360政企安全实战攻防演练解读
“讲一百遍不如打一遍”,随着数字时代网络威胁的加深,开展针对关键信息基础设施的实战攻防演习成为推进国家、城市、行业、产业安全防护工作的必要之举。不久前,由中国信息协会信息安全专业委员会指导,360政企安全集团主办的网络安全演习行动落下帷幕,360政企安全集团在真实网络环境下展开了一场真刀实枪的攻防演习战斗。深入挖掘信息系统可能存在的安全风险,全面检验企业网络安全防御体系的有效性、企业安全人员应急响应、处置流程及协作能力,增强企业人员网络安全意识,完善网络安全保障体系。
为了将组织演习的经验、方法推广给更多行业,以此自检系统安全问题以及搭建人才培养路径,打造网络安全综合防御水平的“试金石”。ISC平台牵头组织了一场“360政企安全实战攻防演练”解读会。解读会由北向智库创始人潘柱廷主持,中国信息安全研究院副院长左晓栋、360政企安全集团攻防产品事业部总经理张锦章、360高级攻防实验室总经理洪宇、360集团信息安全部负责人张睿参与,围绕本次实战化网络对抗演习进行解析和探讨。
当前我国开展网络安全实战攻防演练现状?
网络安全实战攻防演练是在可控范围内,以检验攻击方攻击能力及防守方发现、应急、处置、取证、溯源等一系列防护能力为目标,开展的国家级和行业级真实演习行动。
近年国家高度关注网络安全攻防演练。去年,国家市场监督管理总局和国家标准化管理委员会发布并正式实施了《GB/T 38645-2020 信息安全技术 网络安全事件应急演练指南》的国家标准。中国信息安全研究院副院长左晓栋谈到,这一标准的发布,标志着我国在应急演练活动的组织标准化和规范化方面的进步。近两年主管部门、单位积极组织开展面向真实环境的攻防演练,很大程度上提升了我国网络安全防护能力。
当前,我国的攻防演练有三个明显特点:
一是以真实业务为目标,“背靠背”的真打真防;
二是不限制攻击路径、攻击手法,以提权、控制业务、获取数据为最终目的;
三是越来越多自动化、规范化的攻防演练平台参与其中。
对于攻防演练未来发展趋势,左晓栋认为,围绕2016年“419网信工作座谈会“上,总书记要求的“认清家底,认清风险,找出漏洞,通报结果,督促整改”目标,实网攻防演练将越来越贴近真实场景,如果风险防范做得好,将在完全真实的场景开展。
如何组织一场高效的网络安全实战攻防演练?
自我国开展实网攻防演习以来,360政企安全集团连续支持数百场演练,积累了丰富的实战经验。此次以组织平台方身份,开展“己之矛攻己之盾”,最终目的一方面是检验360的网络安全攻防能力,另一方面是培养众人安全意识,真正发现内部问题、整改问题。
作为此次攻防演习的副总指挥,360政企安全集团攻防产品事业部总经理张锦章谈到,此次演习完全参考国家举办大型演习的标准化流程和平台,以“背靠背”方式,由360顶尖攻击团队与360集团信息安全部、政企安全服务团队、政企产线安全运营团队联合组成的防守团队展开对抗比拼。
整个演习过程是一个完整闭环,既需要做好前期准备工作,如确定场地、环境、接入平台、裁判、专家等,定好资产目标,也要保障实际攻击过程安全可控,演练结束更要进行复盘,进一步整改和提升自身安全能力。
准备阶段
●攻击方视角:
对于攻击方而言,前期明确角色分工至关重要。攻击方总负责人360高级攻防实验室总经理洪宇将攻方角色关系分成相互结合的前场和后场,包括具体实施的攻击手和二线支撑的专家团队两部分。
实施攻击手下属会有具体决策细分。在本次演习中,攻击方组织了四支队伍分别由四名队长带领3-4个小队成员组成。不同小组成员纵深攻击能力不尽相同,有的擅长外部撕口子,有的擅长内网横移,有的擅长漏洞利用,有的擅长目标收割,将在“弱竞争,强合作”的原则下组队配合。同时后端二线支撑的专家团队,会为四支攻击小组提供统一的核心安全能力支撑。
同时,前期攻击预案也十分关键。洪宇表示攻击方将提前研究攻击方式、路径以及攻击单位薄弱点,尽可能把常规动作做全覆盖,也要考虑利用非常规预案达到攻击效果,比如在本次演习中用到的近源、无线电等方式。
●防守方视角:
从防守角度而言,每个人都是潜在攻击面。因此在演习开始前要优先对全员进行信息安全意识培训,对预计作为核心靶标、核心目标的业务和平台方、管理方、运维方进行预演。
此外,要确立本次整体演练的攻击目标。在业务层面,梳理360内部核心业务进行整体加固;在内部防御层面,把所有安全监控手段、防御体系做战前检验和测试;在分工层面,组建了协同联合的防御战队,分成安全监控组,应急处置组,安全分析组三个组,为了更加高效的进行监测和响应,监控组分成了一线监控组和监控研判组。应急处置组会联动360技术中台大团队协同防御,针对复杂的基础架构平台进行快速联动响应。
实战阶段
攻击方视角:利用大规模钓鱼邮件、汽车监听、二维码植入木马、键盘劫持、0day漏洞利用等方式进攻。
防守方视角:以终端管理进行秒级响应、以威胁分析进行精准研判、以攻击欺骗进行纵深检测、以本地安全大脑进行协同防御。
总结阶段
360整体安全防御理念是:绝对安全不被攻破是不存在的,最重要的是威胁检测和处置的响应时间,直接决定延缓攻击队进攻节奏和对抗的有效性,即使突破仍然能够有效止损,并在此基础上不断进行防御体系的提升。
对0day漏洞的防御,由于这一杀器自带攻防信息不对等特质,很难直接针对0day漏洞本身做防御。在攻击者视点看,入侵一定是成链条的,因此防御点位不在0day本身,而在0day利用后的收割过程或后续行为过程做防御,让0day即使进门也拿不到资产和敏感数据,要采用主动防御思路,构建纵深防御思路,提升系统自身免疫能力。
组织网络安全实战攻防演练的意义?
在张锦章看来,组织一场攻防演练对企业自身有四层意义:
其一是挖掘人才、储备人才;
其二是验证企业网络安全防护的健康性;
其三是验证公司人员的应急响应协同能力;
其四是强化主管领导、员工的安全意识。
对外部行业而言,左晓栋认为实战化的攻防演习对于提升网络安全防线极其重要,应该将本次实战攻防演练模式、经验、方法固化并推广更多行业、企业,从根本上帮助国家、城市、企业日后开展实战化、持续化、常态化的实网攻防演练,发现自身网络安全问题,推动自身安全能力不断进化,培养、壮大自身安全人才队伍,最终建立起国家级网络安全协同防御新体系。
本文摘自:ISC互联网安全大会
页:
[1]