7月8日,中睿天下受邀参与由诸子云举办的“网络与数据安全”主题沙龙,中睿天下技术经理徐丹丹就《实战攻防之积极防御体系建设》这一主题进行了分享交流。
本次沙龙由南京分会会长宋士明主持,活动邀请到BASF、江苏省联社、华泰证券、宁证期货、星图金融、苏宁易购、江苏省联合征信有限公司、正大天晴药业、上海雷龙信息科技、ZTE、港口科技公司、希音等企业的安全专家参与。
实战攻防能力逐渐成为网络安全常态化需求
自2016年起,随着《网络安全法》的颁布,网络安全实战化攻防演练已成为重要的工作内容。根据该法规定,关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。国家层面推行网络安全实战化攻防演练的目的是提升整个国家的网络安全保障能力。
网络安全实战化攻防演练是以实战对抗的方式进行演练,旨在通过模拟真实的网络安全攻击与防御行为,提高组织和个人在网络安全威胁下的应对能力。这一演练形式可以使网络安全从理论走向实践,帮助企业及时发现和纠正安全漏洞,检验和完善网络安全防护措施。同时培养安全专业人才,增强安全团队的实际操作技能,提升人员应急响应的整体水平。
随着大规模攻防演练行动的开展,网络安全技术正朝着实战攻防的防护思路发展,网络安全建设逐渐也从合规驱动型转向实战攻防驱动型。因此,如何有效地实施演练,加强实战攻防对抗的效果,提升企业的网络安全防护能力,成为许多企业关注的重点。
实战攻防之积极防御体系建设方案
本次分享结合实战攻防背景下网络安全现状与关键信息基础设施运营单位网络安全需求,面向关键基础设施运营单位提出实战攻防积极防御体系建设方案,其核心思想定位为“利用攻击溯源技术,立足实战攻防前沿,实现攻击精准防护”,目的是协助关基运营单位建设实战攻防下的积极防御体系,提升企业实战攻防过程中的软硬实力。
中睿天下于2014年6月成立,长期致力于研究网络安全实战攻防的前沿技术。凭借多年实战攻防经验,公司站在攻击者的视角,提出实战场景下的积极防御建设方案,将实战攻防进一步拆解为三个阶段、九个动作和两个支撑。应对攻击的三个阶段分别是攻击前的风险识别加固阶段、攻击中的监测溯源分析阶段、攻击后的常态化安全运营阶段;九大动作包括认清风险、整改加固、定期演练、拦截阻断、监控预警、攻击溯源、应急响应、修补整改和常态运营;两大能力是基于实战攻防视角的红蓝队能力支撑。
攻击前阶段
安全建设的第一步是摸清家底。攻击者在攻击之前会对企业进行资产信息收集和暴露面梳理,通过各种攻击工具和手段发现企业的资产风险,例如敏感端口、互联网暴露面资产、设备系统弱密码、企业敏感数据等等。中睿天下站在攻击者的视角,模仿攻击者的“作案”手法和工具,以安全服务加合法工具的方式帮助企业提前认清风险,协助企业整改加固系统的安全漏洞,最后通过定期演练加强企业员工的安全意识,站在全局视角协助企业提升风险应对能力。
攻击中阶段
攻击正在进行或者攻击已经发生,都可以归类于攻击中阶段。在这个阶段,企业具备积极防御的能力尤为重要。
01 拦截阻断
首先联动阻断设备对已经明确的攻击进行主动拦截,实现对攻击行为的发现、识别阻断;
02 监控预警
其次通过安全工具和安全服务对正在进行的攻击进行监控预警,这个阶段考验的是设备的软硬实力(检测能力和有效告警);
03 攻击溯源
再者利用全流量回溯设备和威胁情报系统对攻击进行溯源分析,溯源攻击者的攻击行为、攻击工具、攻击手法和背景等信息;
04 应急响应
最后对已经发生的攻击做出应急响应和处置,利用主机溯源深入挖掘攻击者痕迹,结合取证分析服务和事件溯源出具溯源报告。
攻击后阶段
攻击后阶段最重要的工作就是要不断的修改整补最终实现常态化运营,以当前安全常态化运营的发展局势来看,需要有功能强大的态感平台和一支安全技术过硬的安全团队共同支撑。安全工具可以通过技术实现,安全队伍建设需要经过不断的培训来拉齐队伍认知,红队培训可以解决网络对抗下攻防不对等的问题,拉齐红队与攻击组织的能力。蓝队培训有助于提升基于实战攻防下的蓝队综合防御能力。
实战对抗积极防御体系应用效益
近年来,中睿天下“实战攻防积极防御体系”广泛应用于国家级重要实战攻防演练场景,均取得不斐成绩:
-
2017年参与全国11家单位攻防演习,逐渐成为国家电网安全运营监控和应急响应的核心供应商。
-
2018年,持续45天为电力、油田、税务等三十余家重要单位提供全方位的信息安全保障和应急响应服务。为某单位构建首个60秒响应中心,并荣幸成为该单位27个网省、38家直属单位核心安全运营监控供应商。
-
2019年,产品与服务相结合,为某政府、能源等单位提供安全监控和应急响应的有力支撑。
-
2020-2021年,I-LAB、V-LAB成立,集成了国内顶尖安全攻防分析人员,基础分析及响应团队、专业安全分析师、专项安全研究人员。协助四十余家单位开展HVV防守工作,作为主防单位协助客户荣获金融行业第一名。在客户侧现场发现0day漏洞攻击,提供情报及技术加分总计超过两万份。
-
2022年,首次发现的0day合计6个,提供一线报告数量350多份、高质量技战法报告30多份。