1 演练介绍
实战化攻防演练活动是以全国范围内真实网络目标为对象的网络攻防实战演练活动。主要针对各大企事业单位、部属机关,大型企业等国家关键基础设施,一般持续时间为2-3周。演练通常是以实际运行的信息系统为保护目标,通过有监督的攻防对抗,最大限度地模拟真实的网络攻击,以此来检验信息系统的实际安全性和运维保障的实际有效性。
从2016年攻防演练行动开展以来,演练的范围、规模和力度等方面越来越大,从最初国家级的主要单位和机关扩展到省、市、区以及各行各业。随着演练规模的不断扩大,攻防双方的技术水平和实战能力也在不断地提高,市场上对于在实战的情况下对攻防对抗演练的需求也越来越多。
2 蓝队介绍
要展开攻防对抗演练,就需要有对抗双方,攻防演练行动沿用了军事演习中的概念和方法,将对抗的双方分为红队和蓝队。一般情况下,红队和蓝队分别代表攻击队和防守队。
蓝队以现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据。
在实战环境下的防护工作,无论是面对常态化的一般网络攻击,还是面对有组织、有规模的高级攻击,对于防护单位而言,都是对其网络安全防御体系的直接挑战。在实战环境中,蓝队一般按照前期预演、实战演练和后期总结三个阶段来开展安全防护工作。
3 前期预演
在攻防对抗前期预演阶段,首先应当充分地了解自身安全防护状况与存在的不足,从管理组织架构、网络组织架构、资产信息梳理、技术防护措施、安全运维值守、应急响应、安全意识等各方面能进行安全评估,确定自身的安全防护能力和工作协作默契程度,为后续工作提供能力支撑。
3.1 组织架构和网络架构
由于蓝队并不仅仅由实战演习中目标系统运营单位一家独立承担,而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍。因此有必要对组织架构进行梳理,确定各个团队在演习中的角色与分工情况,充分利用各个团队的优势和资源,以期望实现最大限度的防御工作。
同时,我们也需要对整体网络架构进行全面安全分析和梳理,主要关注当前网络架构中的安全能力现状,以及关键业务流的流向等,包括各个子网、路由器、交换机、防火墙等设备的位置和连接关系,确定网络的边界,了解各个边界防御措施,有助于蓝队理解网络的结构和流量路径,发现可能的风险区域和潜在的攻击路径。
3.2 资产梳理
在攻防实战开始前蓝队有必要进行资产梳理,其目的是为公司企业能够做到“摸清家底”,对自己当前资产做一个详细梳理,以便在攻防实战期间能够坦然应对。
收集的资产清单主要包括:服务器(内外网)、网络设备、安全设备、应用程序和数据库等资产。
3.3 风险排查
风险排查阶段,主要采用基线核查、漏洞扫描、渗透测试、入侵检测的方法对收集到的资产进行测试,以期在实战演练前将自身的安全风险进行合理管控。此阶段也是前期预演的重要阶段,风险排查的效果很大程度上决定了实战情况下红队的攻击效果,最终影响我们整体对抗演练的成绩,因此,在前期准备阶段需要更多的时间投入到此阶段。
3.4 安全管理
风险排查后需要对客户的安全管理进行梳理,主要包括以下几个方面:
结合客户的实际情况,对客户的安全管理的成熟度进行评估,然后将评估的结果与风险排查的结果一起交由客户进行协调、整改和加固。
3.5 安全整改与加固
针对组织架构、网络架构、资产梳理、基线检查、漏洞扫描、渗透测试以及安全管理等安全检查评估发现的问题进行处置,提出可落地整改建议或风险规避措施,完成对问题的处理。
对各阶段服务过程中发现的风险进行安全加固,需要基于如下原则:
1、安全解决方案量身定做,确保整改方案可落地。在现有安全规避方案基础上,结合项目实际环境,提出可落地的整改方案,确保整改方案可落地;
2、制定适用于不同场景的规避方案、制定适用不同场景的安全风险规避方案,帮助客户解决难以加固的难题,将安全风险降低至可接受范围。
3.6 风险复盘
通过对整体的安全措施进行梳理和复盘,对不需要用到的资产进行关停,对以往发现的安全风险进行梳理,尚未解决的高中风险需要快速进行闭环,对现有网络安全设备的规则库进行升级,对安全设备策略进行进一步调整和优化,查漏补缺,以期最大限度的降低被攻击者利用的风险,提高自身的防御等级,为接下来的实战演练做好充足的准备。
4 实战演练
在实战演练阶段,攻守双方正式展开全面对抗。蓝队,作为攻防演练防守方,需要加强防护过程中的安全保障工作,各岗位人员各司其职,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。
在此阶段,从技术角度分析应重点做好以下三方面的工作,主要包括日常安全值守、事件分析和研判、应急响应等。
4.1 安全值守
蓝队各防护小组组织人员,根据岗位职责开展安全事件实时监测工作。借助安全防护设备(全流量分析设备、Web防火墙、IDS、IPS、数据库审计、态势感知、威胁情报、XDR、APT、蜜罐等)开展攻击安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为处置工作提供准确信息。如果对部分事件存疑,应立即协同专业分析人员对事件进行分析研判,确认可以实时发现攻击并处理。
除了对安全设备事件的监控外,蓝队小组成员还需要通过工具半自动化以及人工分析的方式对相关日志,进行审计和监控,判断是否存在、新增账户、异常登录、账户越权操作等行为,对于重要系统,可以组织额外人力进行定期巡检。
监控分析小组需要将监控情况汇报,汇报主要分为实时汇报和每日汇报,汇报内容主要包括事件研判处置、安全值守监控、应急响应支持、重要系统巡查等方面。
4.2 事件分析与研判
在攻防实战中,对事件的分析研判至关重要,分析研判人员作为整个防护工作的大脑,应充分发挥专家和指挥棒的作用,向前,对监测人员发现的攻击预警、威胁情报进行分析和确认;向后,指导和协助事件处置人员对确认的攻击进行应急响应和处置。因此,其需要具备较高的攻防技术能力,能够在告警发生的时候,可以迅速做出正确的判断,进而实施有效的措施,使情况恢复控制。
攻击研判同时也是事件分析过程中最具挑战性的环节,确定是否发生了事件,事件影响面有多大,后续如何遏制或根除异常、可疑活动在攻防演练中至关重要。分析研判人员需要通过对主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析,确认攻击者利用的突破点,重现攻击者的攻击路径,包括:获取入口的方式、横向移动、落地文件和生成的非落地恶意文件等。
一旦判定为严重威胁事件,需立即交由应急响应处置人员按照相关的应急响应预案进行处置。
4.3 应急响应
蓝队防御人员—应急响应小组接到研判人员的安全事件后,立即根据《国家网络安全事件应急预案》以及各省、市等单位的应急响应预案文件要求,将事件进行紧急、危险等不同级别定义,后经报相关单位主管领导同意后启动相对应的应急专项预案,并召集技术人员开展处置、排查工作,安排相关安全运维人员、系统运维人员现场开展排查。同时向所在地区网信办等主管应急部门报告事件情况。
5 后期总结
实战演练结束后,需要对在实战工作完成后应进行充分、全面复盘分析,总结经验、教训。应对准备、预演习、实战等阶段工作中各环节的工作进行全面复盘,复查层面包括工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练和注意事项等所有方面。
针对复盘中暴露出的不足之处,如管理层面的不完善、技术层面需优化的安全措施和策略、协调处置工作层面上的不足、人员队伍需要提高的技术能力等各个方面,应进行立即整改,整改加固安全漏洞隐患,完善安全防护措施,优化安全策略,强化人员队伍技术能力,有效提升整体网络安全防护水平。
6 广州云途腾介绍
广州云途腾科技有限公司是一家专注于企业级安全的解决方案供应商,在广州建立了专业的运营中心和DEMO CENTER,形成了完备的服务支持体系,拥有一支经验丰富、高度协作的专业技术团队,精通网络安全攻防对抗技术,善于识别和应对各种潜在的威胁,其核心成员曾长期服务于银行、证券、能源、政府、大型生产、物流、零售等客户。
自公司成立以来,参加和统筹了多次的重保攻防演练行动,并且分别取得了不俗的成绩。如您需要,我们会是您不错的选择。
广州云途腾云地安全服务,采用线上、线下相结合的方式,全时段为客户网络安全保驾护航。
重保期间,客户可根据自身业务防护情况,从保障预演、实战演练、安全防护,三个维度选择服务套餐,也可单一子服务灵活组合编排,多种模式,任君选择。