没有网络安全就没有国家安全,为了检验和提高国家整体抵御网络攻击的能力,网络安全监管机构从2016年开始,不断的尝试和组织各类实战化攻防演习行动。实战化攻防演习行动涉及的单位数量逐年增多,攻击手段逐年多样,攻防白热化程度也在逐年提高。今年的演习行动只会更加白热,攻击手段只会更加复杂,披露防守问题只会更加直接。当前,各大型企业关心的焦点问题就是如何有效应对实战化攻防演习。
问题与困境
1、组织经验欠缺
就前些年经验而言,参加防守的企业在实战化攻防演习前2个月才会正式接到参演通知并开始准备。首次参加实战化攻防演习的企业人员大多不太清楚实战化攻防演习是什么,与传统的渗透测试、合规检查有什么区别,实战化攻防演习中需要企业干什么,实战化攻防演习后结果是什么。
(1)实战化攻防演习是什么
攻防演习充分体现了网络安全实战化的特点。在监管机构统一组织和监管下,攻击队伍接入指定攻防演习平台,使用专用的笔记本电脑,对演习目标系统展开高强度的远程攻击,在不限制攻击路径的前提下,以控制业务系统、获取重要数据为最终目的,全面展开攻击。各防守企业全面开展集中化、高频化的网络安全事件应急处置。
(2)实战化攻防演习干什么
在攻防演习行动开始前,防守单位需要开展大量准备工作,包括安全自查整改、IT资产清查、内部攻防演练、优化安全策略、补充部署安全工具、组建防守团队等。正式演习期间,成立演习指挥部,全面动员和调度组织内外资源参与演习活动,在演习过程中充分分析和研判攻击事件,开展事件处置。演习防守队伍7*24小时轮岗,全面压缩安全事件处理时间,全天处于高强度应急工作状态。
(3)实战化攻防演习结果是什么
实战化攻防演习的目的是“以攻促防”,最终落脚在参演单位的网络安全防御水平的提升,以保障自身主营业务可以经受实战化网络攻击的考验。因此,建议防守单位以积极的态度面对其在演习活动中可能暴露出的网络安全问题。对上述问题科学分析、制定计划、闭环整改,以切实提升自身的网络安全防护水平。
2、技防准备不足
参考历年来协助各大央企开展实战攻防演习的经验,下述几项内容往往会成为企业的防守薄弱环节。
(1)攻击面过多暴露
互联网出口和应用都是攻入内网的入口和途径。进入内网就是阶段性胜利,每个攻击者都希望看到企业无处不在的互联网应用。然而目前,仍然有部分集团型企业存在大量的互联网出口,分散发布了大量的互联网应用,防护措施更是良莠不齐,给攻击者创造了大量的机会,同时给防守工作带来巨大压力。
(2)资产情况不明
集团内有多少个互联网出口?这些出口IP有多少个?发布的互联网应用与IP端口的对应关系是什么?为这些应用开放的端口是否有必要?这些开放的服务是否存在安全漏洞?一些企业很难讲清楚。然而,上述问题中任何一环的疏漏,都会造成互联网边界被突破、攻击者进入内网的严重后果。
(3)内网安全难以应对
部分企业内网存在“一张网”的情况,各子网间没有隔离和防护手段,少数企业甚至出现过从地区办事处的办公电脑可直接访问总部数据中心核心交换机的情况。从办公网某双网卡工程师站,跳转进入工控网、拿下DCS的案例时有发生。内网安全怎么做,是考验企业网络安全防护能力的重要环节。
(4)访问控制不严
防火墙作为重要的网络层访问控制设备,随着网络架构与业务的增长与变化,安全策略非常容易混乱,甚至一些企业为了解决可用性问题,出现了“any to any”的策略。防守单位很难在短时间内梳理和配置几十个应用、上千个端口的精细化访问控制策略。缺乏访问控制策略的防火墙,就如同敞开的大门,安全域边界防护形同虚设。
(5)安全态势未知
网络安全监控设备的部署、网络安全态势感知平台的建设,是做到安全可视化,安全可控的基础条件。部分企业虽然采购部署了相关工具,但是每秒上千条报警,很难从中甄别出实际攻击事件。
网络安全监控是网络安全工作中非常重要的一个方面,是网络安全事件响应体系的第一环节。重视并建设好企业网络安全监控体系,是迈向实战化网络安全运营的第一步;持续运营并优化网络安全监控策略,是企业真正可以经受实战化考验的重要举措。
(6)新型应用带来新的挑战
由于新冠疫情的影响,企业广泛采用远程办公模式,给网络安全带来了新的挑战。视频会议系统软件漏洞、VPN密码爆破、远程连接通道被恶意利用等问题层出不穷。传统的企业安全防护架构能否满足新型应用和新型业务模式的安全防护需要,如何在现有条件下做好特殊时期、特殊应用的网络安全防护工作,同样是各企业网络安全人员需及时解决的问题。
3、人防队伍欠缺
由于种种约束和限制,部分企业在网络安全人才队伍建设上存在实际困境。
(1)人力资源缺乏
在攻防演习的事前、事中和事后都有大量的防守工作需要开展,而且工作的专业性较强。繁重的防守工作任务要求企业需要配备足够的专业化网络安全人才队伍和配套的组织调度机制。人是支撑安全业务的最重要因素,建议企业积极筹划,建立健全安全组织架构,提升支撑安全业务的各项能力,以应对新形势下的网络安全挑战。
(2)高级网络安全人才缺失
逐年暴露的新型网络安全威胁,逐年丰富的网络安全攻击手段,实质上对企业网络安全业务工作提出了与时俱进和主动防御的要求。企业需要配备高级网络安全人才,以及时关注和追踪网络安全最新威胁,系统检验、评判、优化自身运营体系和防御手段,丰富和完善企业网络安全业务工作内容,支撑和引导企业网络安全业务健康发展。
我们的建议
面对不断升级的网络安全威胁和不断严格的监管政策,做好实战化网络安全工作需要从两个方面入手,一是深入完善网络安全体系建设,围绕规划、建设和运营三个阶段,不断深化开展企业网络安全域的划分、安全域边界的隔离和监控、安全计算环境安全的提升以及态势感知平台的建设。二是持续优化提升安全实战能力,在资产基础信息管理、资产全生命周期安全、安全防护体系全局评估、集团级应急响应体系等几个方面开展持续深入的安全运营工作。
企业在开展上述工作的过程中,建议重点关注以下5方面内容:
1、安全运营工作的优化提升
安全运营工作水平体现在“全面、高效”两个方面。“全面”指资产信息掌握要全,“高效”指安全事件响应效率要高。
多数企业都已经部署使用NGSOC平台,可基于NGSOC平台已有能力,深化开展基于流量的资产探测、资产漏洞发现、资产配置缺陷发现等工作。通过多维度的技术手段,持续确认和核实资产基础信息的准确性,支撑企业高水平运营,为威胁来临时做好科学决策提供可靠依据。
在监测问题得到良好解决的基础上,需要提升的重点就是安全事件的处置工作。通过深化应用NGSOC平台的自动化编排功能,简化安全事件处置操作,压缩企业响应处置安全事件的时间,提高企业响应安全事件的准确性,提升总体安全事件响应效率。
2、服务器安全的关键防护举措
服务器承载着企业关键业务应用,需重点关注、重点防护。首先需对服务器进行深入的威胁排查以及安全加固工作,包括病毒、后门、Webshell的扫描删除、补丁更新、基线检查与配置等内容。同时,对服务器基本信息进行全面的收集和管理,例如端口、服务、应用、账户等,在这些信息的基础上,还需与主机安全加固产品结合,基于微隔离技术、HIPS技术、Webshell拦截技术等,对核心服务器做好精细化防护。最后,将上述内容统一做好详细记录,集中、安全存储与管理,供分析和溯源使用。
3、威胁发现能力的深入挖掘
企业需不断提升和完善未知威胁发现能力。威胁发现不仅仅是告警事件的分析与处置,而是结合网络流量信息、终端安全防护数据、服务器防护信息等多维度数据,进行综合分析研判,对照业务逻辑与日常规律,发现异常行为,定位未知威胁,描绘威胁攻击链、攻击时序、攻击范围以及攻击来源信息,为企业做全面的事件处置及采取加固手段提供真实、严谨的依据。
4、社工攻击防护的探索建设
企业网络安全工作中,人永远是最重要也是最薄弱的一环。为了切实提高企业员工对社会工程学攻击的认识,在不断深化加强安全意识教育的基础上,企业需要组织钓鱼邮件、鱼叉邮件、交友诈骗、水坑攻击、WIFI钓鱼、问卷调查、虚假活动等社会工程学评估活动。在活动中发现意识薄弱员工,惩教提升员工意识,形成企业典型案例,进行持续宣传教育。
5、工业控制系统的重点防护
工控系统是支撑企业工业生产活动的重要系统。工控系统一般需要与生产管理调度系统实时联动,接受生产指挥调度指令,控制生产设备的生产动作,收集和反馈生产状态数据。做好工控系统的安全防护工作,在“安全分区、网络专用、横向隔离、纵向认证”的基础上,还要重点做好精细化访问控制和即时集中监控工作。若某工控系统被选定为演习目标系统,建议提前对该系统做详细的安全评估工作,摸清工控网现状,做好针对性防护。
走出困境,面向未来
“实战演习”中各单位集中力量、突击建设、调动一切内外部资源迎战,显然不是一种常态机制。然而,时时都在发生的网络空间安全对抗却是常态化的。为脱离被动困境,从容面对演习,切实降低风险,提升安全水平,企业在基础架构安全建设完成的基础上,还需加快充实网络安全队伍,创新人才使用和调度机制,培养提升现有队伍专业素质,建立网络安全专业人员持证上岗及考评制度,加快推动自身网络安全“红蓝军”队伍建设,借助内外部力量打造一支既精通网络安全,又熟悉自身业务的网络安全保障团队。
声明:本文来自奇安信安全服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。