演練服務
一、事前準備——查漏補缺,做好戰前準備在攻防演練開始之前,藍隊首先應當充分地了解自身安全防護狀況與存在的不足,找出自身的脆弱點并及時進行加固,為后續工作提供能力支撐。這就是準備階段的主要工作。
在攻防演練中,前期的準備工作包括安全團隊組建、演練流程制定,以及未知資產排查、安全設備0day排查、系統漏洞排查、系統弱口令排查、系統配置缺陷排查、內網集權系統排查、協助安全加固等技術性工作。
二、事中實戰——監控處置,對抗安全攻擊紅藍兩隊在實戰階段展開正面對抗。藍隊需要集中人力、物力,力求達到系統不破,數據不失。在實戰階段,從技術角度看,應重點做好以下三點:
監控全面、持續。在資產細粒度清點的基礎上,從多個路徑持續、全面、透徹地發現潛在風險及安全薄弱點,包括弱密碼、安全補丁、應用風險等,對網絡、主機側的動態進行持續監測,以發現是否有入侵行為。
研判快速、準確。在攻防演練中,分析研判上承攻擊行為的確認、分析及溯源,下接安全人員對攻擊行為的響應處置,是整個防護流程技術含量最高的一步,也是對速度、準確度要求最高的環節之一。
響應及時、有效。確認安全事件后,最重要的是在最短時間內采取技術手段遏制攻擊的影響范圍,并消除攻擊發生的所有要素,確保攻擊者無法進一步攻擊。
三、事后收尾——總結復盤,提升安全能力演練的結束也是防護工作改進的開始。在實戰工作完成后,應對各個階段的工作進行充分、全面的復盤分析,總結經驗、教訓。并針對復盤中暴露出的不足之處,立即著手整改,修復或加固安全漏洞及隱患,完善安全防護措施,優化安全策略,提高安全人員技術能力,最大程度提升整體網絡安全防護水平。
藍隊如何預防和處理攻擊?
對于藍隊來說,想要達到高水平的防護效果,需要從“知己”和“知彼”兩個方面同時著手。既要了解自身的安全脆弱點,也要了解紅隊的思路與打法,這樣才能結合自身實際網絡環境、運營管理情況,制定相應的防御措施和響應機制,以在防守過程中爭取到更大的主動權。
第1步:紅隊演練——發現自身脆弱性紅隊演練是測試企業對網絡攻擊檢測和響應能力的最終方法。它專注于攻擊模擬,通過采用與真實攻擊相同的各種策略、技術和程序 (TTP) 來評估企業在整個攻擊生命周期中每個階段的防護能力。
在攻防演練開始之前,企業可以通過紅隊演練實行攻擊模擬來揭示自身安全防護中的漏洞,發現網絡安全防御中的暴露面及盲點,深入了解自身安全體系的狀態以及安全技術、流程和人員的有效性,并確定需要改進的領域。
第2步:風險收斂加固——修復原有脆弱點風險收斂加固是攻防演練前序階段中藍隊最重要的工作環節之一。企業通過風險收斂加固,聚焦于安全的多維度精細化提升,從而收斂自身攻擊面,滿足自身對于前期內外網資產風險測評、安全意識提升、風險事件精準捕獲、防御范圍最大化等多種類安全需求,全方位鞏固安全防線,增強防御效果。
第3步:安全監控——盡早發現攻擊痕跡網絡安全監控是持續觀察用戶網絡中所發生事情的過程,目的在于監測潛在的網絡威脅和及早發現系統被入侵的風險。在攻防演練中,企業為了盡早發現入侵痕跡,有必要對各個入侵路徑進行“多錨點”的安全監控,在檢測到網絡攻擊時發出報警,并在造成嚴重損害之前幫助用戶做出響應,及時檢測和管理潛在威脅,保護用戶的業務應用程序、數據以及整個網絡。
第4步:攻擊研判——全面了解攻擊詳情網絡安全中的攻擊研判,可以理解為人工層面對攻擊事件進行再分析的行為。藍隊針對安全系統或工具發出的告警,通過結合已有的經驗和相關工具,來判斷其是否為真實存在的攻擊,并根據判斷結果做出響應、給出處置建議。
四位一體,建立高效、全面的
藍隊防護體系
那么,藍隊如何實現全面、高效的安全防護呢?這需要基于Gartner自適應保護模型構建覆蓋預測(P)、防御(P)、檢測(D)、響應(R)四個階段的“四位一體”防御閉環,將“應急響應式”的被動防御轉變為覆蓋“事前+事中+事后”全鏈路的主動防御,以期達到縱深防御的安全效果。
自適應攻擊保護架構四個階段分別要求藍隊具備以下能力:
預測:資產清點、安全評估、威脅建模、安全基線
防御:風險發現、安全加固、安全培訓
檢測:入侵檢測、調查確認
響應:響應處置、策略優化