相比较以前,今年的网络攻防演练专项行动比之前,来的更猛烈些。
从2016年的仅公安部、民航局、国家电网三个事业单位的参与到2019年,工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等30多个行业118家单位。而今年是否会扩展到几百家,我们不得而知。
2016年《网络安全法》颁布后,“网络攻防演练专项行动”已成为一年一度的惯例。不仅仅是涉及范围越来越广,网络安全形势的愈发严峻也加大了业内对网络攻防演练专项行动的关注。大数据、物联网、云计算的快速崛起,以及5G的到来,网络威胁已经成为国家安全的新挑战。“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量 ”。在网络空间对抗中如何实现如同军事演习的攻防演练目的,各单位如何做到与攻击方的斗智斗勇,更是今年新形势下网络攻防演练专项行动的又一次看点。
2020网络攻防演练专项行动,从新出发
今年网络攻防演练专项行动在即,相信不少的企业或单位已早早做好准备了,经过演练行动,保障企业通过网络攻防演练专项行动的同时提升企业自身的网络安全防护能力。
企业网络攻防演练专项行动的3个阶段
纵观2019年的网络攻防演练专项行动,得分是一个很重要的规则。由于在攻击过程中,攻击方会采用多种方式进攻来获取分数,在多面的复杂攻击中,应急处理流程,发现威胁,消除威胁,网络侧的安全防护方式等都是企业所要加强的。今年的网络攻防演练专项行动相比较去年又会有哪些相同和不同呢?
今年来看,网络攻防演练专项行动的架构、时间、节奏,行动流程(从攻到防),业务、网络、设备环境大体上变化不大。从攻击方来看,从内部突破概率可能增加;从防守方来看,由于网络攻防演练专项行动范围扩大,可用的安全支撑人员相对减少,这一点从去年的相关报道中就可看到,招聘安全人员的日薪从1.5k-12k,时长为1个月-3个月,真是令人眼红。安全人才的稀缺对防守方来说也是不得不考虑的问题。
以史为鉴,联软总结出几点有效经验和常见误区,供大家做参考:
·高误报率影响分析判断
·端点安全通常为全网架构中的短板
·缺乏全网资产梳理,边缘资产带来高危风险暴露面
·网络权限缺少全生命周期管理
·信息安全团队人力资源不足
·企业大部分企业人员不足
·红方的攻击从信息收集开始,而非网络攻防演练专项行动攻击启动节点开始
·互联网信息中的敏感信息必须关注,避免留下可被攻击的信息(如 VPN账号、邮箱等关键信息)
面对网络攻防演练专项行动的经验、常见误区及可能发生的变化,企业更应该思考以下几点:
❶ 如何实现常态化网络防护,而非战时突击?
❷ 以前重建设,轻规划、轻运营,未来如何平衡各方面的投入?
❸ 往年网络攻防演练专项行动中,面对投入比产出高的情况,如何将高性价比的产品快速落地?
❹ 疫情诞生的远程办公需求,增加了风险暴露面,如何保障安全?
演练开战在即,安全工作如何聚焦,快速落地?
不知攻,焉知防?在传统的攻击链模型中,一个完整的攻击从侦查到基于目标操作分7个阶段,每个阶段对于攻击方都有不同的方式,如何防护和打破攻击链条,就需要建立纵深防御体系,在每个层面都能有效打破攻击链,每个层级用相对应的产品解决问题。
攻击链模型
纵深防御体系的7个层面
面对迫在眉睫的2020年攻防演练行动,如何在最短的时间落实网络防护方案恐怕是大多数企业关心的。从去年的网络攻防演练专项行动中,大部分攻击方渗透内网后,优先拿高价值目标,如AD、邮箱等。联软建议安全工作更需要聚焦在高价值数据、重要目标/系统、高价值终端/人员等身上,从这3个重点快速突破,避免系统失陷引起的丢分,并通过发现攻击、消除威胁配合应急处置争取在演练行动中得分。
围绕上述3个点,联软提出了从攻击面分析、纵深防护、分析监控、应急响应等4个方面建立2020网络攻防演练专项行动整体方案:
(1)攻击面分析是基础工作,对于企业用户来讲,资产是否清晰是安全防护体系建立的基础;
(2)在纵深防护方面,联软能帮助企业做到接入、端点和关键点防护;
(3)分析监控方面,EDR帮助企业进行端点沦陷检测,做到安全监控、日志分析等检测监控工作;
(4)应急响应层面,加强企业安全事件响应和处置,方便事件取证和溯源。
这4个方面贯穿整个企业攻防演练行动的临战和备战阶段,助力企业用户完成信息采集和威胁对抗等工作,以便更好地进行战后复盘。
2020网络攻防演练专项行动整体方案
具体方案建设:
·全网资产梳理
攻击面/风险暴露面分析是安全工作的基础,联软通过全网信息及持续监测的资产梳理,覆盖全网空间的资产探测及暴露面检测,建立全网空间数字资产档案库。
·安全接入
前面我们提到,在攻防演练行动中,有些企业实行战时突击,往往会采用关闭端口的方式来减少攻击面,这可能会在一定程度上影响企业业务的开展。联软基于Zero Trust理念的SDP安全架构,通过分离访问控制和数据信道,最小化攻击面降低安全风险,保护关键资产和基础架构,从而阻止潜在的基于网络的攻击,保障企业业务安全接入;而面对今年疫情中远程办公需求产生的企业风险暴露面扩大的问题,SDP也能解决传统VPN架构的安全漏洞,使企业以更加安全便捷的方式接入网络。
·端点防护
端点防护是纵深防护体系必不可少的环节,更是整个攻击防御中的战场,通过入网认证检测和安全基线实现网内端点的最小安全权限,进一步关注高价值终端/数据的监控、防护工作,针对端点进行攻击/沦陷检测,及攻击时的应急处置和定向取证。
·管理跨网/网间的文件交换
通过管控全网文件传输的通道,对高价值数据的移动进行监控,补充网络层文件监控的短板。
实践出真知,安全从来都不是泛泛之谈
客观来看,网络攻防演练专项行动使得各类企业在安全建设方面的投入持续增加,从一定层面上提高了企业的安全防护意识。作为网络安全行业的综合性厂商,联软助力了多家企业网络攻防演练专项行动,在与企业用户的交流和实践过程中,虽然不同的企业关注点各有不同,但大体对于资产梳理、终端加固,防泄密等方面的安全建设还是得到大部分用户的认同。目前联软已助力上交所、东方证券、东航等企业用户搭建多方面安全体系,同时7x24小时全方位服务,帮助企业及时解决问题,迎接网络攻防演练行动。
网络安全的本质在对抗(红方与蓝方),但攻防的力量就像我们知道的,从来都是不对等的,攻击方优势远大于防御方,而且随着新技术、场景业务,人力有限等多因素挑战,两方的力量也在不断变化。联软认为未来会有更多力量建设蓝方,用更加智能高效的方式对抗越发复杂的红方力量,联软也会积极成为其中的一员。2020年网络攻防演练专项行动在即,我们也会持续关注,把这场实战演练中的技术心得、攻防思考等第一时间与大家分享,欢迎交流。