随着近几年攻防技术的快速发展,实战攻防演习中各种攻击手段层出不穷、花样百出,各单位在演习中切实感受到了攻击队带来的严重威胁以及防守的巨大压力,防守队的监测和防护体系面临巨大挑战。防守队对于在攻防对抗中确实能够发挥重大作用的安全产品趋之若鹜,投入大量资金来采购和部署。
2018-2019年,除了传统产品外,全流量威胁监测类产品在攻防对抗中证明了自己,获得了各单位的青睐,到了2020年,主机威胁检测、蜜罐以及威胁情报等产品服务迅速成熟并在演习中证明了对主流攻击的监测和防护能力,防守队开始大规模的部署使用。除此之外,钓鱼攻击、供应链攻击等还没有有效的防护产品,不过随着在实战中快速打磨,相应产品也会迅速成熟和广泛使用。
3) 被动防守到正面对抗
要说变化,2020年防守队最大的变化应该是从被动挨打迅速转变为正面对抗、择机反制。之前,演习中的大部分防守队发现攻击后基本就是封锁IP、下线系统、修复漏洞,之后接着等待下一轮攻击。敌在暗、我在明,只能被动挨打。2020年开始,大量的防守队加强了溯源和反制能力,跟攻击队展开了正面对抗,也取得了很多战果。
要具备正面对抗能力,需要重点加强以下几个方面。
快速响应。实战中讲究兵贵神速,在发现攻击时,只有最快速地确认攻击方式、定位受害主机、采取处置措施,才能够有效阻止攻击,并为下一步的溯源和反制争取时间。
准确溯源。俗话说知己知彼百战百胜,要想和攻击队正面对抗,首先要找到攻击队的位置,并想办法获取攻击队的足够信息,才能有针对性的制定反制策略开展反击。
精准反制。反制其实就是防守队发起的攻击。防守队在准确溯源的基础上,需要攻击经验丰富的人员才能够有效精确的实施反制。当然,也有些单位会利用蜜罐等产品埋好陷阱,等着攻击队跳进来之后,利用陷阱中的木马等快速攻陷攻击队系统。
第三章 红队四步走——防守的四个阶段
在实战环境下的防护工作,无论是面对常态化的一般网络攻击,还是面对有组织、有规模的高级攻击,对于防护单位而言,都是对其网络安全防御体系的直接挑战。在实战环境中,红队需要按照备战、临战、实战和战后三个阶段来开展安全防护工作。
一、 备战阶段——不打无准备之仗在实战攻防工作开始之前,首先应当充分地了解自身安全防护状况与存在的不足,从管理组织架构、技术防护措施、安全运维处置等各方面能进行安全评估,确定自身的安全防护能力和工作协作默契程度,为后续工作提供能力支撑。这就是备战阶段的主要工作。
在实战攻防环境中,我们往往会面临技术、管理和运营等多方面限制。技术方面:基础能力薄弱、安全策略不当和安全措施不完善、产品部署位置不当、防护产品自身安全有问题、监控手段不熟悉、监控手段单一等问题普遍存在;管理方面:制度缺失,职责不明,应急响应机制不完善等问题也很常见;运营方面:资产梳理不清晰、业务架构不了解、漏洞整改不彻底、安全监测分析与处置能力不足等问题随处可见。这些不足往往会导致整体防护能力存在短板,对安全事件的监测、预警、分析和处置效率低下。
针对上述情况,红队在演习之前,需要从以下几个方面进行准备与改进。
1) 技术方面
为了及时发现安全隐患和薄弱环节,需要有针对性地开展自查工作,并进行安全整改加固,内容包括系统资产梳理、应用组件梳理、交互协议梳理、安全基线检查、网络安全策略检查、Web安全检测、关键网络安全风险检查、安全措施梳理和完善、公开情报收集、应急预案完善与演练等。
为了检验监控措施的有效性,还需对安全产品自身的安全性、部署位置、覆盖面进行评估;为了更快的发现问题,尽量部署全流量威胁监测、网络分析系统、蜜罐、主机监测等安全防护设备,提高监控工作的有效性、时效性、准确性;监测人员还需对安全产品熟练掌握、优化安全产品规则。
2) 管理方面
一是建立合理的安全组织架构,明确工作职责,建立具体的工作小组,同时结合工作小组的责任和内容,有针对性地制定工作计划、技术方案、相关方协同机制及工作内容,责任到人、明确到位,按照工作实施计划进行进度和质量把控,确保管理工作落实到位,技术工作有效执行。