随着网络安全上升为国家战略,特别是《网络安全法》的正式颁布实施,网络安全建设正逐步迈向网络安全新时代实战化、系统化、常态化。在此背景下,攻防演练越来越受到各方重视,成为检验安全体系建设水平、促进安全运行能力提升的常备动作。在网络安全攻防演练活动中,保障工作不是一蹴而就的,需要系统规划设计、统筹组织、部署实施。对于攻防演练的维护者,建议分以下五个阶段组织实施:1.启动阶段,成立网络攻防演练保障小组并明确相关职责,制定工作计划、流程和具体方案。梳理分析信息网络架构,评估网络安全能力现状。梳理内外网信息资产。2.在准备阶段,通过资产安全评估和业务风险评估方法,对内外部网络信息资产的风险暴露情况进行综合评估。制定合理可行的安全整治建设方案,配合推进网络安全整治工作。开展内部人员网络安全意识宣传。3、战前阶段,制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练。对人员进行安全意识专项强化培训。4.保障阶段,依托安全保障中心,构建云地一体化联防联控安全保障体系,运用情报协同联动机制,持续有效开展网络攻防演练保障工作,如作为威胁监测、分析判断、应急响应、溯源与对策。5、总结阶段,对攻防演练进行经验总结和回顾,整理总结报告,对演练中发现的问题进行优化改进和闭环处理。一个完整高效的攻防演练流程,通过对启动、准备、准备、保障、总结全过程的精心组织,充分调动内外部资源,达到检验建设成果、培训操作的目的和维护团队,并提高运营能力。下面,绿盟科技将结合历年参加攻防演练的实际经验,总结介绍攻防演练启动、准备、备战、保障、总结五个关键阶段的具体操作建议,从而为企业安全领导开展攻防演练提供参考。1.启动阶段启动阶段主要有三项工作:组建团队、清理物业、规划。1)团队建设启动阶段应建立分工明确的网络安全攻防演练职能团队,确保安全自查工作全面开展,安全防护能力有效发挥验证。因此,必须明确安全团队的组织架构和职责分工。为做好演练工作,建议按以下方式建立安保小组的总体架构:各职能小组分工如下表所示:2)清理家底是指对当前网络结构进行合理分析和优化,盘点内外网资产,理顺资产与业务系统的关系。摸清和理顺自身背景,充分利用自身安全建设成果,为后续风险排查、加固优化打下良好基础。主要包括三个方面:网络架构分析、互联网资产暴露优化、治理、内网资产发现和整理。3)规划规划是指在前期工作的基础上,进一步明确安全应用需求,编制《安全运营保障实施计划》和?,制定网络安全攻防演练目标,构建网络安全攻防演练保障体系全面指导网络安全攻防演练。网络安全攻防演练支撑系统如上图所示。该系统涵盖五个阶段的攻防演练。每个阶段都要建立三位一体的保障体系,包括管理保障、技术保障和人才保障。管理保障就是从管理层面打通各个环节,梳理组织架构和各项保障流程。技术支撑是基于安全基础设施构建纵深防御和零信任机制,对接安全运营平台实现整体运营。人员保障是通过司钻赋能培训,满足人员在监测、研判、处置、报告等各个环节的能力要求。2、准备阶段网络安全攻防对抗不仅考验双方在对抗过程中的能力和技巧,更考验双方的战前准备是否周密、完整。在准备阶段,我们可以发现网络和业务系统的漏洞,评估我们面临的安全风险,并从技术和管理两方面加强,实现安全策略的整体优化。1)综合资产评估对信息资产安全进行综合评估,主要包括七种评估方法:漏洞扫描、配置验证、弱口令检查、渗透测试、入侵痕迹检查、敏感信息检查、安全机制验证。2)业务缺陷识别在业务层面,需要对业务系统进行分类。针对重要业务系统,特别是攻防演练确定的目标系统和重要业务系统,对系统关键流程(如登录、认证、查询、申请、审批、交易等)绘制相应的时序图,分析潜在的安全风险,如针对业务流程和数据传输中可能遇到的攻击和敏感信息泄露,输出相应的风险处置措施,降低风险,保障系统安全。在此基础上,还应对身份认证系统、VPN、域控系统、网管系统等集中式系统,以及防火墙、入侵防御系统、Web安全防护系统等安全设备进行风险评估。主机保护系统,以确保其集中管理和控制。安全保护机制能够正常运行,系统本身不存在中高危安全漏洞。此外,还需要来自供应链、相关业务链、第三方人员链等第三方的安全风险,防止攻击者利用第三方进行入侵。3)风险整改推进对于资产安全评估和业务缺陷识别中发现的问题,要制定整改方案,及时修复。主要包括三个方面:对历史发现的风险进行闭环回顾、对自查发现的风险进行跟踪检查、对各类设备风险进行跟踪处置。4)弥补防护能力差距面对实战攻防演练,需要构建集预警、防护、检测、响应于一体的自适应联动响应体系。参与攻防演练的防御者,可以按照下图所示的网络安全最佳实践技术体系,查漏补缺,补齐短板,提升整体安全防护能力。5)整体策略优化构建整体防线后,下一步是提高攻击检测和防护效率,优化整体策略,主要包括三个优化动作。一是优化日志分析,通过事件分析、时间分析、流量包样本分析等方法,抓取大量日志中的关键信息,区分设备关注的重点事件;二是处理设备误报,及时与业务侧渠道沟通,验证是否可以及时修改业务代码逻辑,解决业务误堵问题。三是优化平台和设备策略,根据日志分析和误报处理的结果,对网络设备策略、安全设备策略、主机策略等进行进一步的调整和优化。6)意识能力培训在安全意识培训方面,需要在三大方向下功夫。一是加强安全意识宣传;二是加强内部安全意识培训;三是对第三方开发者和服务商开展安全意识宣传,同时签订安全保密协议和责任明确,增强安全敏感度。花费。在安全能力训练方面,首先要进行威胁分析能力训练,通过告警分析识别常见的攻击行为和结果,包括利用漏洞执行恶意代码、人工尝试弱口令、服务器被攻破、恶意程序等被处决等。其次,要培养应急处置能力。通过检查服务器上的木马程序、分析攻击者的入侵路径、登录服务器操作验证事件的准确性等方式,对事中事后的安全事件进行取证分析和及时处置。实现了。3、战前阶段战前阶段也称演练阶段,即通过实战攻防演练,验证网络安全体系建设成果,帮助企业建立常态化防御机制。攻防演练请牢记这四个“秘诀”。Tips1安全应急演练为提高应对网络信息安全攻击和应对突发安全事件的能力,有效保护防御方的网络安全,需要根据当前网络安全状况和安全状况做好覆盖准备威胁。针对各类突发事件场景制定重大安全应急预案,组织开展网络安全专项应急演练,检验网络安全应急体系和工作机制运行情况,及时发现问题,完善应急预案,提高应急处置能力。Tip2钓鱼攻击演练为了模拟防御者在攻防演练中可能面临的真实攻击,验证日常安全意识培训的效果,在实战前进行一次钓鱼攻击演练是个不错的主意。通过相应渠道向防御者员工发送钓鱼测试邮件,衡量员工安全意识的整体状况。在企业邮件办公环境中,还原钓鱼邮件的真实场景,让员工切实感受到邮件钓鱼的威胁,激发员工对邮件办公的警惕性,弥补员工安全意识的不足。Tip3内部红蓝对抗演练在保证业务正常运行的前提下,建议双方攻防演练在真实网络环境下进行红蓝对抗演练,及时发现真正的隐患对网络资产进行安全威胁监测发现能力、应急处置能力、安全防护能力的检查,通过演练成果进一步提升保障能力。Tip4实战演练前,特别加强安全意识。在攻防演练正式开始前,攻防演练保障项目组需要开展战前宣传,将前期安全意识培训和钓鱼攻击演练中发现的问题同步进行,重点关注IT技术人员和那些在演习中成功被网络钓鱼的人强调了攻击团队使用的常见社会工作方法和防御方法。通过实战案例的介绍,防御者对攻防演练中的社工攻击有了更直观的认识,力求将人员安全隐患降到最低。4.在保障阶段,企业应建立以智能驱动、协同研判分析、溯源与对策、应急响应、产品支撑等为核心的安全防护能力,实现“一网打尽”的联防联控机制。“点发现、全面风险闭环”,构建云上一体的本地安全保障体系,持续有效开展网络攻防演练保障工作。绿盟科技安全中心支持本地全流程安全监控:包括外网资产(主机资产和网站安全)的监控,以及安全情报、安全设备、安全行为的监控,并整理汇总日常监控记录.云端安全监控:为网站提供完整性检测和可用性检测。完整性检测可识别受保护站点页面是否被恶意篡改、是否挂有恶意木马、是否嵌入敏感内容等信息;可用性检测可以帮助防御者了解此时站点的连接和延迟状态。威胁分析研判:多渠道收集安全通报,线下结合线上,现场结合中台,情报结合猎捕,叠加多层次网络安全专家研判体系,实现安全风险预警通报,安全事件紧急通知,可疑安全行为通知快速研判。应急处置:应急预置流程全面高效启动,应急小组有序、分级分类处置安全事件,有节奏地完成攻击阻断、证据备份、故障恢复、总结评估等工作。多区域实时分布,技术策略实时滚动升级。威胁猎捕与溯源:集成安全威胁检测设备、安全威胁分析平台、安全专家服务,集成平台监控分析研判和中期应急响应能力,多种技术手段追踪攻击者特征,遏制攻击的扩散。锁定攻击源头,设计针对性反制措施,多重设陷阱,以点带面形成团队威慑。高质量事件上报:融合中台实时情报,不断加强前线作战研判水平和质量,实现按角色、职能、事件级别的攻击取证、分析、判断过程记录,全面控制报告质量和报告效率。系统分析得分点,确保防守组达到有效的防守效果。5、总结阶段实战场景下的网络攻防演练目的是发现企业当前防护体系中的不足,寻找解决方案。因此,演练结束后,要及时进行回顾总结,全面提高。在总结阶段,需要完成三项工作:回顾总结、报告输出和安全规划。1)安全事件汇总分析攻防演练和防御完成后,攻防演练项目组将对演练过程中的数据进行汇总,并从攻击事件、风险等级、攻击路径四个维度进行分析,和漏洞利用。缺陷问题输出闭环攻防演练保障项目组梳理本次保障前期未决事件和中期发生的安全事件,根据安全风险等级设置处理优先级问题从高到低,绘制并输出安全事件跟踪表,内容包括但不限于:问题分类、影响范围、问题描述、发现时间、处置完成时间、主要跟进人员、问题进展、是否闭环,事件优先级等。保障经验总结攻防演练阶段结束后,召开攻防演练总结会,梳理攻防演练整体数据并上报,分析缺陷,提出整改建议,总结经验,编制网络安全监测与应急保障工作指导手册。2)报告输出保障结束后,组织攻防演练保障参训人员进行总结分析,总结会后输出攻防演练总结报告,提交攻防演练保护小组和总指挥进行初审和终审。3)安全规划根据本次攻防演练发现的问题,结合当前安全运行现状,有针对性地设计一体化安全运行方案,这是需要改进的方向。网络安全攻防演练既是检验网络安全建设成果的试金石,也是指导下一步建设的指路明灯。企业要通过攻防演练,以体系建设为引领,打造“全场景、可信、实用”的安全运营能力,实现“全面防护、智能分析、自动响应”的防护效果,构建网络安全体系,提高网络安全防护能力。
