當前網絡空間面臨的安全問題與過去不同,從原來只攻擊傳統的網絡設施和應用系統,到開始面向“雲大物移工”等新技術領域的應用系統,攻擊的目標系統逐步轉向核心業務數據和承載核心數據的業務應用;從普通的個人網絡犯罪,到有組織的攻擊甚至有境外背景的國家級對抗,攻擊工具的武器化、攻擊手段的戰術化,均對防守者提出了更高要求。
在2017年6月頒佈的網絡安全法中,明確提出“應定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高關鍵信息基礎設施應對網絡安全事件的水平和協同配合能力”。正所謂講一百遍不如打一遍,為了能有效檢測行業或本單位的網絡安全事件應對狀態,應急演練必須向常態化與實戰化邁進。
網絡安全的建設不是單純的業務系統是否安全,也不是安全設備是否全面,面對錯綜複雜、不斷進化的網絡空間攻防戰,如何才能真實、有效的檢驗實戰化監測、響應、處置能力呢?一場安全、可靠、有效的實戰攻防演習檢驗的並不是單純的業務系統是否安全,更重要的是以人為核心的安全意識和抗風險的能力。奇安信結合數百場組織實戰攻防演習的經驗,總結分析如何協助各單位組織一場實戰攻防演習。
實戰攻防演習通常以實際運行的信息系統作為演習目標,通過有監督的攻防對抗,最大限度地模擬真實的網絡攻擊,以檢驗信息系統的安全性和運維保障的有效性。演習在保障業務系統安全性的前提下,明確目標系統,不限制攻擊路徑,以提權、控制業務、獲取數據為演習目的。
實戰攻防演習包含攻擊方(紅隊)、防守方(藍隊)、組織方(紫隊)三方,並配備實戰攻防演習平臺。
組織方(紫隊)負責演習整體工作的組織協調,主要包括以下幾個部分:演習組織、演習過程監控、演習技術指導、應急保障、演習總結、防守技術措施與策略優化建議等。實戰攻防演習一般可分為準備、演習、收尾三個階段。
在正式演習開始之前,應以監管(主辦)單位為核心,成立演習指揮部,下設演習組織機構,形成相應的工作組,如領導組、協調組、專家組、裁判組、應急組、技術支撐組等,並明確各組職責分工,做到工作到組、責任到人、分工有序、密切配合。
為保證演習順利開展,各工作組應以指揮部為中心,集中辦公,為各工作組準備單獨的場地,各場地應具備電力、網絡、辦公桌椅等基礎設備及後勤保障資源;
演習指揮大廳應有大屏展示設備,用來動態展示演習過程和結果,並進行演習風險管控。攻擊人員使用專用筆記本電腦,系統環境統一初始化,安裝錄屏、終端管控軟件。
奇安信提供可視化演習平臺,對攻擊行為全程監控全程審計,對演習態勢與成果進行大屏展示,對演習過程和成果進行長期持續管理,實現演習的全程監控、全程審計、全程可視、全程管理。所有參演人員如有攻擊操作、防守成果提交、裁判評分等動作都須在實戰攻防演習平臺上進行,便於事中事後的審計。
可控是實戰攻防演習任務應該遵循的的基本原則,演習過程應做到人員可控、過程可控、環境可控及成果可控 。例如,在演習開始之前,需向攻擊人員明確提出禁止使用和謹慎使用的攻擊方式,並在演習過程中通過終端錄屏、終端管控、現場錄像、平臺流量審計等技術手段進行監控溯源;對於突破重要邊界及核心業務系統的行為,需要有專家組及用戶予以研判和審核,關注業務狀態決定是否可以進行下一步突破。
攻擊隊上報的攻擊報告除包括攻擊成果外,需要包含完整的攻擊路徑、木馬及惡意程序上傳位置、代碼修改情況等信息。在演習結束後,通過平臺記錄的流量信息對攻擊隊提交成果的真實性進行審計;同時,組織方應及時通知各防守單位清理戰場。避免已有攻擊線索及遺留風險造成二次傷害。
演習的目的是為了掌握安全狀態,指導防守單位後續開展針對性安全整改,因此需要組織方對本次演習的成果做好總結、彙報,防守方需根據演習暴露出的問題及時進行整改、加固和複測,問題比較突出的單位,需要採用實戰化的方式審視現有安全體系的有效性,開展專項安全規劃、設計,將已有安全體系升級為可抵禦實戰化攻擊的安全體系。
組織一場安全、可靠、有效的實戰攻防演習依託於人員配合和技術支撐,奇安信實戰攻防演習服務可以有效的將人員與技術融合,在每一場演習開始之前都能做到心中有數。奇安信於2019年起,正式推出實戰攻防演習服務,採用演習組織服務+演習平臺的形式,為客戶提供“全流程保障、全環境支撐、全風險可控”的全程管家式服務,保障演習的順利進行。
閱讀更多 安全牛 的文章