网络安全实战演练,作为网络安全建设的重要组成部分,已经在《中华人民共和国网络安全法》和《国家网络安全事件应急预案管理》等法律法规中有所阐述,其重要意义无需赘述。我国网络安全实战演练包括三种主要模式:桌面推演、预案演习和实战演练。这三种模式都各有其必要性和不可替代的作用,尤其是实战演练,以其震撼的直观性,越来越成为社会和媒体关注的焦点。但是,综观现状,我国网络安全实战演练的水平尚处于起步阶段,还有非常长的路要走。

一、网络安全实战演练的现状与问题

通过对多家机构和单位组织的网络安全实战演练的分析,可以看出,目前各种网络安全实战演练已经展示出一定的效果,但是,存的问题也值得思考。

一般来说,一场网络安全实战演练由三个团队完成:裁判方(筹办方或监管机构)、防守方(系统建设者与维护者)、进攻方(渗透测试人员)。

裁判方在选定测试目标上,目前有两个悖论无从解决:一是网络攻击具有一定的安全隐患。由于现在的安全审计手段并不完善,如何验证测试方是否将所有问题如实上报,是一个问题;二是成本和风险控制。没有任何人可以预估攻击会造成的风险,测试方也不能,因此,问题在于,核心系统是否能承受网络安全演习的风险。就算是模拟仿真,昂贵的成本和与真实的差异性能否被演习接受,又是一个问题。在这些问题面前,解决的主要方法还是绕道而行,即内网、关键系统、关键网络不加入演习,这样的做法在无形之中回避了安全的核心。

对于防守方而言,因为网络安全实战演练的结果会对多方产生影响,因此,在演练时出现不惜以损伤业务连续性为代价的应对措施,包括断网断电。本应平常用于安全维护的操作,因要进行实战演练才紧急部署,例如紧急修改口令等。最常见的做法还有直接封锁一切可疑的IP等比较粗暴的方式,造成很多正常访问无法进行。对于运维人员来说,为了演练不出现大问题,则被要求立下军令状。虽说这些做法简单粗暴,但是,确实有效,至于影响业务连续性的问题,先忍忍。

对于测试方而言,必须认清的是,渗透测试绝不是真正意义上的攻击,不能代表真实的攻击能力。此外,由于受限于时间短和对测试目标的了解浅,多数情况下只能进行扫描器通网扫描,查找公开漏洞。此外,在这种同归于尽式的防守下,只能寻找旁路或漏网之鱼的细枝末节问题。

最可怕的是,网络安全实战演练结束后,一切归于原样。须知,网络安全实战演练是为了让参与各方拥有更强的应对能力,发现不足,尽快弥补,不能将网络安全国之大计建于浮躁的空中楼阁,网络安全建设必须要经得起检验。

二、网络安全实战演练的实践调整

网络安全实战演练既然是实战,那么,就需要脚踏实地,来不得半点虚假。无论是裁判方、防守方还是测试方,都有很多实践操作环节可以调整和落地,以达到增进实战促安全的目的。

(一)裁判方

对于裁判方来说,要有敢于暴露问题的勇气和决心,要演练就要演练最核心的部分。裁判方需要做的是要最大程度上的审计和监督,确保整个过程在人员上可信任、过程上可控制和出问题可回溯。

(二)防守方

对于防守方来说,首先要明确“天下没有完全安全的系统”,要正视问题。需要做的是,建设全面的应急处置能力体系,打造应急响应团队,将演练视为常态化事件,这是检验应急能力的一种手段。能力体系以网络安全事件为核心,包括事前、事中、事后三个环节。

1.事前:评估与监控并行,既查缺补漏又掌控态势

从多次应急处置的过程发现,应急对象往往都是在事件发生后才觉察日志没有打开、防护措施没有配备、运维人员不知道怎么用监控等,而这些内容都是应该在平常工作中固化下来的工作制度,因此,需要建立完整而全面的定期安全评估和检查,建设完整的监控体系,对安全设备、网络设备、备份环境、终端、舆情等各方面进行有效监控,确保监控有效性并能够及时响应。这些应该是应急处置体系的重中之重,就像在消防演练中,首先要确保烟雾报警、消防栓、灭火器的有且可用,操作人员首先会正确使用,再去谈及其他。

2. 事中:快速有效处置,最大程度减少损失、保存证据

监测到安全事件发生后,绝不仅仅是断网、断电、找厂家这么简单的操作,应急响应团队需要能力建设和储备丰富的知识,随时做到第一时间响应。

事件定位与分析。网络攻击事件的表现多数是访问不正常、监测设备报警等,能够定位到具体的原因,是第一步首先要做到的。

取证。对攻击事件的痕迹、日志、文件进行取证和保存,包括硬盘留存、文件扫描等取证工作,以备后续分析。这是事件处理最为重要的环节,却是最容易疏漏的地方。

快速修复。对存在的漏洞进行应急性快速修复,防止同等攻击手段再次生效,断去控制路径,清除木马和病毒等。由于是应急性修复,需要待应急响应结束后重新完整测评和整改。更重要的是,要快速形成检测能力,对所有重要系统、关键设施进行排查,确保问题不扩散。

恢复。对攻击事件造成的损害,可以通过损坏的数据、软件、系统进行最大程度的恢复,这是降低损失的关键环节。无论是勒索软件还是网络入侵后的数据删除,恢复概率取决于第一时间的发现和操作,需要预案和反复演练。

应急性监测。事件发生后,说明安全措施有所疏漏,需要临时性的监测解决方案和设备,为该攻击写入相应模式并对进出口流量进行首要监控,可以随时发现攻击行为并及时阻隔。

备份与还原。这是为满足业务连续性而必须具备的能力。是否具有备份能力,应急团队能否有效还原,能否最大程度缩减业务中断时间,是应急演练的另一个核心部分。

3. 事后:事件溯源、跟踪和定位责任,杜绝再次发生类似事件

应急事件处置后,要根据事件的成因,对整个网络环境进行完整的安全评估和检查,确保问题不再发生。据统计,90%以上的攻击都不是使用未公开漏洞,即零日漏洞,而都是针对不及时打补丁或升级的系统而实施的。此外,应急团队能不能根据应急处置中的操作和留存信息,对事件进行追责,将证据的能力、溯源的能力等情况汇总给监管机构,需要大量工作。

(三)测试方

不了解先进的攻击技术,何以有效验证实战?目前,安全测试人员对攻的了解,也包含不同的层次。一般来说,攻的7个层次包括:

1. 发现。是指对已知漏洞的发现能力,互联网已经提供了足够的资料,可以通过搜索引擎下载扫描器、检测工具完成,探测与利用一键搞定。这个层次的人被称为脚本小子,会搜索、会下载即可入门。

2.利用。能够针对已知漏洞写出利用代码,使代码可以被顺利执行,这需要一定深度的编程、调试、操作系统知识、软件知识和网络知识等。这个层次还延伸出两个小层次,即经验和获取。经验是指接触多了测试,对很多场景能够快速直觉判断,同时,配合写成自动化的脚本或工具,大幅度提高效率;获取是指具备的知识跳出了计算机领域,延伸至测试目标的业务流程、数据内容,将安全从业务价值或经济价值的角度上体现出来。

3.挖掘。即挖漏洞,挖未公开漏洞,或称零日漏洞。严格意义上讲,这个层次的能力比较独立也比较特殊,它是软件测试技术的一种延伸,对软件错误(BUG)做精加工,使其具有4种安全能力之一:读,越权读取数据;写,越权修改数据;控,远程执行命令,取得操作权限;停,中断正常业务流程。这个层次的技术能力由于需要通过读取繁杂的机器指令,去逆向读懂软件设计者的业务流程和实现思路,因此,极为损耗时间,且无法预估有效产出。出于成本考虑,在绝大多数的安全测试中并不涉及。

4. 远控。攻击后的长期远程控制,即木马。不要认为从网上下载一个木马就叫远控,那仍属于第一层次的范畴。一个好的木马需要实现免杀、底层机器码编程、固件编程、进程控制(注入)、链路复用、加解密、限制绕过、隐写等繁杂庞大的技术知识,并且随着时间必须不断升级,寻找更新、更隐蔽的植入点。而且,远控技术必须超前一步,因其需对抗所有的安全加固系统。

据thehacknews的统计,真实的攻击约有三成是通过物理接触实施的,而不是互联网,远控不只单是木马这一种体现形式。随着单片机的发展和物联网的发展,物理接触式的入侵使网络攻击边界模糊,极客技术能力也是渗透测试中的一个重要高度。

5.隐藏。一次真正意义上攻击从发生至结束,往往不被觉察,安全防护设备也不能发现;被入侵后还能正常使用,没有日志、没有痕迹、没有异常;就算有被发现,也无法通过一个IP地址追溯回真实身份。溯源和隐藏是一对相辅相成的技术。溯源、取证技术有多深入,隐藏技术就有多深入。

6.资源掌控。主要是通过自身积累,包括漏洞、数据、路由节点、网络资源、人物勾勒等内容,这些决定了渗透可以覆盖到的广度。

7.战略战术。这更像是一种全方位的手段,不仅仅在网络战场,也会有对管理制度缺陷的发现和对人进行社会工程利用、网络钓鱼、“内鬼收买”等多种其他手段相配合,这才是真实的网络安全世界。根据thehacknews和ehackingnews等网站的粗略统计,网络安全攻击事件中一多半以上是利用了人的缺陷,技术并不是主体。

三、结语

网络战争随时随地都在进行,很可能无声无息就已经发生在身边,而我们却毫无察觉。网络安全面前来不得半点虚假,实战演练也是。无论是裁判方、防守方还是测试方,都有很长的路要走。去除浮躁,脚踏实地,才能真正应对考验,真正做到以练备战。

(本文刊登于《中国信息安全》杂志2019年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。