三個(gè)重點(diǎn)����、兩項(xiàng)加強(qiáng)、一個(gè)中心�,教你提升攻防實(shí)戰(zhàn)能力!
發(fā)布日期:2020-05-14作者:網(wǎng)站管理員閱讀量:
隨著網(wǎng)絡(luò)安全攻防演練的常態(tài)化�,用戶在構(gòu)建網(wǎng)絡(luò)實(shí)戰(zhàn)防護(hù)能力時(shí)仍面臨許多挑戰(zhàn)。結(jié)合現(xiàn)有的安全標(biāo)準(zhǔn)規(guī)范和行業(yè)相關(guān)實(shí)踐�,各政企事業(yè)單位應(yīng)如何落地實(shí)踐呢?
攻防對(duì)抗趨勢下
實(shí)戰(zhàn)能力成為網(wǎng)絡(luò)安全建設(shè)的重要目標(biāo)
體系化的安全建設(shè)能夠保障安全建設(shè)的水平���、提升建設(shè)的“完善程度”����、滿足全面的建設(shè)要求��,且針對(duì)大多數(shù)攻擊行為都是有效的����。
但目前網(wǎng)絡(luò)空間態(tài)勢復(fù)雜,0Day�����、定向攻擊、高級(jí)可持續(xù)性攻擊等針對(duì)性的攻擊手法�����,已經(jīng)成為攻防對(duì)抗中常用的手段���。如何在實(shí)際攻防對(duì)抗環(huán)境中具備實(shí)戰(zhàn)能力���,成為了所有行業(yè)和組織單位網(wǎng)絡(luò)安全建設(shè)的重要目標(biāo)。
實(shí)戰(zhàn)能力構(gòu)建的現(xiàn)狀與挑戰(zhàn)
深信服安全專家認(rèn)為��,網(wǎng)絡(luò)實(shí)戰(zhàn)能力的構(gòu)建��,離不開體系化的防御能力和常態(tài)化的運(yùn)營能力���,從目前大量的實(shí)踐案例來看�,一些組織單位在構(gòu)建以上安全能力的過程中普遍面臨下述挑戰(zhàn):
(1)補(bǔ)丁式建設(shè)���,難以形成體系化防御能力
受制于業(yè)務(wù)規(guī)模���、資源投入等因素�����,大部分組織的網(wǎng)絡(luò)安全都是“頭痛醫(yī)頭、腳痛醫(yī)腳”�����,逐步完善安全建設(shè)����。這在戰(zhàn)術(shù)上是合理的,但在戰(zhàn)略上由于缺乏初期的“整體規(guī)劃��,分步建設(shè)”�����,導(dǎo)致往往會(huì)存在以下問題:
(2)階段性外援��,難以提升常態(tài)化運(yùn)營水平
應(yīng)對(duì)攻防演練����,最常被組織單位采納的措施是借助外部專業(yè)安全技術(shù)人員,在短時(shí)間內(nèi)快速提升網(wǎng)絡(luò)安全運(yùn)營能力�����;然而如今攻擊日趨專業(yè)化����、密集化、隨機(jī)化�����,攻防演練與日常所面臨的攻擊強(qiáng)度差距持續(xù)縮小�����,導(dǎo)致上述模式存在以下問題:
-
短期外援只能應(yīng)急,演練結(jié)束后“人走茶涼”�,無法提升常態(tài)化運(yùn)營水平;
-
長期聘請(qǐng)安全人員駐場成本過高���,其效果很大程度上依賴于個(gè)人能力高低;
-
組織單位自身培養(yǎng)網(wǎng)絡(luò)安全技術(shù)人員的周期長���、成本高����、見效慢����。
實(shí)戰(zhàn)能力構(gòu)建的破局之道
深信服安全專家建議,組織單位可以通過以下 “三二一”模式打造體系化安全建設(shè)��,提升網(wǎng)絡(luò)安全實(shí)戰(zhàn)防護(hù)能力:
1. “三個(gè)重點(diǎn)”����,提升安全基線
包含等級(jí)保護(hù)“一個(gè)中心、三重防護(hù)”核心思想�、PDR模型等在內(nèi)的安全建設(shè)方法論����,都提到了以下三個(gè)關(guān)鍵點(diǎn):
-
風(fēng)險(xiǎn)消除:通過收斂對(duì)外暴露面���、修復(fù)高危漏洞�、加固弱口令等措施��,盡可能降低被攻擊者嗅探和入侵的概率����;如果條件允許,可主動(dòng)搜索暴露在Github���、網(wǎng)盤���、文庫等公共平臺(tái)的內(nèi)部關(guān)鍵信息并迅速整改;
-
立體保護(hù):基于等級(jí)保護(hù)“一個(gè)中心�����、三重防護(hù)”核心思想���,對(duì)信息系統(tǒng)所涉及的網(wǎng)絡(luò)���、主機(jī)�����、應(yīng)用����、數(shù)據(jù)等資產(chǎn)進(jìn)行全面加固��,包括補(bǔ)齊缺失的安全軟硬件����、優(yōu)化策略配置�、升級(jí)安全規(guī)則模型等,刷新整體防護(hù)效果���;
-
監(jiān)測響應(yīng):構(gòu)建覆蓋全網(wǎng)的威脅監(jiān)測與響應(yīng)能力�����,確保在邊界被突破后盡早發(fā)現(xiàn)威脅并迅速處置�����,避免損失擴(kuò)大�,即盡量縮小Dt(檢測時(shí)間)和Rt(響應(yīng)時(shí)間)。目前較為高效的方式是SOAR技術(shù)的應(yīng)用��,即安全編排���、自動(dòng)化與響應(yīng)��,通過智能化檢測模型還原攻擊全貌�,并聯(lián)動(dòng)各安全產(chǎn)品實(shí)現(xiàn)協(xié)同處置�,大幅縮減檢測與響應(yīng)的時(shí)間。
2. “二項(xiàng)加強(qiáng)”����,強(qiáng)化關(guān)鍵點(diǎn)防護(hù)
經(jīng)典的安全建設(shè)方法論能夠在宏觀層面上對(duì)安全建設(shè)提出指導(dǎo)性建議,但在具體實(shí)戰(zhàn)中�,缺乏對(duì)于不同資產(chǎn)安全投入主次的指導(dǎo),往往導(dǎo)致在網(wǎng)絡(luò)關(guān)鍵點(diǎn)的保護(hù)不足���,最終被集中火力突破���。因此在安全基線之上,應(yīng)當(dāng)結(jié)合組織的實(shí)際業(yè)務(wù)特點(diǎn),對(duì)關(guān)鍵點(diǎn)進(jìn)行防護(hù)強(qiáng)化:
-
強(qiáng)化關(guān)鍵系統(tǒng)防護(hù)��。攻擊者一旦突破內(nèi)網(wǎng)會(huì)優(yōu)先選擇受害者關(guān)鍵系統(tǒng)作為下一步攻擊目標(biāo)�����,如認(rèn)證服務(wù)器�����、集中管理平臺(tái)�、域控服務(wù)器等,因此各組織應(yīng)對(duì)關(guān)鍵系統(tǒng)提供額外的安全防護(hù)措施���。
-
強(qiáng)化關(guān)鍵路徑防護(hù)。除常規(guī)路徑外��,攻擊者還會(huì)利用旁路實(shí)施攻擊滲透�,如下屬單位與總部之間的內(nèi)部網(wǎng)絡(luò),或獲得內(nèi)部用戶的VPN賬號(hào)等�。因此各組織應(yīng)對(duì)關(guān)鍵路徑加強(qiáng)防護(hù),如禁止無權(quán)限用戶訪問關(guān)鍵系統(tǒng)����、細(xì)化下屬單位與總部之間的訪問控制等。
3. “一個(gè)中心”,構(gòu)建常態(tài)化運(yùn)營
網(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗���,對(duì)抗是持續(xù)化的過程����,需要在提升安全基線��、加強(qiáng)關(guān)鍵防護(hù)的基礎(chǔ)上��,建立安全運(yùn)營中心并主動(dòng)�、持續(xù)地開展安全運(yùn)營工作,并借助SOAR技術(shù)幫助人員提升安全運(yùn)營效率���,更好更快地執(zhí)行信息收集�、分析���、研判與處置的流程��,以確保防御能力的有效性����。
相比于自運(yùn)營模式下人員培養(yǎng)的成本高���、周期長��、見效慢等問題�����,聯(lián)合運(yùn)營模式更加符合當(dāng)前組織的實(shí)際需求�����。聯(lián)合運(yùn)營指組織單位通過購買安全運(yùn)營服務(wù)����,無需對(duì)現(xiàn)有IT安全架構(gòu)進(jìn)行極大的調(diào)整,也無需花費(fèi)雇傭第三方安全服務(wù)人員長期駐場的高昂成本����,即可迅速復(fù)用安全運(yùn)營服務(wù)商的云SOC以及安全專家團(tuán)隊(duì)開展安全運(yùn)營工作,為業(yè)務(wù)提供7*24小時(shí)的安全保障�,同時(shí)安全專家的專業(yè)能力有足夠保障�����。這種模式建設(shè)成本適中���,見效快����,效果好,比較適合大多數(shù)組織單位����。聯(lián)合運(yùn)營模式最大的優(yōu)勢在于能夠以比較低的成本,通過復(fù)用安全專家團(tuán)隊(duì)��,以更具經(jīng)驗(yàn)的流程確保全天候的安全保障能力�。
您當(dāng)前的位置:
