Contenido 1. Descripción general
2. Antecedentes del ejercicio
3. Preparación del trabajo preliminar para la protección de la red.
3.1 Establecer un grupo de trabajo
3.2 Autoexamen de la superficie de ataque
3.3 Desarrollar un plan de ejercicio
3.4 Fortalecer las instalaciones de monitoreo
4. Implementación del trabajo de protección de la red.
4.1 Implementar estrictamente el sistema de derechos
4.2 Recopilación de inteligencia sobre amenazas
4.3 Fortalecer la respuesta de emergencia
4.4 Control estricto
4.5 Garantizar la continuidad del negocio
5. Evaluación del ejercicio
5.1 Principales resultados de la evaluación
5.2 Áreas que necesitan mejorar
6. Plan de trabajo de seguimiento
6.1 Refuerzo de la seguridad del sistema
6.2 Especificaciones de cuenta y contraseña
6.3 Actualización del plan de emergencia
6.4 Refuerzo de la formación en seguridad
7. Resumen
1. Información general
Este año, nuestra empresa continuó organizando y participando en los ejercicios de defensa y ataque de protección de redes lanzados por XX para infraestructuras de información críticas. Nuestra empresa XX volvió a actuar como defensora, con base en los requisitos del ejercicio, formulamos un plan de trabajo detallado y llevamos a cabo diversas tareas de protección de la red en estricto cumplimiento de los procedimientos, y finalmente logramos excelentes resultados.
2. Antecedentes del ejercicio
Este ejercicio fue iniciado por la unidad XX y fue diseñado para probar el nivel de protección de seguridad de la infraestructura de información crítica de mi país. Según el plan del ejercicio, durante el ejercicio, los adversarios rojo y azul organizarán equipos rojos profesionales para llevar a cabo ataques de penetración integrales en el sistema de información XX de nuestra empresa.
3. Preparación del trabajo preliminar para la protección de la red.
3.1 Establecer un grupo de trabajo
Para garantizar que se implementen todos los preparativos, se estableció el grupo de trabajo del XX ejercicio de protección de la red de la plataforma. El grupo está dirigido por los altos directivos de la empresa y participan los jefes de los departamentos pertinentes. Aclarar la división del trabajo e implementar trabajos de protección de redes en todos los niveles.
3.2 Autoexamen de la superficie de ataque
Cierre y reinicie los sitios web y sistemas comerciales para reducir aún más su exposición a Internet y fortalezca aún más las capacidades de defensa de la seguridad de la red de los sitios web y sistemas a través de métodos de protección centralizados y unificados para reducir el riesgo de ataques a sitios web y sistemas. Incluye principalmente los siguientes aspectos:
1. Investigación de la exposición externa de las empresas en todos los niveles.
Verificar y confirmar el nombre y la organización de los sistemas comerciales relevantes y adoptar estrategias para cerrar, detener, fusionar y transferir negocios no esenciales para reducir la exposición externa. Evite el impacto de los resultados de protección de la red debido a vulnerabilidades en la versión empresarial de cuasiproducción.
2. Investigación de exposición interna de cada negocio
Verifique la exposición externa de todos los sitios web comerciales relevantes, incluidos: URL del sitio web, backend de administración, lanzamiento ilegal, etc. Con base en la información comercial recopilada en la etapa anterior, confirme la URL del sitio web, el puerto comercial, el backend de administración, etc., y verifique su estado de apertura externa, configuración de protección de seguridad, etc., garantiza que las aplicaciones del sitio web abran URL o puertos relevantes al mundo exterior de acuerdo con las necesidades comerciales, y evitan que los puertos no comerciales y los backends de administración de sitios web queden expuestos al mundo exterior.
3. Investigación de la exposición externa de los puertos comerciales
Controlar estrictamente la información del puerto expuesta por cada sistema empresarial al mundo exterior, prohibir la apertura de relaciones de protección de red entre empresas con permisos excesivos, etc., y evitar que el equipo rojo elimine un determinado sistema empresarial y evite la penetración horizontal de la intranet. de causar exposición empresarial a gran escala.
4. Control de seguridad de acceso a la red y resolución de problemas
Revise entradas como los permisos de acceso a la intranet, las políticas de ACL para cada subred empresarial y las políticas de grupo de seguridad para cada host en la subred, y limite los permisos de administración de host a direcciones IP de máscara de 32 bits (como hosts bastión, direcciones VPN), diferentes usos. contraseñas diferentes entre hosts y cumplir con los requisitos de complejidad de las contraseñas.
Durante el período de protección de la red, todos los usuarios están obligados a estar vinculados al método de autenticación multifactor para evitar que el equipo rojo se entrometa directamente en la intranet debido a la fuga de información de la cuenta.
5. Verifique los permisos de administración de recursos
Antes de proteger la red, realice una inspección y rectificación de todas las cuentas con derechos de administración de recursos, incluida la inspección centralizada de las cuentas de inicio de sesión y las cuentas de administrador, notifique y modifique las cuentas que no cumplan con los requisitos de administración de contraseñas y asegúrese de que la información de la cuenta esté dedicada al personal dedicado. Se emitieron notificaciones a todas las contraseñas de cuentas de administrador relevantes, lo que requirió modificaciones uniformes para evitar la filtración de información de la cuenta debido a errores humanos.
3.3 Desarrollar un plan de ejercicio
En respuesta a los requisitos del ejercicio, se compiló el "Plan de trabajo del ejercicio de protección de la red de la plataforma XX" para aclarar el mecanismo de trabajo, la vigilancia de servicio, la respuesta de emergencia y otros requisitos durante el ejercicio. Y utilizar simulacros anteriores para mejorar las capacidades de respuesta a emergencias.
3.4 Fortalecer las instalaciones de monitoreo
1. Actualizar y mejorar diversos sistemas de monitoreo de seguridad y ampliar los indicadores de recolección de equipos de seguridad;
2. Introducir servicios de monitoreo de seguridad de terceros para fortalecer la detección integral de comportamientos anormales de la red.
4. Implementación del trabajo de protección de la red.
4.1 Implementar estrictamente el sistema de derechos
1. Implementar un sistema de turnos de 24 horas y designar personal dedicado a la recopilación de información, presentación de informes y respuesta a emergencias;
2. Fortalecer las inspecciones y el seguimiento de sistemas y negocios importantes al menos dos veces al día para prevenir riesgos importantes.
4.2 Recopilación de inteligencia sobre amenazas
1. Durante el período de protección de la red, recopile información relevante sobre explotación de vulnerabilidades emergentes de 0 días o 1 día;
2. Compare sus propios activos de manera oportuna para confirmar si existen vulnerabilidades explotables relevantes en el sistema, y estudie y determine las posibles rutas de ataque del equipo rojo;
3. Con base en la inteligencia de amenazas, planificar con anticipación estrategias de respuesta de refuerzo y parches de vulnerabilidades para conocernos a nosotros mismos y a nuestros enemigos;
4. Actualizar información como direcciones IP de fuentes de ataques altamente sospechosas en tiempo real y establecer una lista de monitoreo dinámico;
5. Utilice inteligencia sobre amenazas para respaldar la defensa activa, brindar alerta temprana y protección de fuentes de ataques sospechosas y mejorar el tiempo de defensa.
4.3 Fortalecer la respuesta de emergencia
1. Ante los continuos ataques del equipo rojo, el equipo de la plataforma respondió rápidamente, dio seguimiento a los ataques en tiempo real, implementó medidas de emergencia y se defendió con éxito contra todos los ataques;
2. Cuando se descubra que el sistema y la cuenta han sido atacados, se llevará a cabo la reparación de la vulnerabilidad lo antes posible para evitar la amplificación.
4.4 Control estricto
1. Implementar la gestión y control de segmentos de red durante el mantenimiento de la red, y cualquier nueva IP debe ser aprobada;
2. Descubrir oportunamente activos ilegales, sensibles y anormales en línea y realizar su aislamiento y eliminación lo antes posible;
3. Convergir las violaciones de activos del atacante, evitar mayores pérdidas y controlar el riesgo de perder puntos.
4.5 Garantizar la continuidad del negocio
Durante todo el ejercicio, se siguió de cerca el estado operativo del sistema empresarial y no hubo ninguna interrupción del negocio. Se verificaron las capacidades de garantía de continuidad del negocio de la plataforma.
5. Evaluación del ejercicio
De acuerdo con el sistema de evaluación del plan de ejercicio de enfrentamiento rojo-azul, en este ejercicio de protección de red, la plataforma XX de nuestra empresa logró excelentes resultados con una puntuación total de XX puntos, logrando el objetivo esperado.
5.1 Principales resultados de la evaluación
1. Realizar informes y resúmenes de trabajo en los puntos X y Recopiló X informes de desempeño defensivo, los cuales fueron confirmados por la sede interina y obtuvieron XX puntos.
2. La plataforma realiza un seguimiento exhaustivo de WAF, IDS, buzones de correo, VPN y otras cuentas, estado del sistema, estado de la red, etc. Ha descubierto un total de XX ataques, como descifrado de cuentas, escaneo, ejecución de comandos, inyección de SQL, etc. , y prohibió rápidamente las IP anormales. Se prohibieron un total de más de XX IP, pero no se encontraron ataques exitosos.
3. Fortalecer las capacidades de seguimiento y respuesta a emergencias. Después de que la plataforma descubre la cuenta comprometida, elimina la cuenta problemática lo antes posible; encuentra y elimina XX archivos troyanos maliciosos, evita que se ejecute el programa malicioso, informa los resultados de la defensa, optimiza los servicios relacionados con la plataforma y cierra la ruta de carga de troyanos.
4. Durante la fase de implementación de prevención, la plataforma XX detectó un total de XX ataques de escaneo maliciosos. La plataforma prohibió más de XX direcciones IP maliciosas. Se intentó descifrar más de XX cuentas de correo electrónico de la empresa, pero ninguno tuvo éxito. XX cuentas comerciales de la plataforma Se intentó descifrar violentamente. X número de intentos tuvieron éxito y X número de cuentas VPN se intentaron descifrar por fuerza bruta sin éxito. Se encontraron intrusiones de IP anormales en el sitio web oficial de la compañía XX. Se encontraron intrusiones de IP anormales en Plataforma XX y plataforma XX. Se tomaron medidas de prohibición de propiedad intelectual y se aplicaron contraseñas de sistema débiles al sitio web de la plataforma XX. Los problemas se rectificaron.
5. Recopilar X vulnerabilidades de día cero explotadas en la naturaleza y realizar investigaciones y reparación de vulnerabilidades en los activos de información asociados con las vulnerabilidades de día cero.
5.2 Áreas que necesitan mejorar
1. Algunos sistemas tienen vulnerabilidades de software que no fueron reparadas a tiempo y fueron aprovechadas por el equipo rojo para obtener acceso;
2. La configuración de cuentas y contraseñas de algunos sistemas empresariales es demasiado simple y débil.
6. Plan de trabajo de seguimiento
Con base en la situación de este ejercicio, se propone el siguiente plan de trabajo de seguimiento:
6.1 Refuerzo de la seguridad del sistema
Acelere el proceso de reparación de vulnerabilidades del sistema empresarial y mejore el nivel de seguridad del sistema.
6.2 Especificaciones de cuenta y contraseña
Investigar y formular estándares de complejidad de cuentas y contraseñas, e implementar el reemplazo regular de cuentas y contraseñas para sistemas importantes.
6.3 Actualización del plan de emergencia
Combinado con la situación de este ejercicio, el plan de emergencia se mejorará y optimizará aún más para mejorar la capacidad de responder a los ciberataques en el futuro.
6.4 Refuerzo de la formación en seguridad
Incrementar la capacitación en seguridad de redes para los empleados y mejorar la conciencia de seguridad de todos los empleados.
7. Resumen
A través de este ejercicio de defensa y ataque de protección de la red, se verificó el nivel de protección de seguridad de la plataforma XX de nuestra empresa y se identificaron aún más las áreas que necesitaban mejorar. Resumiremos cuidadosamente las experiencias y lecciones, continuaremos mejorando las capacidades de seguridad de la red y haremos nuevas contribuciones a la seguridad de la infraestructura nacional de información crítica.