二是建立有效的工作沟通机制,通过安全可信的即时通讯工具建立实战工作指挥群,及时发布工作通知,共享信息数据,了解工作情况,实现快速、有效的工作沟通和信息传递。
3) 运营方面
成立防护工作组并明确工作职责,责任到人,开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作,加强安全技术防护能力。完善安全监测、预警和分析措施,增强监测手段多元化,建立完善的安全事件应急处置机构和可落地的流程机制,提高事件的处置效率。
同时,所有的防护工作包括预警、分析、验证、处置和后续的整改加固都必须以监测发现安全威胁、漏洞隐患为前提才能开展。其中,全流量安全威胁监测分析系统是防护工作的重要关键节点,并以此为核心,有效地开展相关防护工作。
二、 临战阶段——战前动员鼓舞士气经历了备战阶段的查缺补漏、城防加固等工作,安全防护能力在技术方面、管理方面和运营方面上都有了较大的提升。为了能更多的协同配合,高效的应对实战阶段的攻击,减少分析处置事件的时间,提高防守的效果,还需要做好临战阶段的动员工作。
做好临战阶段的工作建议从三个方面开展。
1) 召开战前动员会
战前动员会主要进行三部分的工作:一是实战演习开始前,通过召开现场战前动员会的形式,进行战前动员,统一思想,统一战术、提高斗志,达成共识。二是强调防护工作中注意的事项,攻击手段多种多样,为防止防守人员被攻击利用,要严格遵守记录红线、做到令行禁止。三是提高大家的攻防意识,对攻击过程进行剖析,对常见的攻击手段部署针对性的防守要点,做到有的放矢。
2) 贯彻工作流程
贯彻工作流程的目的一是对参与防守工作的人员进行任务分工,说明工作职责、各司其职。二是固化每日工作流程、各岗位协同配合,做好攻击事件前期的监测、中期的研判和后期的处置工作。三是贯彻制定的工作排班计划、交接班要求等。通过工作流程做到防守工作有序有效,提升防守的效果。
3) 组织战术培训
战术培训会主要工作内容有两项:一是由安全专家分享其他单位的网络安全实战攻防演练相关经验,协助防守队制定不同攻击场景的防守战术。二是安全专家对演练评分规则的详细解读,提高参演人员对演练的认知。
三、 实战阶段——全面监测及时处置攻守双方在实战阶段正式展开全面对抗。防护方须依据备战明确的组织和职责,集中精力和兵力,做到监测及时、分析准确、处置高效,力求系统不破,数据不失。
在实战阶段,从技术角度总结应重点做好以下四点。
1) 全面开展安全监测预警
实战阶段监测人员需具备基本的安全数据分析能力,根据监测数据,情报信息能基本判断攻击有效性,如存疑应立即协同专业分析人员协助分析,确保监控可以实时发现,不漏报,为处置工作提供准确信息,同时监测工作应覆盖整个攻击队攻击时间。
2) 全局性分析研判工作
在实战防护中,分析研判应作为核心环节,分析研判人员要具备攻防技术能力,熟悉网络和业务。分析研判人员作为整个防护工作的大脑,应充分发挥专家和指挥棒的作用。向前,对监测人员发现的攻击预警、威胁情报进行分析确认,向后,指导协助事件处置人员对确认的攻击进行处置。
3) 提高事件处置效率效果
确定攻击时间成功后,最重要的是在最短时间内采取技术手段遏制攻击、防止蔓延。事件处置环节,应联合网络、主机、应用和安全等多个岗位人员协同处置。
4) 追踪溯源,全面反制
在发现攻击事件后,防守队伍可根据安全防护设备、安全监测设备产生的告警信息、样本信息等,结合各种情报系统追踪溯源。条件允许时,可通过部署诱捕系统反制攻击队攻击终端,做到追踪溯源、防守反制。
四、 战后整顿——实战之后的改进演习的结束也是防护工作改进的开始。在实战工作完成后应进行充分、全面复盘分析,总结经验、教训。有两方面工作需要开展。
一是通过复盘会找出攻防演习备战阶段、临战阶段、实战阶段中的工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练、注意事项、队伍协同、情报共享和使用等过程还存在哪些纰漏和不足,输出技术和管理两方面问题整改措施计划。同时,各单位还需立即总结攻防演习防守策略,如情报技术、反制战术、防守作战指挥策略等,为演习队伍在下一次保障提供防守技术指导。