网络攻防演练前期的准备工作,除了要做好资产梳理、管控安全接入、安全纵深防护,还要调整好心态,以积极的心态面对攻防演练。
6月30日,金融科技公司安全工程师陈昺润在FreeBuf甲方社群第六场内部直播中担任主讲嘉宾,分享网络攻防演练的心态调整。特邀嘉宾斗象科技安全专家张贵卿也在直播中回答了攻防相关问题。
开展攻防演练前要达成共识
攻防演练是以真实业务目标为对象的实战攻防活动,可以集中、快速地发现和暴露网络安全存在问题,检验安全防护水平以及我们在安全实践中应急处置的工作流程。
陈昺润认为,安全是一个相互协同和相互融合的机制,它包括安全管控和攻防对抗,是一个多元的协同体系。
在开展攻防演练之前,安全与业务方、研发运维之间要达成一种共识。第一点,安全是成本与收益的衡量。安全是一个相对的定义,没有绝对安全的系统,因为没有参照就无法定义哪个系统是安全的。
第二点,安全是一个持续的状态,需要与当下的业务安全需求相匹配。演练防守的过程中,如果想要通过临时的加固完成一些突击、实现一些超出期待的目标,是很难实现的,因为功夫都是在平时。
第三点,安全是一个系统化的工程。平时或者攻防演练期间,无法单纯依靠设备或高级的技术专家全部完成。它需要PPT,人、流程、技术。需要人的经验、自动化的平台工具、有效的管理流程和机制。需要各方协同配合作战,才能形成一个有效的安全防护体系。
陈昺润总结,在攻防演练中,防守方应该检验监测预警能力、应急处置流程是否完善,还应从攻击者角度看待安全现状,找出安全运营覆盖盲点;同时理清攻击线路,设置节点进行封堵拦截。同时,双方要保持平和心态,需知没有攻不破的系统,但攻防演练也不是安全能力的唯一体现。
现实的攻防演练中,攻击方更占优势
陈昺润表示,在现实的攻防演练中,攻防双方并不对等,攻击方可能更占优势。他从时间、点位、资源、信息和角色五个角度总结了不对等之处。
第一,时间不对等。攻击可能随时都发生,而防护需要随时监控,需要消耗更多资源。
第二,点位不对等。攻击只需一个点,而防护需要全面。在战略上来说攻击突破只需要一个点,因为攻击目标是清晰的,而防护是未知的。
第三,资源不对等。攻击可能只需要一个漏洞防护,而防守需要一整套的资源体系。
第四,信息不对等。通常危害最广最有效的攻击,是我们在日常管理或防守中没有掌握的信息差。例如一些边缘系统、管理遗漏的僵尸账号。
第五,角色不对等。攻击总是先于检测和响应发生,防护就是在不断缩短攻击发生与响应处置阶段的时间差。
虽然攻防双方有诸多的不平等之处,但攻防演练本身从技术上来讲,是检验预警处置能力的有效手段。陈昺润表示,攻防人员应当调整好心态,甚至将它视作一次免费的红蓝对抗服务。
他建议,在攻防演练之前,如果企业实力允许,可以通过攻防对抗形成一个常态化风险评估机制,或者引入第三方服务商评测。
陈昺润还总结,每年各级组织的攻防演练有以下几个特点。第一,社工方式成为主要攻击手段。第二,弱口令、0Day、历史重要漏洞还有一些密码本的利用比较突出。第三,针对一些边缘系统、子单位或者供应链的系统打击比较有效。
互动问答
在问答环节,有人提问如何能不出局。陈昺润表示,只能提高监测响应效率和应急处置;或者针对攻击方式重点抓人员意识、弱口令等方面,短时间提高员工的安全警惕性。
启动会上要明确团队内部沟通的工具、文档协作方式;新参与人员要了解基本网络状况、限制,特别是应急溯源人员要对应急流程和操作进行沙盘演练。
在攻防演练过程中,如何保护自己、保护团队、保护公司?陈昺润表示,严格分工、规范操作手册和应急处置流程、严格执行,留存事件记录,意外事件上报决策层决断,充分暴露风险。要符合公司的规章制度、事件分级及处置流程要求。
留存各种网络安全检查、自评估、第三方测评、等保及安全服务、应急演练活动的报告材料,对外展示网络安全责任的透明度,在行政处罚抗辩中提供有力材料。
斗象科技安全专家张贵卿也在该环节解答攻防问题。如何防止被溯源红队溯源?他表示,可以通过VMware 搭建一个自己专属的虚拟系统并设计 “快照”,每一个项目结束后都必须恢复快照。同时,在搭建的系统中不能有任何个人敏感信息。购买vps时尽量选择大厂,预留手机号不能是自己常用的,不能和自己微信、钉钉、支付宝、微博所使用的一致。
如何防范和监测0Day利用?他表示,0Day防范一般主要依靠WAF,0Day检测主要依靠全流量检测和HIDS设备并结合Web站点日志综合分析。非演练时间也会存在于大量的0Day扫描和探测,非演练时间可以设置更严格的安全策略,例如C段封堵。
最后,两位嘉宾还和主持人一起抽取了数位互动观众送出精美礼品。
Copyright © 2005-2021 网信安全世界版权所有