实战攻防对抗是一个高频的对抗活动,在这期间,需要外部的专业安全厂商配合工作组一起来防守,各个厂商之间应依据产品特点和职能分工落实各自工作,并在期间做到信息通讯顺畅、听从指挥。
4) 平台支撑、高效沟通
为了加强内部团队的沟通与协同,在内部通过指挥平台实现各部门、各角色之间的流程化、电子化沟通,提升沟通协同效率,助力联防联控有效运转。
第六章 强化行之有效的整体防御能力
2020年的实战攻防演习的最新要求是:与报备目标系统同等重要的系统被攻陷也要参照报备目标系统规则扣分。
这就对大型机构的防守队带来了前所未有的防守压力。原来通行的防守策略是重兵屯在总部(目标系统一般在总部),提升总部的整体防御能力。但是随着实战攻防演习规则的演变,总部和分支机构就变的同等重要。
从攻击路径来看,分支机构的安全能力一般弱于总部,同时分支机构和总部网络层面是相通的,并且早期安全建设的时候往往会默认对方的网络是可信的;在安全防护层面,总部一般也仅仅是对来自分支机构的访问请求设置一些比较粗犷的访问控制措施。这些安全隐患都会给攻击队留出机会,使攻击队可以从薄弱点进入,然后横向移动到总部的目标系统。
因此,防守队只有将总部和分支机构进行统一的安全规划和管理,形成一个整体防御能力,才能有效的开展实战攻防对抗。在整体防御能力上,建议防守队开展如下工作。
1) 互联网出口统一管理
条件允许的情况下,应尽量上收分支机构的互联网出入口。统一管理的好处是集中防御、节约成本、降低风险。同时,在整体上开展互联网侧的各类风险排查,包括互联网来知资产、敏感信息泄露、杜工信息的清理等工作。
2) 加强分支机构防御能力
如果无法实现分支机构的互联网出入口统一管理,则分支机构需要参考总部的安全体系建设完善其自身的防御能力,避免成为安全中的短板。
3) 全面统筹、协同防御
在准备阶段,应配合总部开展风险排查;在实战值守阶段,与防守队一起安全值守,并配置适当的安全监控人员、安全分析处置人员,配合防守队做好整体的防御,配合防守队做好攻击的应急处置等工作。