反制工作是防守队反渗透能力的体现,普通的防守队员一般也只具备监测、分析、研判的能力,缺少反渗透的实力。这将使防守队一直属于被动的一方,因为防守队没有可反制的固定目标,也很难从成干上百的攻击IP里,确定哪些可能是攻击队的地址,这就要求防守队中要有经验丰富的反渗透的人员。
经验丰富的反渗透人员会通过告警日志,分析攻击IP、攻击手法等内容,对攻击IP进行端口扫描、IP反查域名、威胁情报等信息收集类工作,通过收集到的信息进行反渗透。
防守队还可通过效防攻击队社工手段,诱导攻击队进入诱捕陷阱,从而达到反制的目的,定位攻击队自然人的身份信息。
第五章 建立实战化的安全体系
安全的本质是对抗。对抗是攻防双方能力的较量,是一个动态的过程。业务在发展,网络在变化,技术在变化,人员在变化,攻击手段也在不断变化。网络安全没有“一招鲜”的方式,需要在日常工作中,不断积累不断创新,不断适应变化,持续地构建自身的安全能力,才能面对随时可能威胁系统的各种攻击,不能临阵磨枪、仓促应对,必须立足根本、打好基础,加强安全建设、构建专业化的安全团队,优化安全运营过程,并针对各种攻击事件采取重点防护才是根本。
防守队不应以“修修补补,哪里出问题堵哪里”的思维来解决问题,而应未雨绸缪,从管理、技术、运行等方面建立实战化的安全体系,有效应对实战环境下的安全挑战。
一、 完善面对实战的纵深防御体系实战攻防演习的真实对抗表明,攻防是不对称的。通常情况下,攻击队只需要撕开一个点,就会有所“收获”,甚至可以通过攻击一个点,拿下一座“城池”。
但对于防守工作来说,考虑的却是安全工作的方方面面,仅关注某个或某些防护点,已经满足不了防护需求。实战攻防演习过程中,攻击队或多或少还有些攻击约束要求,但真实的网络攻击则完全无拘无束,与实战攻防演习相比较,真实的网络攻击更加隐蔽而强大。
为应对真实网络攻击行为,仅仅建立合规型的的安全体系是远远不够的。随着云计算、大数据、人工
智能等新型技术的广泛应用,信息基础架构层面变得更加复杂,传统的安全思路已越来越难以适应安全保障能力的要求。必须通过新思路、新技术、新方法,从体系化的规划和建设角度,建立纵深防御体系架构,整体提升面向实战的防护能力。
从应对实战角度出发,对现有安全架构进行梳理,以安全能力建设为核心思路,面向主要风险重新设计政企机构整体安全架构,通过多种安全能力的组合和结构性设计形成真正的纵深防御体系,并努力将安全工作前移,确保安全与信息化“三同步”(同步规划、同步建设、同步运行),建立起能够具备实战防护能力、有效应对高级威胁,持续迭代演进提升的安全防御体系。
二、 形成面向过程的动态防御能力在实战攻防对抗中,攻击队总是延续信息收集、攻击探测、提权、持久化的一个个循环过程。攻击队总是通过不断的探测发现环境漏洞,并尝试绕过现有的防御体系,成功的入侵到网络环境中。如果防御体系的安全策略长期保持不变,一定会被“意志坚定”的攻击队得手。所以,为了应对攻击队的持续变化的攻击行为,需要防御体系自身具有一定适应性的动态变得检测能力和响应能力。
在攻防对抗实践中,防守对应利用现有安全设备的集成能力和威胁情报能力,通过云端威胁情报的数据,让防御体系中的检测设备和防护设备发现更多的攻击行为,并依据设备的安全策略做出动态的响应处置,把攻击队阻挡在边界之外。同时,在设备响应处置方面,也需要通过攻击队的攻击行为和动机支持多样化的防护能力,例如封堵IP、拦截具有漏洞的URL的组页面访问等策略。
通过动态防御体系,不仅可以有效拦截攻击队的攻击行为,同时还可以迷感攻击队,让攻击队的探测行为失去方向,让更多的攻击队知难而退,从而在对抗过程中占得先机。
三、 建设以人为本的主动防御能力安全的本质是对抗,对抗两端是人与人之间的较量。攻防双方都在对抗过程中不断提升各自的攻防能力。在这个过程中,就需要建立一个高技术的安全运营团队,利用现有的防御体系和安全设备,持续地检测内部的安全事件告警与异常行为,通过安全事件告警和异常行为分析,发现已进入到内部的攻击队,并对其采取安全措施,压缩攻击队停留在内部的时间。