构建主动防御的基础是可以采集到内部的大量的、有效的数据,包括安全设备的告警、流量信息、账号信息等。为了对内部网络影响最小,采用流量威胁分析的方式,实现“全网”流量威胁感知,特别是关键的边界流量、内部重要区域的流量。安全运营团队应利用专业的攻防技能,从这些流量威胁告警数据中发现攻击线索,并对已发现的攻击线索进行威胁巡猎、拓展,一步步找到真实的攻击点和受害目标。
主动防御能力主要表现为构建安全运营的闭环,包括以下几个方面。
在漏洞的运营方面,形成持续的评估发现、风险分析、加固处置的闭环,减少内部的受攻击面,提升网络环境的内生安全。
在安全事事件运营方面,对实战中的攻击事件的行为做到“可发现、可分析、可处置”的闭环管理过程,实现安全事件的全生命周期的管理,压缩攻击队停留在在内部的时间,降低安全事件的负面影响。
在资产运营方面,逐步建立起配置管理库(CMDB),定期开展暴露资产发现,并定期更新配置管理库,这样才能使安全运营团队快速定义攻击源和具有漏洞的资产, 通过对未知资产处置和漏洞加固,减少内外部的受攻击面。
四、 基于情报数据的精准防御能力在实战攻防对抗中,封堵IP是很多防守队的主要响应手段。这种手段相对来讲简单、粗暴。同时,采用这种手段,容易造成对业务可用性的影响,主要体现在以下两个方面。
1)如果是检测设备误报,就会导致被封堵的IP并非是真实的攻击IP,这会影响到互联网用户的业务。
2)如果攻击IP自身是一个IDC出口IP,那么封堵该IP,就可能造成IDC后端大量用户的业务不可用。
所以,从常态化安全运行的角度来看,防守队应当逐步建立基于情报数据的精准防御能力。具体来说,主要包括以下几个方面。
首先,防守队需要建设一种精准防御的响应能力,在实战攻防对抗中针对不同的攻击IP、攻击行为可采用更加细粒度、精准的防御手段。
结合实战攻防对抗场景,防守队可以利用威胁情报数据共享机制,实现攻击源的精准检测与告警,促进进精准防御,减少检测设备误报导致业务部分中断的影响。此外,让威胁情报数据共享在多点安全设备上共同作用,可以形成多样化、细粒度化的精准防御。例如,在网络流量检测设备、终端检测与响应系统、主机防护系统等。
其次,为了最小化攻防活动对业务可用性的影响,需要设计多样化的精准防御手段与措施,既要延缓攻击,同时也要实现业务连续性需要。
例如,从受害目标系统维度去考虑设计精准防御能力,围绕不同的目标系统,采取不同的响应策略。如果是针对非实时业务系统的攻击,可以考虑通过防火墙封禁IP的模式;但如果是针对实时业务系统的攻击,就应考虑在WAF设备上拦藏具有漏洞的页面访问请求,从而达到实时业务系统的影响最小化。
最后,为了保证实战攻防对抗过程不会大面失陷,在重要主机侧应加强主机安全防护,阻止主机层面的恶意代码运行与异常进程操作。例如域控服务器、网管服务器、OA服务器、邮件服务器等。
五、 打造高效一体的联防联控机制在实战攻防对抗中,攻击是一个点,攻击队可以从一个点就攻破整座“城池”。所以在防守的各个阶段,不应只是安全部门在孤独的战斗,而是需要更多的资源、更多的部门协同工作,才有可能做好全面的防守工作。
例如,一个攻击队正在对某个具有漏洞的应用系统渗透攻击,在检测发现层面,需要安全运营团队的监控分析发现问题,然后通知网络部门进行临时封堵攻击IP,同时要让开发部门对应用系统的漏洞尽快进行修复。这样才能在最短时间内让攻击事件的处置形成闭环。
在实战攻防对抗中,要求防守队一定要建立起联防联控的机制,分工明确、信息通畅。 唯有如此,才能打好实战攻防演习的战斗工作。联防联控的关键点。
1) 安全系统协调
通过安全系统的接口实现系统之间的集成,提升安全系统的联动,实现特定安全攻击事件自动化处置,提高安全事件的响应处置效率。
2) 内部人员协同
内部的安全部门、网络部门、开发部门、业务部门全力配合实战攻防对抗工作组完成每个阶段的工作,同时在安全值守阶段全力配合工作组做好安全监控与处置的工作。
3) 外部人员协同