目录
防守策略
收缩战线——缩小暴露面
纵深防御——立体防渗透
守护核心——找到关键点
协同作战——体系化支撑
主动防御——全方位检测
应急处突——完备的方案
溯源反制——人才是关键
如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。
了解自身系统在系统,端口,后台及与外部链接的薄弱点。
敏感信息搜集 :可通过对员工进行定期的安全意识培训,及时发现暴露在互联网上的敏感信息,提前采取应对措施,增加攻击队信息搜集难度及成本。
攻击路径梳理 :定期梳理自己的网络边界及每个业务系统的访问路径,尤其内部系统全国联网的单位更应重视此步。
互联网攻击面收敛 :一些维护者为了维护方便,往往会把维护的后台,测试系统和高位端口放到互联网上,攻击队则可通过这些进行攻击。防护时要对这些资产进行梳理整改。
外部接入网络梳理 :在接入下级单位的时候应先接入防护设备,再接入其他单位,并建立实时沟通机制,当其他单位过来的网络行为异常时则可进行协同排查。
隐蔽入口梳理 :由于API接口,VPN,WIFI这些入口往往会被忽略,一旦搞定畅通无阻,所以一定要梳理这些端口,便于重点防守。
收缩战线后,防守队应对自身安全状况进行全面体检,拖延攻击队扩大战果的时间,将损失降到最小。
防守工作中,要找出关键点,集中力量进行防守。
靶标系统是实战双方都比较关心的焦点,标靶系统失陷意味着此方出局。靶标系统虽然经过多次安全测试,自身安全有保障,但仍要避免对互联网直接开放,并限制访问。条件允许的情况下,还要部署安全防护软件,对主机进行进程白名单,以便实时检测系统的安全状况。
集权系统一般包括单位自建的云管理平台,核心网络设备,堡垒机,SOC平台,VPN等,此系统被拿下,该系统控制的主机同样视为被拿下。
重要业务系统被拿下视为重要成果的一部分,在防守中也是重点目标。除了常规的安全测试,防护软件和补丁升级外还要加强监测,对其业务数据进行重点防护。
面对大规模有组织的攻击时,若在场人员无法应对时,还应借助后端技术资源,相互配合,建立体系化支撑。
产品应急支援 安全产品同样会出现漏洞,防守队要会同各类产品的原厂商或供应商,建立产品应急支撑机制,产品出问题的时候能够快速响应,解决。
安全事件应急支援 安全事件一般会涉及多家企业的多个不同部门的人员,若组成的应急队的能力不够时,应考虑寻求其他技术支撑单位的帮助。
情报支撑 由于攻防演练的行业化,攻击队已发展成集团军作战模式。所以一个防护单位的力量可能经不起攻击队的狂轰滥炸,所以防护队伍应当利用一切可以利用的资源收集情报。攻防演练本身就是信息战,谁收集的情报越多越详细,谁就能立于不败之地。
样本数据分析支撑 在监测中发现可疑,异常文件时应立马进行样本分析并判断入侵程度,及时开展处置工作。
追踪溯源支撑 发现入侵痕迹后,应当立即对其行为,目的,身份等开展溯源工作。必要时,还可进行反制。
有效的安全检测体系应当从以下几个方面进行:
应急处突方案要完善各级组织结构,明确各方人员的角色和责任,明确各方设备的能力和作用,制定出可能会攻击成功的场景应急方案,明确突发事件的处理流程。
防守队中一定要有一位经验丰富,思路清晰的溯源人员,能够第一时间进行应急响应,快速查清入侵过程,并及时调整防护策略,防止再次入侵,同时为反制人员提供溯源到的真实IP,进行反制工作。
经验丰富的反渗透人员可通过告警信息,分析攻击IP,攻击手法等内容,对攻击IP进行端口扫描,IP反域名,威胁情报等信息收集类工作,通过收集到的信息进行反渗透。
防守队还可通过诱导攻击队进入诱捕陷进,从而达到反制的目的。
本文参考《奇安信红蓝紫对抗手册》