网络安全防御体系建设-防守实例
本案例中红队为某集团公司,下辖多个二级企业,网络环境庞大 且复杂,可利用的攻击点众多,主要体现在:集团网络和所有二级企 业、外部业务单位互联互通;各二级企业具有各自的互联网出口,且 出口部署有向外部提供服务的应用系统;各级单位还迁移了大量系统 至集团公有云上,防护点分散且复杂。经过研究,集团决定采取分级防护策略,确认本次演练的防护核 心为集团的目标系统,一级防护系统为集团公有云、关基系统和工控 系
红队经典防守实例
本章选取了金融单位、集团公司和政府单位三个红队经典防守实 例,从防守思路、重点和职责分工等方面,直观展示了如何实操红队 防守各阶段的工作及防守策略、防护手段,给不同组织和业务场景 下,分阶段、有侧重开展红队防守工作提供最佳实践案例。
严防死守零失陷:某金融单位防守实例
领导挂帅,高度重视
本实例中红队为某金融单位。应对国家网络安全实战攻防演练工 作不是网络安全部门一个团队的事情,也不单是信息技术部一个部门 的事情,它需要全公司多部门、多组织协同分工、联合作战。为加强 公司应对国家网络安全实战攻防演练工作的组织领导,保障这一工作 的稳步开展,该金融单位召开专门会议,成立了国家网络安全实战攻 防演练工作领导小组。领导小组组长由总裁担任,副组长由IT总监担 任,成员包括总部一级部门的负责人以及各子公司的总经理。
职责明确,全员参战
该金融单位召开了公司全系统的演练工作动员会,签订了网络安 全责任书,落实了安全责任。它成立了安全监测组、分析研判组、应 急处置组、溯源反制组、协调联络组、后勤保障组等有关工作组,并 实行24小时值班制,以实现对各类网络攻击的安全监测、分析研判、 溯源反制和应急处置等。此外,它还要求各子公司、分公司共同开展 安全防守工作,联防联控,每日报送安全监测情况。如发生网络安全 事件或发现网络攻击行为,须通过电话及时报告公司攻防演练工作领 导小组。
全面自查,管控风险
(1)摸清资产,心里有数
摸清资产是开展网络安全防控工作的前提。为此,须全面开展网 络资产排查,梳理实体服务器、虚拟服务器、网络设备、安全设备、 交易类系统、非交易类系统,形成资产台账。
该金融单位同时梳理了交易类系统、非交易类系统的应用组件资 产,并形成应用资产台账。相关人员可通过情报系统实时查看这些资 产,并评估是否存在应用组件层的0day漏洞。
(2)责任到人,落实到位
该金融单位制订了详细的方案计划。通过将方案计划落实到人, 及时更新进度,做到事事有人管。工作计划(部分)如表10-1所示。
表10-1 工作计划(部分)
(续表)
(3)查缺补漏,心里有底
漏洞修复是开展网络安全防控工作的基础。该金融单位开展了开 源组件扫描、漏洞扫描和渗透测试,建立风险动态管理台账,紧盯问 题一对一整改,问题整改完成率高达90%。通过内部梳理网络基础设施 服务情况,关闭无用端口,切断不必要的访问渠道,梳理网上交易 区、办公区、第三方外连区等网络边界运行状况,有效降低了被突破 的风险。
(4)监控无死角,心里有数
该金融单位除了在互联网网络边界和内网重要边界部署了防火 墙、云防护、应用防火墙等常规安全防护措施外,为避免缺乏网络性 能分析、网络流量溯源分析、横向攻击监测,还部署了全流量威胁感 知系统,接入了网上交易、集中交易、办公网、非核心等区域的流 量,并为服务器安装了主机监控系统,尽可能做到监控无死角,进一 步完善公司的安全防护体系,提升安全防护能力。
(5)攻防预演,有效验证
攻防演练是检验网络安全防护能力的重要手段。攻防演练前,该 金融单位参考攻防演练规则,开展了为期7天的模拟演练。它通过实战 检验安全防护效果和应急处置机制,对存在的不足与问题提前发现、 提前解决,进一步完善了监测、研判、处置等各环节的协同配合能 力,验证了当前网络的安全防御体系。
(6)提升意识,杜绝社工
为了杜绝社会欺骗利用攻击事件,该金融单位采用了管理手段与 技术手段相结合的方式。在管理侧,采用先培训、后考试、再模拟的 方式,对员工进行了两轮防邮件钓鱼培训,并在攻防演练期间跟进情 报搜集的社工手法,对员工进行邮件警惕通知。在技术侧,在备战阶 段深入业务需求,到各部门进行详细调研,整理了办公所需的外连资 源,在防火墙、上网行为管理等方面制定了严格的访问控制策略。除 此之外,还定期组织安全意识培训、安全意识考核,并在各楼层张贴 防钓鱼海报,播放安全意识宣传视频,成功降低了员工被社工钓鱼的 风险。
顽强作战,联防联控
(1)坚守阵地,稳扎稳打
公司攻防演练工作组根据该金融单位的安全防御现状,制定了 “防守为主”的作战方针。设立攻防演练现场指挥部,负责统一指挥 安全监测组、分析研判组、应急处置组、溯源反制组及其他机动力 量。各组按预定战术战法,依次进行全网漏洞扫描动作缄默,监测发 现快速判断快速处置,对事件分级分类,重点溯源,协同联动,跟踪 到底确保闭环,最后每日研判态势并动态调整策略。该金融单位演练 工作组的组织架构如图10-1所示。
图10-1 组织架构图
(2)重点防护
针对核心资产,组建团队进行重点防护和监控。根据演练进展精 准跟踪资产安全状况,及时进行综合研判分析,采取有针对性的措施 进行处置。特别是对参加攻防演练的目标系统部署专人盯护,确保靶 标系统能够安全运行。
(3)联防联控
通过日例会机制,每天总结防守得失,分析研判每日态势,动态 调整防守策略和防守重点,调配机动力量,确保演练目标安全。
1)责任分工清晰。为解决过往编制报告工作分散研判专家过多时 间与精力的问题,单独设置了报告编制岗位,从而充分解放研判专 家,使研判专家能够更加专注于事件分析与技术研判工作,极大地提 高作战效率。
2)监测研判协同。改变过往安全监测人员与分析研判人员无法及 时沟通,导致安全事件信息传递不及时、信息传递有损失的情况。该 金融单位采用内部即时通信工具,按照不同事件类型进行职责分工分 组,达到安全事件信息高效传递、准确研判,并通过威胁运营平台进 行事件上报工作,安全监测人员发现疑似攻击成功事件时,可以直接 反馈给研判专家,由研判专家进行分析,确保每个事件有人跟进,完 成闭环。
3)情报协同。该金融单位建立情报组,积极搜集民间、同行业、 国家监管机构的威胁情报,对搜集的情报信息进行甄别并评估加固工 作,及时对子公司进行通告预警,从而在很大程度上预防未知风险导 致的入侵行为。
厘清现状保核心:某集团公司防守实例
明确核心,总结经验
本案例中红队为某集团公司,下辖多个二级企业,网络环境庞大 且复杂,可利用的攻击点众多,主要体现在:集团网络和所有二级企 业、外部业务单位互联互通;各二级企业具有各自的互联网出口,且 出口部署有向外部提供服务的应用系统;各级单位还迁移了大量系统 至集团公有云上,防护点分散且复杂。
经过研究,集团决定采取分级防护策略,确认本次演练的防护核 心为集团的目标系统,一级防护系统为集团公有云、关基系统和工控 系统,二级防护为下级企业重点系统和互联网暴露系统,三级防护为 其他一般系统。形成分级防护,争取阵地不失(见图10-2)。
图10-2 分级防护策略图
在确定防护策略后,集团进行了以下工作:首先,充分总结往年 攻防演练时容易出问题的薄弱环节,学习攻击方常用的攻击手段,组 织“网络安全周”活动;其次,梳理监控盲点、隐蔽路径、老旧资产、口令安全、重点应用和安全设备漏洞等重点薄弱环节,并开展整体安全加固工作;最后,通过“网络安全周”活动提高所有员工的网 络安全意识。
重点梳理工作如下:
- 网络架构梳理(可能的攻击路径有互联网、外连专线、VPN、 物理攻击);
- 关基系统、工控系统梳理;
- 重要系统确认,重要系统资产梳理;
- 所有Web页面、VPN、API、App梳理;
- 集权系统梳理;
- 全面复测、历史系统漏洞梳理;
- 在野托管系统梳理。
合理规划,全面自查
集团总部成立实战攻防演练领导小组,负责整体工作的重大决 策,统一领导和指挥调度。同时成立行动指挥部,负责网络安全保障 的工作部署、监督检查与应急调度。指挥部下设工作组,负责演练的 组织协调、技术支撑等工作。要求各二级单位成立工作小组,并制订 安全防护工作计划,确立工作红线。
整体工作包括筹备、安全检查、评估加固、防护值守和总结五个 阶段,根据组织分工,各岗位分别开展相关工作(见图10-3)。
图10-3 防护工作阶段规划
安全检查阶段是整体防护工作的基础,需要进行全面的风险隐患 识别和治理,主要包括互联网新增资产排查、新增网络链路评估、内 网安全检查、专项安全检查等工作。通过安全检查,集团共发现安全 隐患11类,修复各类应用系统和操作系统、中间件等的中高危漏洞 2650余个,优化安全策略534条,整改弱口令等账户问题940余个。通 过上述措施,集团掌握了自身安全状况,做到对潜在的安全隐患心中 有数,并及时进行修复和加固。
通过互联网暴露信息清查,集团发现了原来未掌握的暴露在互联 网上的网站、邮箱、源代码、文件和社交软件群等,通过及时清查和 处理,很大程度上降低了互联网暴露信息被蓝队利用的风险(见图10- 4)。
纵深防御,全面监控
在安全防护体系方面,依据纵深防御的理念,在集团所有互联网 边界统一接入云WAF安全防护,首先清洗和拦截无效攻击流量。在集团 和下级防护单位边界部署防火墙、WAF等安全防护设备,合理配置安全 策略,形成互联网边界防御纵深。集团内外业务网通过网闸隔离,外 部业务网根据业务实际情况划分和优化安全域,并在各安全域之间通 过防火墙等措施实行严格的访问控制,有效避免跨安全域横向和纵向 渗透攻击。所有服务器和用户终端均部署系统级防护软件,强化最后 一道防线的防护力度。集团云部署云防护软件,防护基于云特性的内 存、逃逸等攻击,形成立体、无死角的安全防护体系。
图10-4 互联网暴露信息清查示例
在各个网络区域均部署流量探针、蜜罐系统,集团云、服务器部 署监控软件。邮件服务器部署防钓鱼软件、沙箱等社工监控软件,实 现纵向、横向的全面安全监控。同时结合集团大数据威胁特征库对监 控流量进行快速、精准、有效的告警,形成全面、精准、无死角的安 全监控系统。
联动处置,及时整改
实战攻防演练期间,防护、监控、研判、应急等小组按照领导小 组的统一部署,坚守各自岗位,持续应对各类攻击。监控小组通过网 络威胁监控、云监控、主机监控、蜜罐等监控系统,对网络、社工和 外部通道开展全天候的安全监测、发现、分析和预警。研判小组对各 类攻击事件快速进行综合研判。应急小组针对发现的问题启动应急处 置流程,快速处置各类攻击事件,消除网络攻击行为。基础保障小组 每天对防护设备、安全监控设备进行规则策略调整和规则库升级。在 防护期间,工作组每天定时召开防守工作例会,各岗位、各单位汇总 和分析当天攻击事件,对攻击手段、封禁IP地址、漏洞隐患、新漏洞 等情况进行通报和处置,形成联防联控机制,只要一点发现问题,就 及时全面整改。领导小组每天总结经验,及时对相应工作进行调整, 为高效应对攻击行为做好保障。通过上述工作,集团整体防护和监控 系统得以安全有效运行。
攻防演练期间,共发现230万余次网络扫描、代码执行、SQL注 入、路径穿越、后门程序连接尝试、目录遍历、敏感信息探测、命令 执行和木马上传等攻击行为,被攻击的对象涉及各级单位的各类应用 系统共133个。
参考资料
更多推荐
所有评论(0)