实战攻防演习是新形势下的关键信息基础设施网络安全保护工作的重要组成。从2016年开始,实战化攻防演习行动涉及的单位数量逐年增多,攻击手段更加复杂,暴露防守问题更加直接。如何在每年的大型实战攻防演习中有效做好防守工作,成为各个政府部门和企业网络安全工作的重大挑战。

在国家相关主管部门组织的2020年大型网络安全实战攻防演习中,某大型央企全程积极参与了演习行动,通过体系化的布局与实践,扎实有效的提升了网络安全的整体防御水平,圆满完成了此次演习防守任务。

提前规划,不打无准备之仗

为顺利开展实战攻防演习期间各项工作,该央企组建了统一作战体系,成立了演习领导、作战指挥、作战管理3个组,并引入了奇安信作为技术支持单位。由集团领导牵头,演习领导小组负责实战攻防演习期间的组织及重大事项决策协调工作,作战指挥组负责实战攻防演习期间的总体指挥、重大事件决策、资源调配等工作,作战管理组负责实战攻防演习期间的现场综合决策、通知指令下发和协调等工作。同时,在组织层面该央企落实网络安全“一把手”责任制,将网络安全实战攻防演习的各项工作职责层层压实,确保专项工作在人力、资源等方面获得有力保障。

在演习领导小组的指导下,该央企以“补短板、固底板、全面消除网络安全风险隐患”为原则,制定了可落地的实战攻防演习实施方案,拟定了40多项详细的工作任务和工作计划,全力推动网络安全风险排查和整改,不断完善可防可控的网络安全防御体系,提升网络安全的事件监控能力、事件应急处置能力、事件溯源分析反查能力。

为了保障演习的顺利进行,消除潜在隐患,还组织了多轮的网络安全意识培训。主要针对领导层、IT专业人员、一般企业员工、供应商和安保等人员,进行了线上培训、线下考试、模拟邮件钓鱼以及实时通报等方式,切实提升了全员的网络安全意识。

同时,该央企与外部安全顾问(奇安信及其外部团队)专家成立网络安全专家团队,对集团整体网络安全防护体系进行评估,通过专项检查和分析发现短板,并针对性部署欠缺的监测和防护设备,进一步提升集团网络安全防御能力。

互联网边界:异构防火墙、入侵检测系统、应用防火墙、外网蜜罐;

内网边界:全流量威胁感知系统、IP自动封禁系统、态势感知系统、内网蜜罐;

主机安全:主机加固系统、终端防护系统、邮件威胁检测系统;

管理工具:自研智慧安全态势感知综合平台、智慧安全协同平台、网络智能运维平台;

在集团数据中心范围内持续开展了为期3个月的网络安全检查评估及整改工作,具体包括三个方面:一是组织集团数据中心和各分支机构开展网络安全自评和整改;二是集团数据中心安全团队针对重点区域、重点领域组织网络安全检查及技术评估、模拟攻击及修补漏洞;三是外聘第三方专业安全服务商实施模拟攻击测试,查漏补缺。同时,集团还加大人员投入,针对重点领域开展了重要系统专项加固,包括开展渗透测试、消除弱口令以及补丁和漏洞检查等工作。另外,针对可能被攻击队利用的节点开展WiFi及内网准入验证、各网络及系统基线检查、分支机构自建互联网专项渗透检查、钓鱼检测等检查工作。

演习正式开始前,该央企组织了全集团内部的网络安全攻防预演习,聘请了专业第三方安全厂商对集团总部及下属各单位进行模拟攻击测试。通过本次预演习,发现了集团仍然存在人员安全意识不足、互联网资产不清、系统应用漏洞、策略配置以及弱口令等相关问题。另外也检验出集团防守团队在监控、分析及处理能力上的不足,并总结优化了防守作战指挥流程。通过预演后一系列的整改工作,集团进一步梳理了关键互联网资产信息,清理了部分历史问题,整改了大量安全漏洞,加强了防守人员的监测及处置能力,提升了集团整体的实战能力。

集团化作战,协同联动是关键

正式参与到实战攻防演习中后,集团指挥部下设了监测告警组、研判分析组、事件处置组、溯源分析组、后续跟进组和演习保障组,明确演习期间各组角色职责内容,落实所有参演人员7*24小时现场职守排班,严格要求每位成员熟记自身职责,做好有关安全设备类监测、事件研判、应急处置、可疑事件溯源反制和安全整改的跟进工作。

集团演习指挥部统一指挥,以各专业组的安全能力为基础,结合各类安全设备的安全功能,构建和完善总体防守流程,形成了以威胁监测、研判分析、事件处置、溯源分析和后续跟进为闭环的防守工作流程,打造了由“人,技术,流程,工具”构建的防守阵线及防守体系。

当攻击者以不同形式对集团资产进行攻击时,集团防守方发现攻击行为后,可快速定位受威胁资产及资产失陷情况,并通过研判专家快速研判事件、下达处置建议,协同处置组技术人员完成安全事件处置。针对攻击成功事件进行深度分析,溯源定位攻击者及其身份信息,从而形成完整的安全事件监测、研判、处置及溯源机制。

网络安全实战攻防演习的第一道防线就是监测预警,集团通过将入侵检测系统、应用防火墙、外网蜜罐、IP自动封禁系统、全流量威胁感知系统、态势感知系统、内网蜜罐、主机加固系统、终端防护系统、邮件威胁检测系统等安全设备的日志使用智慧安全态势感知综合平台进行集中收集和智能关联分析,结合人工监测告警,通过提炼的监控模型联动防护设备开启策略,实现自动拦截外部80%的攻击。同时,配备专人专岗对可疑告警和响应特征进行深入精准研判,提升处置效率。

集团自研了智慧安全协同平台,通过“事件全生命周期”的管理模式,发挥指挥有度、协同高效的优势,把分散在各个工作小组的详细情况贯穿整合在一起,将所有事件的级别、攻击类型、处置时间、流转节点、处置信息统一展现,指挥部可灵活统筹和安排资源,及时通过移动互联的方式与各分支机构联动处置和分析事件,使得指挥部管理者在面对海量告警和事件时,能够做到心中有数、手中有招,提升事件处置和过程跟进的效率。

由多个团队组成了事件处置组,构建了一个合理的应急处置体系。为实现高效处置,首先要建立一个快速的反应机制,而不是倾巢而动,杂乱无序,针对不同类型的安全事件,有不同的专项应急预案快速对安全事件进行匹配,如:扫描攻击类需要3分钟完成封堵,病毒事件类需2分钟内定位对应服务器,5分钟内定位病毒文件,1分钟内完成删除等等。简单而言,从细处着手,减少应急反应时间,做到快速有序处置得当。

由集团安全专家和第三方安全专家组建的溯源分析组,通过攻击者触发“蜜罐“或攻击成功的相关信息,根据攻击目标及一系列关联关系进行溯源,获得攻击链,实现当攻击事件发生时对数据进行多维度威胁检测及溯源,还原攻击过程,最终形成攻击链条视图。溯源分析组依靠上述方法,在实战中可获取攻击者真实攻击IP和身份信息,甚至反制攻击者。

实战攻防演习期间,集团指挥部每晚都会组织各分支机构召开例会,对当日的网络安全态势进行总结和复盘。主要根据当天实际的攻击和处置情况,对攻击行为进行分析和总结,及时调整监控处置策略,对后续的攻击态势进行初步预测。

复盘总结,发现问题与不足

此次大型实战攻防演习任务结束后,集团进行了深入的复盘,总结经验、分析问题。目前集团网络安全保障技术体系基本满足安全需求,但随着业务网与互联网的融合工作开展,目前已有的安全体系不足以应对来自互联网的复杂网络威胁。集团在网络安全、终端安全、应用安全、数据安全、云平台安全等方面,存在一定程度的安全分析能力不足和监控覆盖盲区问题。

集团各分支机构与集团网络互联可达,且互联出入口也较多,网络架构错综复杂。在隔离边界上缺乏足够的安全措施保障重要业务系统的安全,各网络域划分、管控措施、网络边界防护措施有待加强。集团需加强业务和数据重要性的安全域细化管理,有效应对来自分支机构和互联网的攻击以及越权访问等风险,集团内部的办公人员也需加强访问控制及相关管理。

同时,集团发现分支机构的IT资产管理工作尚未完全落实到位,无法快速定位资产信息和相关负责人,尤其是边缘资产信息的准确性和及时性有待提升。

总结

通过此次实战攻防演习,进一步检验了集团的网络安全防护能力、监测告警能力、应急处置能力,发现可能在网络安全防护、监测和处置措施中存在的短板,积累了有效应对网络安全攻击和威胁的经验,促进了网络安全积极防御、协同处置的体系建设,推进了网络安全队伍建设,提升了网络安全的实战保障能力。

声明:本文来自奇安信安全服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。