1.6 建立实战化的安全体系
安全的本质是对抗。对抗是攻防双方能力的较量,是一个动态的过程。业务在发展,网络在变化,技术在变化,人员在变化,攻击手段也在不断变化。网络安全没有“一招鲜”的方式,只有在日常工作中不断积累,不断创新,不断适应变化,持续构建自身的安全能力,才能应对随时可能威胁系统的各种攻击。不能临阵磨枪、仓促应对,而应立足根本、打好基础。加强安全建设,构建专业化的安全团队,优化安全运营过程,并针对各种攻击事件进行重点防护,这些才是根本。
防守队不应再以“修修补补,哪里出问题堵哪里”的思维来解决问题,而应未雨绸缪,从管理、技术、运行等方面建立系统化、实战化的安全体系,从而有效应对实战环境下的安全挑战。
1. 完善面向实战的纵深防御体系
实战攻防演练的真实对抗表明,攻防是不对称的。通常情况下,攻击队只需要撕开一个点,就会有所收获,甚至可以通过攻击一个点,拿下一座“城池”。但对于防守队来说,需要考虑的是安全工作的方方面面,仅关注某个或某些防护点已经满足不了防护需求。实战攻防演练中,对攻击队或多或少还有些攻击约束要求,而真实的网络攻击则完全无拘无束,与实战攻防演练相比,更加隐蔽而强大。
要应对真实网络攻击行为,仅仅建立合规型的安全体系是远远不够的。随着云计算、大数据、人工智能等新型技术的广泛应用,信息基础架构层面变得更加复杂,传统的安全思路已越来越难以满足安全保障的要求。必须通过新思路、新技术、新方法,从体系化的规划和建设角度,建立纵深防御体系架构,整体提升面向实战的防护能力。
从应对实战的角度出发,对现有安全架构进行梳理,以安全能力建设为核心思路,面向主要风险重新设计政企机构整体安全架构,通过多种安全能力的组合和结构性设计形成真正的纵深防御体系,并努力将安全工作前移,确保安全与信息化“三同步”(同步规划、同步建设、同步运行),建立起具备实战防护能力、有效应对高级威胁、持续迭代演进提升的安全防御体系。
2. 形成面向过程的动态防御能力
在实战攻防对抗中,攻击队总是延续信息收集、攻击探测、提权、持久化的一个个循环过程。攻击队总是通过不断地探测发现环境漏洞,并尝试绕过现有的防御体系,侵入网络环境。如果防御体系的安全策略长期保持不变,一定会被“意志坚定”的攻击队得手。所以,为了应对攻击队持续变化的攻击行为,防御体系自身需要具有一定适应性的动态检测能力和响应能力。
在攻防对抗实践中,防守队应利用现有安全设备的集成能力和威胁情报能力,通过分析云端威胁情报的数据,让防御体系中的检测设备和防护设备发现更多的攻击行为,并依据设备的安全策略做出动态的响应处置,把攻击队阻挡在边界之外。同时,在设备响应处置方面,也需要多样化的防护能力来识别攻击队的攻击行为和动机,例如封堵IP、拦截具有漏洞的URL访问等策略。
通过建立动态防御体系,不仅可以有效拦截攻击队的攻击行为,还可以迷惑攻击队,让攻击队的探测行为失去方向,让更多的攻击队知难而退,从而在对抗中占得先机。
3. 建设以人为本的主动防御能力
安全的本质是对抗,对抗是人与人的较量。攻防双方都在对抗中不断提升各自的攻防能力。在这个过程中,就需要建立一个技术水平高的安全运营团队。该团队要能够利用现有的防御体系和安全设备,持续检测并分析内部的安全事件告警与异常行为,发现已进入内部的攻击队并对其采取安全措施,压缩其在内部的停留时间。
构建主动防御的基础是可以采集到内部的大量有效数据,包括安全设备的告警、流量信息、账号信息等。为了将对内部网络的影响最小化,采用流量威胁分析的方式,实现全网流量威胁感知,特别是关键的边界流量、内部重要区域的流量。安全运营团队应利用专业的攻防技能,从这些流量威胁告警数据中发现攻击线索,并对已发现的攻击线索进行威胁巡猎、拓展,一步步找到真实的攻击点和受害目标。
主动防御能力主要表现为构建安全运营的闭环,包括以下三方面。
1)在漏洞运营方面,形成持续的评估发现、风险分析、加固处置的闭环,减少内部的受攻击面,使网络环境达到内生安全。
2)在安全事件运营方面,对实战中攻击事件的行为做到“可发现、可分析、可处置”的闭环管理,实现安全事件的全生命周期管理,压缩攻击队在内部的停留时间,降低安全事件的负面影响。
3)在资产运营方面,逐步建立起配置管理库(CMDB),定期开展暴露资产发现工作,并定期更新配置管理库,这样才能使安全运营团队快速定位攻击源和具有漏洞的资产,通过未知资产处置和漏洞加固,减少内外部的受攻击面。
4. 建立基于情报数据的精准防御能力
在实战攻防对抗中,封堵IP是很多防守队的主要响应手段。这种手段相对简单、粗暴,容易造成对业务可用性的影响,主要体现在:
·如果检测设备误报,结果被封堵的IP并非真实的攻击IP,就会影响到互联网用户的业务;
·如果攻击IP自身是一个IDC出口IP,那么封堵该IP就可能造成IDC后端大量用户的业务不可用。
所以,从常态化安全运行角度来看,防守队应当逐步建立基于情报数据的精准防御能力。具体来说,主要包括以下三方面。
1)防守队需要培养精准防御的响应能力,在实战攻防对抗中针对不同的攻击IP、攻击行为采用更细粒度、更精准的防御手段。
结合实战攻防对抗场景,防守队可以利用威胁情报数据共享机制,实现攻击源的精准检测与告警,促进精准防御。减少检测设备误报导致的业务部分中断。此外,让威胁情报数据共享在网络流量监测设备、终端检测与响应系统、主机防护系统等多点安全设备或系统上共同作用,可以形成多样化、细粒度的精准防御。
2)为了最小化攻防活动对业务可用性的影响,需要设计多样化的精准防御手段与措施,既可延缓攻击,又可满足业务连续性需要。
例如,从受害目标系统维度考虑建立精准防御能力,围绕不同的目标系统,采取不同的响应策略。针对非实时业务系统的攻击,可以考虑通过防火墙封禁IP的模式;而针对实时业务系统的攻击,就应考虑在WAF设备上拦截具有漏洞的页面访问请求,从而达到对实时业务系统的影响最小化。
3)为了保证在实战攻防对抗过程中防守方不会大面积失陷,应对于重要主机,例如域控服务器、网管服务器、OA服务器、邮件服务器等,加强主机安全防护,阻止主机层面的恶意代码运行与异常进程操作。
5. 打造高效一体的联防联控机制
在实战攻防对抗中,攻击是一个点,攻击队可以从一个点攻破整座“城池”。所以在防守的各个阶段,不应只是安全部门孤军奋战,而应有更多的资源支持,有更多的部门协同工作,这样才有可能做好全面的防守工作。
例如,一个攻击队正在对某个具有漏洞的应用系统进行渗透攻击,在检测发现层面,需要安全运营团队的监控分析发现问题,然后通知网络部门进行临时封堵攻击IP,同时要让开发部门尽快修复应用系统的漏洞。这样才能在最短时间内让攻击事件的处置形成闭环。
在实战攻防对抗中,防守队一定要建立起联防联控的机制,分工明确,信息通畅。唯有如此,才能打好实战攻防演练的战斗工作。联防联控的关键点如下。
1)安全系统协同。通过安全系统的接口实现系统之间的集成,加强安全系统的联动,实现特定安全攻击事件的自动化处置,提高安全事件的响应处置效率。
2)内部人员协同。内部的安全部门、网络部门、开发部门、业务部门全力配合实战攻防对抗工作组完成每个阶段的工作,并在安全值守阶段全力配合工作组做好安全监控与处置工作。
3)外部人员协同。实战攻防对抗是一个高频的对抗活动,在这期间,需要外部的专业安全厂商配合工作组防守,各个厂商之间应依据产品特点和职能分工落实各自的工作,并做到信息通畅、听从指挥。
4)平台支撑,高效沟通。为了加强内部团队的沟通与协同,在内部通过指挥平台实现各部门、各角色之间的流程化、电子化沟通,提升沟通协同效率,助力联防联控有效运转。
6. 强化行之有效的整体防御能力
2020年实战攻防演练的要求是:如果与报备目标系统同等重要的系统被攻陷,也要参照报备目标系统规则扣分。
这就给大型机构的防守队带来了前所未有的防守压力。原来通行的防守策略是重兵屯在总部(目标系统一般在总部),提升总部的整体防御能力;但随着实战攻防演练规则的演变,总部和分支机构变得同等重要。
从攻击路径来看,分支机构的安全能力一般弱于总部,同时分支机构和总部网络层面是相通的,并且在早期进行安全建设的时候往往会默认对方的网络是可信的;在安全防护层面,总部一般仅仅对来自分支机构的访问请求设置一些比较粗糙的访问控制措施。这些安全隐患都会给攻击队留出机会,使攻击队可以从薄弱点进入,然后横向拓展到总部的目标系统。
因此,防守队只有将总部和分支机构进行统一的安全规划和管理,形成整体防御能力,才能有效开展实战攻防对抗。在整体防御能力上,建议防守队开展如下工作。
1)互联网出入口统一管理。条件允许的情况下,应尽量上收分支机构的互联网出入口。统一管理的好处是集中防御、节约成本、降低风险。同时,在整体上开展互联网侧的各类风险排查,包括互联网未知资产、敏感信息泄露、社工信息的清理等工作。
2)加强分支机构防御能力。如果无法实现分支机构的互联网出入口统一管理,则让分支机构参考总部的安全体系建设完善其自身的防御能力,避免让出入口成为安全中的短板。
3)全面统筹,协同防御。在准备阶段,应让分支机构配合总部开展风险排查;在实战值守阶段,让分支机构与自己一起安全值守,并配置适当的安全监控人员、安全分析处置人员,配合自己做好整体的防御、攻击的应急处置等工作。