷積累經(jīng)驗(yàn),促進(jìn)了企業(yè)防守能力的持續(xù)提升。因此,實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演習(xí)已日趨常態(tài),且不斷深化發(fā)展,成為了企業(yè)網(wǎng)絡(luò)安全保障能力體系建設(shè)的有效手段。
在實(shí)戰(zhàn)化攻防演習(xí)過(guò)程中,攻擊方的攻擊方式從演習(xí)早期正面對(duì)抗、通過(guò)發(fā)現(xiàn)漏洞直接從互聯(lián)網(wǎng)進(jìn)行突破的方式,已經(jīng)逐步發(fā)展到通過(guò)供應(yīng)鏈、0day,甚至于采取釣魚、水坑等定性攻擊方式,迂回式進(jìn)行網(wǎng)絡(luò)攻擊。這給防守方提出了較大的挑戰(zhàn),需要防守方深入關(guān)注整體防御體系的最短板。同時(shí),網(wǎng)絡(luò)安全人員對(duì)網(wǎng)絡(luò)安全防護(hù)措施的關(guān)注點(diǎn)也從“數(shù)據(jù)中心”的專業(yè)防護(hù)措施,逐漸外延至操作終端、無(wú)線接入和人員網(wǎng)絡(luò)安全意識(shí)等方面??梢钥吹?,攻擊的方式方法多變,且涉及網(wǎng)絡(luò)安全防御體系的方方面面,能夠充分檢驗(yàn)防御體系的有效性。
站在防守方角度,企業(yè)在進(jìn)行防守時(shí)要依托已經(jīng)建立的網(wǎng)絡(luò)安全保障體系,充分分析自身安全防護(hù)狀況與存在的不足,做好組織分工,完善防護(hù)、監(jiān)測(cè)和響應(yīng)等措施,全面展開(kāi)攻防對(duì)抗。在實(shí)際工作中,防守方需要構(gòu)建主動(dòng)防御的能力體系,持續(xù)地應(yīng)對(duì)攻擊方發(fā)起的各種不同類型和方式的攻擊,同時(shí)結(jié)合威脅情報(bào),精準(zhǔn)響應(yīng)和處置,甚至具有展開(kāi)追蹤反制的能力,是防守方在防御能力進(jìn)階的目標(biāo)和方向。但達(dá)到主動(dòng)防御能力的最佳效果,同時(shí)需要防守單位具備扎實(shí)的架構(gòu)安全以及基本完善的被動(dòng)防御體系,如果在架構(gòu)安全和被動(dòng)防御兩個(gè)階段存在明顯短板,即便提升了持續(xù)的監(jiān)測(cè)和分析等主動(dòng)防御能力,也由于分布廣泛的短板和缺口,會(huì)讓防守人員顧此失彼、應(yīng)接不暇,最終可能導(dǎo)致系統(tǒng)失陷。
結(jié)合常見(jiàn)的攻擊方式,防守方應(yīng)當(dāng)具備如下防御能力,對(duì)現(xiàn)有的網(wǎng)絡(luò)安全保障體系加以補(bǔ)充和完善,主要包括:
1、防微杜漸:防范被踩點(diǎn)
為了減少防守方情報(bào)泄露,防守單位應(yīng)加強(qiáng)對(duì)信息披露內(nèi)容的檢測(cè),盡量防止本單位敏感信息泄露在公共信息平臺(tái);對(duì)供應(yīng)鏈信息進(jìn)行嚴(yán)格管理;定期開(kāi)展網(wǎng)絡(luò)安全意識(shí)教育,加強(qiáng)對(duì)個(gè)人信息的管理,強(qiáng)化對(duì)個(gè)人口令的安全使用。
2、收縮戰(zhàn)線:收斂攻擊面
讓攻擊面縮到最小,縮小防守半徑,防守單位應(yīng)加強(qiáng)對(duì)互聯(lián)網(wǎng)暴露面的梳理,清理暴露在互聯(lián)網(wǎng)上的測(cè)試環(huán)境、后臺(tái)界面、遠(yuǎn)程維護(hù)端口以及和下級(jí)單位、業(yè)務(wù)合作單位等相關(guān)單位的聯(lián)網(wǎng)邊界資產(chǎn)等;梳理網(wǎng)絡(luò)邊界設(shè)備(包括VPN、無(wú)線熱點(diǎn)等)、系統(tǒng)以及各類應(yīng)用的賬號(hào)和口令等,避免存在弱口令和資產(chǎn)不清等情況;針對(duì)供應(yīng)鏈廠商或服務(wù)商持有的信息嚴(yán)格管控。
3、縱深防御:立體防滲透
強(qiáng)化自身架構(gòu)安全,層層設(shè)防,全路徑管控,真正做到縱深防御。防守單位應(yīng)根據(jù)統(tǒng)一的訪問(wèn)控制策略,嚴(yán)格劃分安全域并進(jìn)行細(xì)粒度的訪問(wèn)控制策略設(shè)置;加強(qiáng)對(duì)主機(jī)資產(chǎn)、補(bǔ)丁和口令的管理;加強(qiáng)對(duì)應(yīng)用系統(tǒng)的安全管理,減少應(yīng)用系統(tǒng)自身的安全隱患;整體部署符合標(biāo)準(zhǔn)要求的網(wǎng)絡(luò)安全防護(hù)、監(jiān)測(cè)和處置措施。
4、守護(hù)核心:找到關(guān)鍵點(diǎn)
嚴(yán)守集權(quán)類系統(tǒng)和目標(biāo)系統(tǒng)的安全。防守單位應(yīng)針對(duì)集權(quán)類設(shè)備和核心資產(chǎn)進(jìn)行最小化權(quán)限設(shè)置和管理,核心資產(chǎn)可設(shè)置白名單機(jī)制,加強(qiáng)訪問(wèn)行為的管控和監(jiān)測(cè)分析,加強(qiáng)對(duì)核心資產(chǎn)訪問(wèn)的日志審計(jì)和監(jiān)測(cè)預(yù)警,確保核心資產(chǎn)的安全可控。
5、洞若觀火:全方位監(jiān)控
構(gòu)建全方位的網(wǎng)絡(luò)安全監(jiān)測(cè)和運(yùn)營(yíng)體系,結(jié)合威脅情報(bào)持續(xù)進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)分析和響應(yīng)。構(gòu)建網(wǎng)絡(luò)安全主動(dòng)防御體系,收集相關(guān)情報(bào),全面部署網(wǎng)絡(luò)安全威脅監(jiān)測(cè),通過(guò)專業(yè)的分析人員持續(xù)發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅,并進(jìn)行及時(shí)的響應(yīng),結(jié)合網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)體系,持續(xù)對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分級(jí)分類處置,整體提升對(duì)網(wǎng)絡(luò)安全攻擊的發(fā)現(xiàn)和處置能力。
實(shí)戰(zhàn)化攻防演習(xí)作為檢驗(yàn)網(wǎng)絡(luò)安全保障體系是否有效的一種方式,是當(dāng)前被公認(rèn)為一種非常有效的方式。在實(shí)戰(zhàn)化攻防能力建設(shè)過(guò)程中,不僅是缺啥補(bǔ)啥,還要不斷審視已有網(wǎng)絡(luò)安全體系建設(shè)成效,總結(jié)網(wǎng)絡(luò)安全體系中的技術(shù)和管理措施,分析其效能和短板,從而對(duì)現(xiàn)有的網(wǎng)絡(luò)安全保障體系進(jìn)行體系化的改進(jìn)和完善。
如何對(duì)本單位的網(wǎng)絡(luò)安全保障能力進(jìn)行體系化審視?
通常情況下,企業(yè)在進(jìn)行網(wǎng)絡(luò)安全保障體系設(shè)計(jì)的過(guò)程中,會(huì)依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)保守國(guó)家秘密法》、《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》等網(wǎng)絡(luò)安全相關(guān)法律法規(guī),結(jié)合國(guó)內(nèi)外網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)和最佳實(shí)踐,例如信息保障技術(shù)框架IATF、ISO/IEC 27000信息安全管理體系系列標(biāo)準(zhǔn)、Garter ASA自適應(yīng)防御系統(tǒng)和GB/T 22239-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等,這些標(biāo)準(zhǔn)和最佳實(shí)踐涉及網(wǎng)絡(luò)安全保障體系的框架、方法論、網(wǎng)絡(luò)安全技術(shù)架構(gòu)、管理體系架構(gòu)等各個(gè)方面,在結(jié)合企業(yè)的信息化發(fā)展實(shí)踐和管理文化構(gòu)建網(wǎng)絡(luò)安全防御體系。同時(shí),在技術(shù)方面通過(guò)PPDR(策略、防護(hù)、監(jiān)測(cè)、響應(yīng))的方式,管理方面通過(guò)PDCA(戴明環(huán))的方式全面加以落實(shí)和實(shí)踐,從而形成應(yīng)對(duì)來(lái)自各類內(nèi)外部攻擊的網(wǎng)絡(luò)安全保障體系。
基于最佳實(shí)踐,企業(yè)可參考SANS的網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型對(duì)網(wǎng)絡(luò)安全保障體系進(jìn)行審視,以有效應(yīng)對(duì)實(shí)戰(zhàn)化背景下的安全挑戰(zhàn)。SANS提出的滑動(dòng)標(biāo)尺模型劃分為五個(gè)階段,即架構(gòu)安全、被動(dòng)防御、主動(dòng)防御、威脅情報(bào)和進(jìn)攻反制。
其中,架構(gòu)安全指在用安全思維規(guī)劃、構(gòu)建和維護(hù)系統(tǒng),安全的系統(tǒng)設(shè)計(jì)是基礎(chǔ),在此之上才能展開(kāi)其他的網(wǎng)絡(luò)安全建設(shè);被動(dòng)防御是在架構(gòu)安全的基礎(chǔ)上,為系統(tǒng)提供攻擊防護(hù),通過(guò)添加持續(xù)威脅防護(hù)和檢測(cè)且無(wú)需經(jīng)常人工互動(dòng)的系統(tǒng),如防火墻、反惡意軟件系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)等安全系統(tǒng),這些安全系統(tǒng)可提供防護(hù),填補(bǔ)或縮小已知安全缺口,減少與威脅交互的機(jī)會(huì);主動(dòng)防御是分析人員監(jiān)控、響應(yīng)網(wǎng)絡(luò)內(nèi)部威脅、從中汲取經(jīng)驗(yàn)并將知識(shí)持續(xù)應(yīng)用進(jìn)行響應(yīng)的過(guò)程,有效實(shí)現(xiàn)主動(dòng)防御的秘訣之一是能夠利用攻擊者相關(guān)情報(bào),并通過(guò)情報(bào)推動(dòng)防護(hù)環(huán)境中的安全變化、流程和行動(dòng);威脅情報(bào)是指收集、處理、分析攻擊信息和數(shù)據(jù),輸出情報(bào)的過(guò)程;進(jìn)攻是對(duì)網(wǎng)絡(luò)攻擊對(duì)手直接采取行動(dòng)。
通過(guò)該模型五個(gè)階段的分析,可以使防守方證實(shí)當(dāng)前網(wǎng)絡(luò)安全保障體系在每個(gè)階段的建設(shè)情況,并結(jié)合實(shí)戰(zhàn)化攻防演習(xí)中發(fā)現(xiàn)的具體問(wèn)題,找出短板,進(jìn)行系統(tǒng)化的完善和改進(jìn)。這其中包括安全技術(shù)體系的完善,例如安全架構(gòu)體系的重構(gòu),引入零信任體系;深化縱深防御體系,防護(hù)核心;新技術(shù)安全體系完善,做好“三同步”等;安全管理體系的健全,例如加強(qiáng)專業(yè)技術(shù)人員實(shí)戰(zhàn)能力培養(yǎng),強(qiáng)化供應(yīng)商的安全管控、實(shí)化敏感信息的安全管控、深化安全意識(shí)教育培訓(xùn)等;安全運(yùn)營(yíng)體系的深入建設(shè),重點(diǎn)是構(gòu)建主動(dòng)防御的運(yùn)營(yíng)能力建設(shè),建立全流量威脅監(jiān)測(cè)平臺(tái),有效的攻擊誘捕技術(shù)部署,以及結(jié)合威脅情報(bào)的運(yùn)營(yíng)體系等。
安全防御能力的形成并非一蹴而就,企業(yè)管理者應(yīng)重視安全體系建設(shè),在實(shí)戰(zhàn)背景下建立起“以人員為核心、以數(shù)據(jù)為基礎(chǔ)、以運(yùn)營(yíng)為手段”的安全運(yùn)營(yíng)模式,逐步形成威脅預(yù)測(cè)、威脅防護(hù)、持續(xù)檢測(cè)、響應(yīng)處置的閉環(huán)安全工作流程,通過(guò)實(shí)戰(zhàn)化攻防演習(xí)可以促進(jìn)我們攻防相長(zhǎng),構(gòu)建有效的網(wǎng)絡(luò)安全保障體系,從而促進(jìn)網(wǎng)絡(luò)安全能力持續(xù)提升。(來(lái)源:奇安信安全服務(wù))