攻防演练 | 风险收敛加固指南:7个维度,30+Checklist

阅读量126522

发布时间 : 2022-05-27 16:58:26

 

通过攻防演习,参演单位能够充分检验自身的安全防护、攻击监测和应急处置能力。参演单位作为防守方,面对“隐蔽”的网络攻击,只有了解攻击方是如何开展攻击的,才能根据攻击特点建立完善的安全防护体系,有效抵御网络攻击。前段时间,笔者在《攻防演练中常见的8种攻击方式及应对指南》一文中,从攻击者的角度详细阐述了常见的攻击类型。

那么从防守方的角度来看,在网络安全攻防演练中应该采取哪些措施提升安全防护水平呢?一般来说,防守工作分为三大阶段:准备阶段、实战阶段、收尾阶段。本文将要讨论的就是对攻防演练结果至关重要的的事前准备阶段。


图1 攻防演练全流程

风险收敛加固是攻防演练前序阶段最重要的环节之一

在攻防演练中,前期的准备工作包括安全团队组建、演练流程制定,以及未知资产排查、安全设备0day排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作,我们可以把这些技术性工作概括为风险收敛与安全加固两个方向。

风险收敛与安全加固服务作为攻防演练前序阶段最重要的环节之一,聚焦于安全的多维度精细化提升,从而收敛自身攻击面,满足企业对于前期内外网资产风险测评、安全意识提升、风险事件精准捕获、防御范围最大化等多种类安全需求,全方位巩固安全防线,增强防御效果。
如何进行风险收敛加固?
对攻防演练的防守方来说,可以从资产评估、安全策略检查、安全防线加固三个方面实现风险收敛与安全加固,做好攻防演练前期风险管理。

1、资产评估

大多数情况下,蓝队对于自己的资产情况把控不够,导致部分资产未能纳入有效监测、防护范围,形成了防护薄弱点。红队在发起进攻前,会先收集这些薄弱点,并以此为跳板攻入企业关键系统。所以,提前对资产进行评估,及时关闭“老旧”、“无主”、“无用”资产,收敛对外暴露的攻击面变得尤为重要。

公网资产评估:通过收集企业暴露在公网的资产信息和敏感信息,分析存在的未知公网资产、以及业务系统源码、账号密码暴露等安全风险,协助企业在攻击者发起信息收集前收敛外部攻击面,提升企业对自身资产的掌握程度以及应对突发安全事件的能力。

内网资产评估:从内网安全维度对主机安全产品核心功能模块的检测结果进行详细分析,从而发现操作系统、业务系统存在的风险隐患,为客户解读并持续跟进风险整改期间各类技术问题,协助企业提升操作系统、业务系统本身的健壮性,进而提高内网横向攻击门槛。

2、安全策略检查

安全策略可以简单理解为一组用于保护网络安全的既定规则。其目的在于控制进出网络的访问行为,保护特定网络免受攻击,同时保障网络之间的合法通信。安全人员可以结合业务需求在系统中配置合适的安全策略,对通过设备的数据流进行检验,放行符合安全策略的合法流量,阻断非法流量,实现访问控制,保证网络安全。

传统的安全策略与业务的结合度不高,难以进行高细粒度的安全分析。在攻防演练中高强度的攻击下,很容易出现策略的检测盲区,进而导致被攻破的局面。因此,在攻防演练前期对安全策略的检查、优化非常重要。

3、安全防线加固

安全加固和优化是实现网络安全的关键环节。通过安全加固,可以在安全系统的网络层、主机层、软件层及应用层等不同范围建立起符合安全需求的安全状态,并基于此实现对企业组织安全系统的保护。

安全加固是配置软件系统的过程,针对服务器操作系统、数据库及应用中间件等软件系统,通过各种不同的方法修复可能被攻击者利用的漏洞,加强系统安全配置,增加攻击者入侵的难度,提升安全防范水平。它与攻击面收敛、漏洞修复、安全策略优化及等工作形成了完整的风险管理闭环。

为了帮助企业更好地进行风险收敛加固,笔者特意整理了一份《蓝队风险收敛加固Checklist》可供参照,如下图所示。此清单从设备、系统、应用、网络等七个维度总结了企业风险收敛加固的具体操作,并将这些操作所对应的安全等级分为3个层级,每个层级的安全要求为:Level1-基础级安全、Level2-标准级安全、Level3-高级安全。

扫描二维码,可获取完整版《蓝队风险收敛加固Checklist》

风险收敛加固面临的挑战

攻防演练中,企业在提升蓝队安全防护水平的主要方法之一是缩小攻击面、加固原有脆弱点。但这件事说起来容易做起来难,安全人员在试图进行风险收敛加固时,常常会面临以下挑战:

网络不具备可见性。软件漏洞和网络盲点是常见的安全挑战。随着攻击面的扩大,减少这些漏洞和盲点需要洞察和控制所有流量,以及监控未经授权的设备或请求网络访问的用户的能力。但大部分网络活动或资产处于“隐藏”的状态,安全人员难以实现即时可见。

网络环境复杂。随着云环境、虚拟机、容器等新名词的涌现,网络安全面临的局面越来越复杂,风险收敛加固同样无法实现“一招鲜吃遍天”,安全人员必须针对保护对象的特质制定个性化防护策略,这对有限的安全防护资源与技术人员来说,都是巨大的压力。

难以进行集中策略管理。当今的企业网络高度分散,网络攻击发生的概率大幅度提升。企业需要通过分层访问和策略控制功能来实现集中统一管理所有用户、设备和网络的网络访问策略,以更好地保护网络。

难以实现主机间的隔离。网络攻击隐藏的时间越长,造成的伤害就越大。一旦攻击者通过网络入口,他就会在受信任区域内横向移动以避免被发现,并在整个企业范围内传播以危及数据和系统。企业需要通过主机间的隔离将网络划分为多个区域以防止横向移动来降低这种风险。

企业想要解决这些问题,不仅需要具备专业安全知识的技术人员,还需要特定的安全工具,以「产品+服务」相结合的形式,从多个角度来实现攻防演练前期的风险收敛与安全加固。

最佳实践:青藤风险收敛加固服务

根据多年攻防演练经验,青藤将前序阶段的工作聚焦于安全的多维度精细化提升,从而收敛攻击面,并凭借经验丰富的专业安全团队和主机安全、容器安全及微隔离等安全产品,实现了细粒度的资产清点、多种类型的风险发现,以及安全加固等多个功能,成为涉及金融、运营商、能源、电力、政府、军工等行业1000+头部用户攻防演练的首选合作伙伴。

专属精细化梳理加固:青藤安全服务团队从资产评估、安全策略检查和安全防线加固三个方面,对企业安全系统的被攻击面和脆弱点进行全面、细致的梳理,最大程度从事前阶段保障攻防演练的防护能力。

专家级风险评估、策略配置:青藤安全团队人员全部来源于网安一线大厂,拥有多年攻防演练实战经验,对网络攻防模式有深入和广泛的了解,具备风险评估和策略配置方面的专业知识。

攻击队视角多维度分析、收敛:青藤安全团队从攻击队视角出发,结合企业个性化特征进行多维度分析,基于可能的攻击方式发现隐藏风险,包括网络、软件系统、Web应用等多个攻击途径和后门、社工、近源等多种攻击方式。

当然,除了攻防演练前期的风险收敛加固服务,青藤还提供事中值守和事后总结修复等攻防演练全流程服务。作为拥有6年多攻防演练服务经验的技术引领型安全厂商,青藤实现了所有关基行业的全面覆盖,并在省、市级及行业攻防演习中多次取得第一,受到了各个行业的广泛认可。

此外,通过对各行业各种类客户的服务经验的充分总结,青藤形成了一套快捷、简单的攻防演练服务运行模式。服务期间可基于专家团队与规范化流程保证服务的全面性、高效性、专业性、可靠性。如果你对风险收敛加固或攻防演习的其他方面有任何需求和疑问,欢迎拨打400-188-9287免费咨询青藤安全专家~

本文由青藤云安全原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/273642

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
青藤云安全
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66