为了不断强化关键信息基础设施系统的网络安全防护能力,网络安全攻防演练已经成为全球检验网络安全实战能力的常态化方式:
2019年3月美国国防部的“网络闪电2019”网络实战演习;
2019年4月欧盟的“EU ELEx19” 网络实战演习;
2019年6月美欧多国的 “军刀卫士19” 网络实战演习;
……
随着网络安全攻防演练的常态化,用户在构建网络实战防护能力时仍面临许多挑战。结合现有的安全标准规范和行业相关实践,各政企事业单位应如何落地实践呢?
一、攻防对抗趋势下
实战能力成为网络安全建设的重要目标
体系化的安全建设能够保障安全建设的水平、提升建设的“完善程度”、满足全面的建设要求,且针对大多数攻击行为都是有效的。
但目前网络空间态势复杂,0Day、定向攻击、高级可持续性攻击等针对性的攻击手法,已经成为攻防对抗中常用的手段。如何在实际攻防对抗环境中具备实战能力,成为了所有行业和组织单位网络安全建设的重要目标。
二、实战能力构建的现状与挑战
深信服安全专家认为,网络实战能力的构建,离不开体系化的防御能力和常态化的运营能力,从目前大量的实践案例来看,一些组织单位在构建以上安全能力的过程中普遍面临下述挑战:
(1)补丁式建设,难以形成体系化防御能力
受制于业务规模、资源投入等因素,大部分组织的网络安全都是“头痛医头、脚痛医脚”,逐步完善安全建设。这在战术上是合理的,但在战略上由于缺乏初期的“整体规划,分步建设”,导致往往会存在以下问题:
-
安全建设相对零碎,容易形成木桶短板,留给攻击者可乘之机;
-
安全产品各自为战,缺乏信息共享和协同响应,防护效率低下。
(2)阶段性外援,难以提升常态化运营水平
应对攻防演练,最常被组织单位采纳的措施是借助外部专业安全技术人员,在短时间内快速提升网络安全运营能力;然而如今攻击日趋专业化、密集化、随机化,攻防演练与日常所面临的攻击强度差距持续缩小,导致上述模式存在以下问题:
-
短期外援只能应急,演练结束后“人走茶凉”,无法提升常态化运营水平;
-
长期聘请安全人员驻场成本过高,其效果很大程度上依赖于个人能力高低;
-
组织单位自身培养网络安全技术人员的周期长、成本高、见效慢。
三、实战能力构建的破局之道
深信服安全专家建议,组织单位可以通过以下 “三二一”模式打造体系化安全建设,提升网络安全实战防护能力:
▲“三二一”体系化攻防能力
1. “三个重点”,提升安全基线
包含等级保护“一个中心、三重防护”核心思想、PDR模型等在内的安全建设方法论,都提到了以下三个关键点:
-
风险消除:通过收敛对外暴露面、修复高危漏洞、加固弱口令等措施,尽可能降低被攻击者嗅探和入侵的概率;如果条件允许,可主动搜索暴露在Github、网盘、文库等公共平台的内部关键信息并迅速整改;
-
立体保护:基于等级保护“一个中心、三重防护”核心思想,对信息系统所涉及的网络、主机、应用、数据等资产进行全面加固,包括补齐缺失的安全软硬件、优化策略配置、升级安全规则模型等,刷新整体防护效果;
-
监测响应:构建覆盖全网的威胁监测与响应能力,确保在边界被突破后尽早发现威胁并迅速处置,避免损失扩大,即尽量缩小Dt(检测时间)和Rt(响应时间)。目前较为高效的方式是SOAR技术的应用,即安全编排、自动化与响应,通过智能化检测模型还原攻击全貌,并联动各安全产品实现协同处置,大幅缩减检测与响应的时间。
2. “二项加强”,强化关键点防护
经典的安全建设方法论能够在宏观层面上对安全建设提出指导性建议,但在具体实战中,缺乏对于不同资产安全投入主次的指导,往往导致在网络关键点的保护不足,最终被集中火力突破。因此在安全基线之上,应当结合组织的实际业务特点,对关键点进行防护强化:
-
强化关键系统防护。攻击者一旦突破内网会优先选择受害者关键系统作为下一步攻击目标,如认证服务器、集中管理平台、域控服务器等,因此各组织应对关键系统提供额外的安全防护措施。
-
强化关键路径防护。除常规路径外,攻击者还会利用旁路实施攻击渗透,如下属单位与总部之间的内部网络,或获得内部用户的VPN账号等。因此各组织应对关键路径加强防护,如禁止无权限用户访问关键系统、细化下属单位与总部之间的访问控制等。
3. “一个中心”,构建常态化运营
网络安全的本质是对抗,对抗是持续化的过程,需要在提升安全基线、加强关键防护的基础上,建立安全运营中心并主动、持续地开展安全运营工作,并借助SOAR技术帮助人员提升安全运营效率,更好更快地执行信息收集、分析、研判与处置的流程,以确保防御能力的有效性。
相比于自运营模式下人员培养的成本高、周期长、见效慢等问题,联合运营模式更加符合当前组织的实际需求。联合运营指组织单位通过购买安全运营服务,无需对现有IT安全架构进行极大的调整,也无需花费雇佣第三方安全服务人员长期驻场的高昂成本,即可迅速复用安全运营服务商的云SOC以及安全专家团队开展安全运营工作,为业务提供7*24小时的安全保障,同时安全专家的专业能力有足够保障。这种模式建设成本适中,见效快,效果好,比较适合大多数组织单位。联合运营模式最大的优势在于能够以比较低的成本,通过复用安全专家团队,以更具经验的流程确保全天候的安全保障能力。
深信服通过“三二一”的体系化安全建设方案,结合“人机共智”的常态化MSS安全运营服务,帮助用户提升网络安全实战能力,实现“始于演练,精于实战”。
为了帮助各组织单位做好网络安全攻防演练准备工作,4月25日上午,深信服将与中国计算机协会政务信息化分会、中国医院协会信息专业委员会、中国教育信息化杂志社联合举办“网络攻防战术进阶闭门会”线上直播,扫描下方海报的二维码即可报名。