三、 守护核心:找到关键点
正式防守工作中,根据系统的重要性划分出防守工作重点,找到关键点,集中力量进行防守。根据实战攻防经验,核心关键点一般包括:靶标系统、集权类系统、具有重要数据的业务系统等,在防守前应针对这些重点系统再次进行梳理和整改,梳理的越细越好。必要情况下对这些系统进行单独的评估,充分检验重点核心系统的安全性。同时在正式防守工作,对重点系统的流量、日志进行实时监控和分析。
1) 靶标系统
靶标系统是实战中攻防双方关注的焦点,靶标系统失陷,则意味着防守队的出局。防守队在靶标系统的选择与防护中应更具有针对性。首先靶标系统应经过多次安全测试,自身安全有保障;其次应梳理清与靶标系统有互联的网络,重新进行网络策略梳理,按照最小原则进行访问;最后靶标系统应部署在内部网络中,尽可能避免直接对互联网开放。条件允许的情况下,还可以对靶标系统主机部署安全防护系统,对靶标系统主机进行白名单限制,在防守中,可实时监测靶标系统的安全状态。
2) 集权系统
集权系统一般包括单位自建的云管理平台、核心网络设备、堡垒机、SOC平台、VPN等,它们是攻击队最喜欢打的内部系统,一旦被拿下,则集权系统所控制的主机可同样视为已被拿下,杀伤力巨大。
集权系统是内部防护的重中之重。防守队一般可从以下几个方面做好防护:集权系统的主机安全、集权系统已知漏洞加固或打补丁、集权系统的弱口令、集权系统访问控制、集权系统配置安全以及集权系统安全测试等。
3) 重要业务系统
重要业务系统如果被攻击队攻破,也会作为攻击重要成果的一部分,因此,在防守过程中,也应该被重点防护。针对此类系统除了常规的安全测试、软件、系统打补丁升级及安全基线加固外,还应针对此类系统加强监测,并对其业务数据进行重点防护,可通过部署数据库审计系统、DLP系统加强对数据的安全保护。
四、 协同作战:体系化支撑
面对大规模有组织地攻击时,攻击手段会不断加速变化升级,防守队在现场人员能力无法应对攻击的情况下,还应该借助后端技术资源,相互配合协同作战,建立体系化支撑,才能有效应对防守工作中面临的各种挑战。
1) 产品应急支撑
产品的安全正常运行是防守工作顺利开展的前提。但在实际中不可避免的会出现产品故障、产品漏洞等问题,影响到防守工作。因此防守队需要会同各类产品的原厂商或供应商,建立起产品应急支撑机制,在产品出现故障、安全问题时,能够快速的得到响应和解决。
2) 安全事件应急支撑
安全事件的应急处置,一般会涉及蒸汽机构的多个不同部门人员,防守队在组件安全事件应急团队时,应充分考虑哪些人员纳入到应急支撑团队中。在实战中需要对发生的安全事件应急处置时,如果应急团队因技术能力等原因无法完成对安全事件的处置时,可考虑寻求其他技术支撑单位的帮助,来弥补本单位应急处置能力的不足。
3) 情报支撑
随着攻防演练向现代化,地区化发现,攻击手段的日益丰富,0Day、NDay漏洞、钓鱼、社工、近源攻击的频繁使用以及攻击队信息搜集能力的大大提高,攻击队已发展成为集团军作战模式。
所以,在实战阶段,仅凭一个单位的防守力量可能无法真正的防护住攻击队伍的狂轰滥炸。在各自的防护能力之外,各个单位防守队伍需建立有效的安全情报网,通过民间、同行业、厂商、国家、国际漏洞库收集情报,形成情报甄别,情报利用机制,高效快速抵御攻击队攻击。攻防演练对抗本质就是信息战,谁掌握的情报越多越准确谁就能立于不败之地。
4) 样本数据分析支撑
现场防守人员在监测中发现可疑、异常文件时,可将可疑、异常文件提交至后端样本数据分析团队,根据样本分析结果,判断攻击入侵程度,及时开展应对处置工作。
5) 追踪溯源支撑
当现场防守人员发现攻击队的入侵痕迹后,需对攻击队的行为、目的、身份等开展溯源工作时,可寻求追踪溯源团队的帮助,凭借追踪溯源团队的技术力量,分析出攻击队的攻击行为、攻击目的乃至攻击队的身份。必要情况下,还可以一起对攻击队开展反制工作,最大化扩展防守成果。