一年一度的网络安全大型实战攻防演练即将拉开帷幕,为了帮助所有关基用户更好的进行备战,青藤安全服务团队汇总了一百多个重保项目经验,提炼了六大类二十项备战工作关键内容,助力关基单位轻松应对实战攻防演练。
1资产信息梳理与核查
1.1资产统一纳管与防护
开展资产清查盘点,更新资产信息清单,明确所有资产责任人。确保所有资产纳入4A统一管理,所有服务器安装主机安全防护Agent。
1.2互联网暴露面收敛
开展互联网暴露面系统清点,更新IP地址、域名、端口、承载业务、承载网络、互联关系等信息,明确主管部门与责任人。持续做好互联网暴露面收敛工作,进一步降低互联网暴露面风险。
1.3“三无七边”系统处置
全面清查“三无七边”系统,攻防演练重保开始前关停所有“三无”系统,针对所有“七边”系统明确安全责任并签订安全责任书,无需对外开放的系统转为内网或采取临时关停措施。
1.4非必要系统清理关停
清点并关停所有非办公时段不需要使用的系统,清理并下线所有不再使用的测试资源和测试系统。
2资产漏洞风险治理
2.1账号口令管理检查
按照安全管理制度要求组织所有平台/系统开展账号口令自查工作,并抽查重要平台/系统的账号实名制、账号权限最小化、弱口令、离职账号未清理等情况。
2.2扫描、基线核查与渗透
确保安全扫描系统软件以及插件库更新到最新版本,不间断进行全量互联网资产漏洞扫描,开展资产安全配置检查,针对重要系统进行渗透测试,确保备战阶段完成所有发现漏洞与风险的整改加固。
2.3访问控制策略清理
梳理访问控制策略,确保服务器IP及端口访问控制列表、防火墙NAT和过滤策略符合最小化白名单原则,关闭一切不必要的对外开放服务。
3安全防护能力提升
3.1互联网资产防护
确保所有互联网暴露面系统主机100%安装主机安全防护Agent。内部人员使用的互联网暴露面系统采取IP地址限制、白名单管控、VPN接入等措施。
3.2安全设备/系统强化
清查所有安全设备/系统,明确运行维护责任人,确保安全设备/系统的版本、病毒库、特征库、规则库等已经升级到最新,确保安全策略启用并生效。
3.3特权系统安全强化
开展域控、4A、VPN等系统的账号权限清查及整改,确保域控、VPN、4A等系统具备登录认证防暴破能力(双因子认证),如不具备双因子认证需要对所有账号进行密码重置操作。
3.4终端安全强化
检查所有终端,完成所有补丁升级,确保安装防病毒软件,并且病毒库升级到最新。要求所有终端使用人清理敏感数据,或者将敏感数据进行加密存储。
3.5邮箱安全强化
启用防病毒软件中邮件过滤病毒查杀功能;重置所有邮箱用户密码;要求所有人员清空非工作邮箱中的所有办公邮件。
3.6WIFI安全强化
检查并取消所有共享WIFI或私接WIFI路由器,严禁私自开通共享WIFI;更改所有正在使用的WIFI密码。
4安全监测能力提升
4.1日志存留与推送
检查主机、数据库、中间件、应用日志是否正确配置,且日志留存6个月及以上,并确保上述日志信息传输到安全大数据平台进行监测分析。
4.2安管平台能力优化
更行并优化安管平台关联分析规则,对接攻防演练重保标签特殊威胁情报数据,提升安管平台威胁检测能力。
5安全响应能力提升
5.1IP溯源及自动化封禁
优化IP溯源系统及一键封禁工具,实现WAF、IPS告警信息自动溯源及自动化封堵;编写自动溯源封禁和人工溯源封禁操作流程,并对相关人员进行宣贯培训。
5.2应急预案及演练
组织相关人员更新所有应急预案,开展网络攻防重保相关场景的专项应急演练,并根据演练结果更新应急预案。
6社会工程学防范
6.1敏感信息清理
组织全员删除互联网云盘、社交软件上的企业敏感信息,删除GitHub、码云等开源平台上发布的与业务相关的源码,删除在服务器上明文存放敏感信息(网络拓朴、账号口令等)。
6.2钓鱼邮件测试
策划并开展全员钓鱼邮件演练,测试不同岗位人员面对钓鱼邮件的处置方式,根据测试结果强化全员邮件安全意识。
6.3安全意识培训
组织开展全员信息安全意识培训,宣贯日常需要注意的安全行为习惯,传达重保期间必须遵守的管理要求以及需要注意关键事项。
总结
实战攻防演练本质上是对参与组织综合安全防护与运营能力的检验,从以上需要筹备的内容可以看出,想要在实战攻防演练中取得好的成绩并没有捷径,只有扎实做好常态化安全运营工作,并在备战阶段进行强化工作效果,才能避免在实战攻防演练中被淘汰出局。
附1:青藤基于“攻防+运营”实战化核心能力的安全服务框架
附2:青藤基于“3+9+6”的实战攻防演习服务解决方案
发表评论
您还未登录,请先登录。
登录