《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。网络安全实战化攻防演练作为国家层面促进各个行业重要信息系统顺利建设、加强关键信息基础设施的网络安全防护、提升应急响应水平等的关键工作,以实战、对抗等方式促进网络安全保障能力提升,具有非常重要的意义。
随着大规模攻防演练行动的开展,如何有效地实施演练,提升红蓝攻防对抗演练效果,让防守方在行动时做出更加准确的判断成为了大量用户的关注重点。
本文希望通过防守方案经验的分享,协助客户在实际工作中减少互联网侧的暴露面,加固网络内部的安全基线,全面提升其安全应对能力,以降低安全事件的发生概率。此外,本文同时希望可以为客户在重要时期(如护网、重保等)提供专业的安全团队与客户协同防护的经验。
攻击角度看防守
在攻防演练的过程中,我们从攻击方的视角可以了解到一些常见的攻击手段(如弱口令攻击、DDOS攻击、暴力破解等),通过这些攻击手段我们可以在攻防演练中,充分检验参演单位及目标系统的安全防护、攻击监测和应急处置能力。
演练组织方通常会选择具有丰富攻防经验的安全专家组成攻击队开展网络攻击,在确保不影响参演方正常业务的前提下,选择一切可利用的资源和手段,采用多变、灵活、隐蔽的攻击手段力求取得最大战果。
参演单位作为防守方,面对“隐蔽”的网络攻击,只有了解攻击方是如何开展攻击的,才能根据攻击特点建立完善的安全防护体系,有效抵御网络攻击。
一般而言,攻击方在组织入侵攻击时的具体步骤如下:首先制定攻击策略,明确攻击目标及手段;其次规划攻击线路,使攻击者分工合作,力争在短时间内取得最大战果。
攻击步骤中常用的手段有信息收集、漏洞分析、渗透攻击和后渗透攻击。
防守工作方案
了解到攻击方常见的攻击手段后,为有效应对攻防演练相关工作,攻防演练防守工作分成五个阶段,分别是准备阶段、安全自查和整改阶段、攻防预演练阶段、正式演练防护阶段和总结阶段。
第1阶段:准备阶段
在正式攻防演练开始前,应充分做好准备阶段工作,为后续演练工作其他阶段提供有效的支撑。
防守方案编制
攻防演练工作应按计划逐步有效的进行,参演单位应在演练前,根据实际情况,完成攻防演练防守方案编写,通过演练防守方案指导攻防演练防守工作的开展,确保演练防守工作的效果。
防守工作启动会
在攻防演练开始前,应组织各参演部门相关人员,召开演练工作启动会。以启动会的形式明确演练防守工作的目的、工作分工、计划安排和基本工作流程。
通过启动会确定演练防守工作主要牵头部门和演练接口人,明确演练时间计划和工作安排,并对演练各阶段参演部门人员的工作内容和职责进行宣贯 。同时,建立演练工作中的沟通联络机制,并建立各参演人员的联系清单,确保演练工作顺利开展。
重要工作开展
针对攻防演练的重要工作梳理,确保能够有效支撑后续演练。梳理内容如下:
网络路径梳理
关联及未知资产梳理
专项应急预案确认
安全监测防御体系
第2阶段:安全自查和整改阶段
通过安全自查对目标系统的安全状况得以真实反映,结合整改加固手段对评估发现的问题逐一进行整改。设置必要的防御规则,基于最小权限原则制定,即仅仅开放允许业务正常运行所必须的网络和系统资源。确保目标系统在攻防预演练前所有安全问题均已采取措施得到处理。自查内容如下:
网络安全检查
网络架构评估
网络安全策略检查
网络安全基线检查
安全设备基线检查
主机安全检查
主机安全基线
数据库安全基线
中间件安全基线
主机漏洞扫描
应用系统安全检查
应用系统合规检查
应用系统源代码检测
应用系统渗透测试
运维终端安全检查
运维终端安全策略
运维终端安全基线
运维终端漏洞扫描
日志审计
网络设备日志
主机日志
中间件日志
数据库日志
应用系统日志
安全设备日志
备份效性检查
备份策略检查
备份系统有效性检查
安全整改加固
基于以上安全自查发现的问题和隐患,及时进行安全加固、策略配置优化和改进,切实加强系统的自身防护能力和安全措施的效能,减少安全隐患,降低可能被外部攻击利用的脆弱性和风险。
第3阶段:攻防预演习阶段
攻防预演练是为了在正式演练前,检验安全自查和整改阶段的工作效果以及防护小组能否顺利开展防守工作,而组织攻击小组对目标系统开展真实的攻击。
通过攻防预演练结果,及时发现目标系统还存在的安全风险,并对遗留风险进行分析和整改,确保目标系统在正式演练时,所有发现的安全问题均已得到有效的整改和处置。
预演习启动会
由领导小组组长牵头,通过正式会议的形式,组织预攻击小组和防护工作小组各成员单位和个人,启动攻防预演练工作,明确攻防演练队伍组成,职责分工,时间计划和工作安排。
根据启动会决议内容,应将攻防预演练工作情况及所使用的攻击IP地址等信息,向国家网络安全相关主管部门(公安部、网信办等)进行备案说明。
授权及备案
演练开始前期,在对目标系统进行前期的安全准备工作中,参演单位应对第三方技术支撑单位进行正式授权。同时第三方技术支撑单位应向参演单位提供IP信息,参演单位将攻防预演练工作情况及所使用的攻击IP地址等信息,向国家网络安全相关主管部门(公安部、网信办等)进行备案说明。确保演练各项工作,均在授权范围内有序进行。
预演习平台
预演练使用的攻防演练支撑平台,攻击人员的所有行为通过平台进行记录、监管、分析、审计和追溯,保障整个攻击演练的过程可控、风险可控。同时,演练平台提供实况展示、可用性监测和攻击成果展示三个图形化展示页面,在预演练期间可通过大屏进行演示。
攻击实况展示
可用性监测
攻击成果展示
预演习攻击
预演练攻击由安全部门组织开展,攻击人员从互联网对目标系统进行攻击,攻击中禁止使用DDoS攻击等可能影响业务系统运行的破坏性攻击方式,可能使用的攻击方式包括但不限于:
Web渗透
旁路渗透
口令攻击
钓鱼欺骗
社会工程学
预演习防守
预演练防守工作由防护小组开展,在预演练期间,防护小组中各部门应组织技术人员开展安全监测、攻击处置和应急响应等防守工作:
业务监测
攻击监测
事件处置
应急响应
修复整改
预演习总结
参加预演人员对演练过程中发现的问题进行总结,包括是否存在系统漏洞、安全设备策略是否有缺陷、监测手段是否有效等,针对性提出整改计划和方案,尽快进行整改,同时通过攻防预演练发现的问题改进和完善安全自查和整改阶段的工作,为后续工作积累经验。
第4阶段:正式防护阶段
在正式防护阶段,重点加强防护过程中的安全保障工作,各岗位人员各司其职,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演练过程的安全防护效果。
安全事件实时监测
当开启正式防护后,防护小组组织各部门人员,根据岗位职责开展安全事件实时监测工作。安全部门组织其他部门人员借助安全防护设备(全流量分析设备、Web防火墙、IDS、IPS、数据库审计等)开展攻击安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。
事件分析与处置
防护小组根据监测到安全事件,协同进行分析和确认。
防护小组根据分析结果,应采取相应的处置措施,来确保目标系统安全。通过遏制攻击行为,使其不再危害目标系统和网络,依据攻击行为的具体特点实时制定攻击阻断的安全措施,详细记录攻击阻断操作。
演练工作小组应针对攻击演练中可能产生的攻击事件,根据已经制定的网络安全专项应急预案进行协同处置,同时在明确攻击源和攻击方式后,保证正常业务运行的前提下,可以通过调整安全设备策略的方式对攻击命令或IP进行阻断,分析确认攻击尝试利用的安全漏洞,确认安全漏洞的影响,制定漏洞修复方案并及时修复。
第5阶段:总结阶段
全面总结攻防演练各阶段的工作情况,包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等,形成总结报告并向有关单位汇报。
针对演练结果,对在演练过程中还存在的脆弱点,开展整改工作,进一步提高目标系统的安全防护能力。
工作简介
对攻击审计和现场清理,对重保情况进行整体的总结,并制定有针对性、可落地的安全体系改进建设指导方案。
工作内容
保障结束后,开展总结工作,报告中将详细记录保障过程、全面记录运行数据、深入总结保障经验、总结重点突出数据和经验,协助完善应急响应机制及预案,针对发现的安全漏洞及不足,制定技术方案进行整改加固。可对以下方面进行展开总结,如:
网络安全体系的监测、防护和响应措施的功效;
网络攻击的监测预警能力;
已有网络安全防护措施是否能够阻止、对抗外部攻击;网络安全组织队伍的人员能力和协同能力;
网络安全运维管理、机制和流程的有效性;
网络安全应急响应的机制、流程、组织和资源保障。
工作成果
各类安全报告,以及总体的汇总报告,报告内容详细描述安全风险及风险修复建议。
对于攻防演练的及时总结,有助于回顾演练过程中参演单位的优点与不足,利于参演单位日常网络安全管理的改善以及演练方案的持续改进,形成良性循环。
攻防演练各阶段工作的全面总结报告,主要包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等内容,该总结报告应向有关单位汇报并归档以备后查。
对于在演练过程中还存在的脆弱点,参演单位应及时开展整改工作,以进一步提高目标系统的安全防护能力。
