淺述如何做好網(wǎng)絡(luò)攻防演練應(yīng)對措施

張劍峰

(廣東順暢科技有限公司,廣東江門 529000)

0 引言

網(wǎng)絡(luò)攻防實戰(zhàn)演練是以實際運行的信息系統(tǒng)作為演練標(biāo)靶,通過不限制攻擊路徑、攻擊時間、攻擊目標(biāo),以提權(quán)、控制業(yè)務(wù)、獲取數(shù)據(jù)為演習(xí)目的的方式開展攻、防對抗,最大限度地模擬真實的網(wǎng)絡(luò)攻擊,進一步驗證企業(yè)內(nèi)部整體信息系統(tǒng)的可靠性和運維保障的穩(wěn)定性,并檢驗其內(nèi)部網(wǎng)絡(luò)空間安全的整體防御能力。本文主要根據(jù)政企、國有等大型企業(yè)內(nèi)部演練,并以下級單位應(yīng)對上級的攻防為課題進行論述,重點以預(yù)防階段、實戰(zhàn)保護、總結(jié)回顧等階段的關(guān)鍵要點進行分析。

1 建立健全組織架構(gòu),明確職責(zé)分工

網(wǎng)絡(luò)攻防演練的有效開展,需具備健全的組織架構(gòu),并明確具體機構(gòu)、人員職責(zé)分工,強化各業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全防御與態(tài)勢感知,確保網(wǎng)邊界不失守、標(biāo)靶系統(tǒng)不被控、敏感數(shù)據(jù)不泄露、業(yè)務(wù)系統(tǒng)不失控。同時,通過完善的組織架構(gòu)及利用攻防演練期間的過程監(jiān)控,全面發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患并實現(xiàn)整改,擬提升企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護及應(yīng)急處理能力。組織架構(gòu)的建立應(yīng)在攻防演練開展前完成,并以演練領(lǐng)導(dǎo)小組或指揮中心為核心,分別設(shè)置現(xiàn)場指揮中心、專業(yè)工作組、專家監(jiān)控組等如圖1所示。其中專業(yè)工作組包括:攻擊專業(yè)組、防守專業(yè)組。

圖1 組織架構(gòu)圖Fig.1 Organization chart

2 預(yù)防階段有效覆蓋,加強縱深防御能力

2.1 摸清網(wǎng)絡(luò)資產(chǎn)底數(shù)、收斂標(biāo)靶系統(tǒng)攻擊面

通過對IT設(shè)備資產(chǎn)進行梳理,摸清網(wǎng)絡(luò)資產(chǎn)底數(shù)、完善信息資產(chǎn)臺賬統(tǒng)計。通過自動化掃描工具,識別無主、不明IP設(shè)備資產(chǎn),理清相關(guān)已停止補丁更新服務(wù)的老舊設(shè)備及應(yīng)用系統(tǒng),做到按需上線或直接停止服務(wù)。同時,摸清暴露于互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)、APP,完善互聯(lián)網(wǎng)應(yīng)用系統(tǒng)臺賬信息,識別、停用在線測試、演示類系統(tǒng)。統(tǒng)計、梳理清查各類邊界、基礎(chǔ)平臺等設(shè)備已有策略列表清單,確保網(wǎng)絡(luò)拓?fù)鋱D與實際應(yīng)用的一致性,核查已上線的相關(guān)防護策略與文檔列表清單記錄的一致性,參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》[1],清理無效或者過于寬泛的策略,并按企業(yè)系統(tǒng)定級標(biāo)準(zhǔn)進行安全基線整改。

2.2 評估威脅,落實網(wǎng)絡(luò)加固修補措施

識有、評估自有IT設(shè)備面臨的風(fēng)險威脅,通過漏洞掃描、安全策略及安全基線測試、攻擊滲透、現(xiàn)場檢查、專項討論等方式開展風(fēng)險自查,分析及指出有關(guān)網(wǎng)絡(luò)的安全漏洞及各應(yīng)用系統(tǒng)的薄弱環(huán)節(jié),制定詳細(xì)的自檢報告及問題清單,針對查找發(fā)現(xiàn)的網(wǎng)絡(luò)安全隱患制定相應(yīng)的修補策略和反措措施。同時,檢驗網(wǎng)絡(luò)安全防御措施、運行監(jiān)測、事件處理等管理機制,完善防御能力。針對所識別的網(wǎng)絡(luò)安全風(fēng)險威脅,結(jié)合所識別的自檢報告及問題清單,對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)、內(nèi)部應(yīng)用系統(tǒng)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)安全設(shè)備以及終端設(shè)備等進行安全加固及策略防護優(yōu)化,必要時通過增加部署專業(yè)的安全防護設(shè)備,加強對互聯(lián)網(wǎng)出口、關(guān)鍵應(yīng)用系統(tǒng)及其主機、數(shù)據(jù)庫進行重點監(jiān)測。同時,監(jiān)測、清理互聯(lián)網(wǎng)所存在的敏感數(shù)據(jù)源。其中,重點關(guān)注防護措施應(yīng)包括但不限于如下:

(1)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控及防護方面?；ヂ?lián)網(wǎng)應(yīng)用系統(tǒng)應(yīng)落實網(wǎng)頁防篡改、應(yīng)用防火墻、智能動態(tài)監(jiān)控等防護措施,并在出口邊界部署審計及流量分析系統(tǒng)、防御系統(tǒng)等安全防護設(shè)備。同時,針對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)開展源代碼審查及滲透測試,對發(fā)現(xiàn)的高中危漏洞及時進行修復(fù)。(2)服務(wù)器、主機設(shè)備安全防護方面。服務(wù)器、主機設(shè)備應(yīng)參照安全基線要求,須全面做好主機內(nèi)核加固、病毒防護、補丁更新等。同時,分析其已有安全基線庫是否滿足《信息安全技術(shù)絡(luò)安全等級保護實施指南》要求[2]。運維審計系統(tǒng)、網(wǎng)管平臺、應(yīng)用系統(tǒng)等集權(quán)類管理平臺應(yīng)加強防護,以最小化權(quán)限對權(quán)限賬號進行管理。(3)數(shù)據(jù)庫、中間件安全防護方面。排查、梳理數(shù)據(jù)庫及中間件相關(guān)賬號權(quán)限,以最小化權(quán)限的管理原則開通訪問、維護賬號,對于測試類賬號需及時整理、清除。同時,部署及完善數(shù)據(jù)庫審計、數(shù)據(jù)庫防護等系統(tǒng),并優(yōu)化相關(guān)安全防護策略,對數(shù)據(jù)庫操作進行實時過濾、監(jiān)控和審計。(4)網(wǎng)絡(luò)安全設(shè)備安防防護方面。梳理已有安全策略,測試、核實策略的可用性,進一步優(yōu)化、完善相關(guān)安全策略及設(shè)備的部署架構(gòu)。同時,參照安全級別重要性及業(yè)務(wù)特性對網(wǎng)絡(luò)架構(gòu)實行區(qū)域化管理,完善、優(yōu)化網(wǎng)絡(luò)各區(qū)域、各應(yīng)用系統(tǒng)的安全防控措施,確保所在區(qū)域擁有獨立的安全防護設(shè)備,并已采取隔離控制手段和訪問控制策略。

2.3 強化防御,做好重點防護策略

結(jié)合網(wǎng)絡(luò)安全風(fēng)險庫要求,雖已完成各設(shè)備的安全加固,但為進一步強化防御功能,應(yīng)對網(wǎng)絡(luò)區(qū)域等級劃分、網(wǎng)絡(luò)準(zhǔn)入控制、攻擊鏈防護、基礎(chǔ)平臺加固等已有的安全策略進行分析、研討,完善、優(yōu)化監(jiān)測、防護、審計等安全設(shè)備的部署,切實降低、收縮網(wǎng)絡(luò)風(fēng)險點及攻擊面。同時,網(wǎng)絡(luò)攻防實戰(zhàn)演練期間,應(yīng)前提制定特殊的運行計劃及加強區(qū)域中心安全防護,各專業(yè)小組應(yīng)結(jié)合已梳理的信息資產(chǎn),分析各系統(tǒng)及各設(shè)備的風(fēng)險評估結(jié)果、系統(tǒng)安全防護能力,確保實戰(zhàn)演練前及演練期間按照“缺陷問題早解決”“專項整改不安排”“事件處理強審批”等原則制定特殊的運行維護計劃。

2.4 提高意識,加強網(wǎng)絡(luò)安全培訓(xùn)

(1)專業(yè)技術(shù)人員方面。加強服務(wù)器主機、數(shù)據(jù)庫及中間件、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)及安全防護、終端桌面等專業(yè)技術(shù)人員的網(wǎng)絡(luò)安全防護意識、事件處理機制流程、技術(shù)技能等培訓(xùn),進一步提高技術(shù)人員處置能力以及突發(fā)事件的應(yīng)變能力。同時通過專業(yè)培訓(xùn),查漏補缺,識別自有技術(shù)團隊的短板,并對其加強培訓(xùn)或補充。(2)安保及業(yè)務(wù)開放場所方面。業(yè)務(wù)開放場所方面,如營業(yè)廳、自助終端、公共交易服務(wù)廳等場所應(yīng)同步加強安保人員網(wǎng)絡(luò)安全防范意識培訓(xùn),清楚并熟悉“社工”防范攻擊的方式及產(chǎn)生的效果。另外,提供對外服務(wù)的終端設(shè)備及場所,應(yīng)全面做好隱患排查,識別不明IP地址,并對已有的網(wǎng)絡(luò)接口、應(yīng)用系統(tǒng)執(zhí)行更嚴(yán)格的網(wǎng)絡(luò)準(zhǔn)入控制,動態(tài)監(jiān)控異常數(shù)據(jù)的接入。

2.5 開展模擬預(yù)演,實現(xiàn)大練兵

攻防演練前應(yīng)制定內(nèi)部模擬演練方案,組建攻擊及防守專業(yè)組開展內(nèi)部模擬演練,進一步檢驗事件應(yīng)急處理機制及信息報送流程、設(shè)備運行的可靠性、監(jiān)控預(yù)警等整體防御能力的有效性。通過模擬演練,及時發(fā)現(xiàn)問題缺陷并形成問題報告及問題清單,采取有效的反措措施。同時,按照模擬演練方案開展網(wǎng)絡(luò)安全監(jiān)控值守,提前熟悉流程、加強安全監(jiān)控。特別針對于測試環(huán)境、測試應(yīng)用等系統(tǒng),應(yīng)加強對其攻擊,尋找漏洞及缺陷所在。其次,以演練結(jié)果為目的,檢測日常系統(tǒng)維護過程中其標(biāo)準(zhǔn)、制度的執(zhí)行情況,分析網(wǎng)絡(luò)安全風(fēng)險隱患。

3 實戰(zhàn)防護,著力開展安全態(tài)勢監(jiān)控

3.1 全面實現(xiàn)安全態(tài)勢監(jiān)控,做好防守聯(lián)動

全面迎戰(zhàn)階段,應(yīng)在演練領(lǐng)導(dǎo)小組或指揮中心引領(lǐng)下,結(jié)合模擬演練的值守機制建立不間斷的值班制度,根據(jù)專業(yè)技術(shù)類別劃分組建技術(shù)小組團隊,明確具體值班要求及職責(zé)。同時,制定每日動態(tài)巡檢監(jiān)控內(nèi)容及信息報送流程。其次,設(shè)定專職人員動態(tài)跟蹤系統(tǒng)補丁、安全設(shè)備特征庫、防病毒系統(tǒng)病毒庫的動態(tài)更新,并按需開展漏洞修補。

3.2 加強防守,實時開展安全數(shù)據(jù)分析

實戰(zhàn)期間,在建立值守團隊做好網(wǎng)絡(luò)安全監(jiān)控動態(tài)值守之余,應(yīng)同步加強對所監(jiān)控異常數(shù)據(jù)的分析。主要措施可通過在原有的值守團隊上,組建涵蓋各專業(yè)核心技術(shù)骨干、設(shè)備廠家等核心骨干技術(shù)組,針對攻擊誘捕、流量監(jiān)測分析等相關(guān)安全防護設(shè)備所收集的信息,通過安全分析工具對其攻擊行為及相關(guān)數(shù)據(jù)開展聯(lián)動分析,針對一些潛在、正在或已成功攻擊的相關(guān)數(shù)據(jù)進行追蹤、分析,實現(xiàn)對各類攻擊源、攻擊模式、攻擊路徑、攻擊結(jié)果等進行溯源。

3.3 做好應(yīng)急保障,實時應(yīng)對突發(fā)事件

攻防演習(xí)期間,如相關(guān)信息系統(tǒng)被攻破,并由此發(fā)生系統(tǒng)宕機、業(yè)務(wù)中斷等緊急事件,監(jiān)控現(xiàn)場應(yīng)立即要啟動應(yīng)急預(yù)案,上報至現(xiàn)場指揮中心及上級單位。同時,各專業(yè)小組需充分應(yīng)用協(xié)同工作機制,診斷攻擊點及可修復(fù)方案,按最小影響原則在修補漏洞的基礎(chǔ)上盡快恢復(fù)業(yè)務(wù)。其次,監(jiān)控組針對被攻破的系統(tǒng)及攻擊方式應(yīng)加強其監(jiān)控范圍及監(jiān)控力度。

4 清理戰(zhàn)場,落實問題整改反措

4.1 全面總結(jié),清理遺留風(fēng)險

實戰(zhàn)演練結(jié)束后,各專業(yè)工作小組應(yīng)組織開展演練總結(jié)大會,分析演練過程中其攻擊方法、攻擊路徑、存在的風(fēng)險漏洞以及演練過程中仍需改善的環(huán)節(jié),并形成總結(jié)報告。同時,對于現(xiàn)場所遺留的信息進行清理,如現(xiàn)場指揮中心相關(guān)報表數(shù)據(jù)、風(fēng)險報告等。

4.2 分析漏洞,落實問題整改反措

結(jié)合日常的運行維護,各運維小組應(yīng)按照演練總結(jié)報告深入分析漏洞薄弱點以及可采取的修補措施,通過優(yōu)化策略或增加部署相應(yīng)的安全防護設(shè)備進一步提升企業(yè)內(nèi)部整個網(wǎng)絡(luò)空間的安全防護。同時,通過不斷的安全培訓(xùn),讓各級員工始終保持高度的敏感性,簽訂網(wǎng)絡(luò)安全責(zé)任書,全面完善整個的網(wǎng)絡(luò)安全防御能力。

5 結(jié)語

網(wǎng)絡(luò)攻防演練是最終以通過奪權(quán)、業(yè)務(wù)控制,獲取信息系統(tǒng)控制權(quán)限為目標(biāo),并采取以不明確攻擊源、攻擊鏈、攻擊時間及攻擊方法的模式進行深度滲透攻擊。同時,通過企業(yè)內(nèi)部的自查自糾以及其攻防演練的實戰(zhàn)結(jié)果,有效檢驗了企業(yè)內(nèi)部存在風(fēng)險漏洞,進一步提升了企業(yè)內(nèi)部整體的網(wǎng)絡(luò)安全防御能力。