绿盟科技网络安全攻防演练实战化体系化常态化建设指南

hwyzw

    一文详解网络安全攻防演练中的防御规划与实施

    作者：绿盟科技 日期：2022-06-16 浏览次数：5,317

    随着网络安全上升为国家战略，特别是随着《网络安全法》的正式颁布实施，网络安全建设正逐步走向实用化、系统化、常态化的新时代。在此背景下，攻防演练越来越受到各方关注，成为检验安保体系建设水平、推动安保运营能力提升的常备行动。

    网络安全攻防演练中，保障工作不是一蹴而就的，需要系统规划设计、统筹组织、部署执行。对于防守方的攻防演练，绿盟科技建议分以下五个阶段组织实施：

    · 启动阶段

    成立网络攻防演练保障小组并明确相关职责，制定工作计划、流程和具体方案。梳理分析信息网络架构，评估网络安全能力现状。梳理内、外网信息资产。

    ·准备阶段

    通过资产安全评估和业务风险评估方法，对内外部网络信息资产的风险暴露情况进行全面评估。制定合理可行的安全整改建设方案，配合推进网络安全整改治理。开展内部人员网络安全意识宣传。

    · 战争阶段

    制定应急演练预案，有序组织内部红蓝对抗、钓鱼攻击等专项演练。对人员进行安全意识专项强化培训。

    · 保证阶段

    依托安全中心，构建云地一体化联防联控安全体系，利用情报协同联动机制，持续有效开展威胁监测、分析研判、应急处置等网络攻防演练、追溯及对策。

    · 总结阶段

    总结回顾攻防演练经验，整理总结报告，对演练中发现的问题进行优化改进和闭环处理。

    完整高效的攻防演练流程，通过精心组织启动、准备、准备、保障、总结全过程，充分调动内外部资源，达到检验施工成果、培训运维队伍的目标，并提高运营能力。绿盟科技结合多年来参加攻防演练的实际经验，针对攻防演练启动、准备、备战、保障、总结五个关键阶段进行总结和介绍具体操作建议，以提供参考。为企业安全领导者开展攻防演练。

    01启动阶段

    创业阶段主要有三项任务：组建团队、清理家财、制定计划。

    1）建立团队

    启动阶段应成立分工明确的网络安全攻防演练职能小组，确保安全自查工作全面开展，安全防护能力得到有效验证。因此，必须明确安全保障团队的组织架构和职责分工。为了做好演练工作，建议按照以下方式建立安全团队的总体架构：

    各职能团队的分工如下表所示：

    2）清理家财

    业务清理，是指对现有网络架构进行合理分析和优化，盘点内外部网络资产，理顺资产与业务系统的关系。摸清和梳理自己的财务状况，充分运用自身安全建设的成果，为后续的风险排查、加固和优化打下良好的基础，主要包括三个方面：

    • 网络架构分析和调优

    • 互联网资产暴露管理

    • 发现并分类内联网资产。

    3）制定计划

   

    规划是指在前期工作的基础上，进一步明确安全应用要求，制定《安全运营保障实施方案》和《安全运营保障计划》，制定网络安全攻防演练工作目标，构建网络安全攻防演练保障体系。全面指导网络安全攻防演练。

    网络安全攻防演练保障体系如上图所示。该系统涵盖进攻和防守五个阶段的演练。每个阶段都要建立管理保障、技术保障、人员保障三合一的保障体系。管理保障就是通过梳理组织架构和各项保障流程，从管理层面串联起各个环节。技术支撑基于安全基础设施构建纵深防御和零信任机制，并接入安全运营平台实现整体运营。人员保障就是通过对演练人员的赋能培训，满足监测、研判、处置、报告等各方面人员的能力要求。

    02准备阶段

    网络安全攻防对抗，考验的不仅是对抗双方的能力和技巧，更是考验各自战前准备的彻底性和完整性。准备阶段可以发现网络和业务系统的漏洞，评估面临的安全风险，通过资产综合评估、业务缺陷识别、风险整改推进、防护能力差距补偿、整体策略优化六个方面对面临的安全风险进行评估和意识培训。从两个方面加强管理，实现安全策略的全面优化。

    1）资产综合评估

    对信息资产的安全性进行全面评估，主要包括漏洞扫描、配置验证、弱口令检查、渗透测试、入侵痕迹检查、敏感信息检查、安全机制验证七大评估手段。

    2）业务缺陷识别

    在业务层面，需要对业务系统进行分类，对系统的关键流程（如登录、认证、查询、申请、审批、交易等）进行梳理，并绘制相应的序列图，分析潜在的安全风险，例如：针对业务流程和数据流中可能遇到的攻击和敏感信息泄露等情况，输出相应的风险处理措施，降低风险，保障系统安全。

    在此基础上，还应对身份认证系统、VPN、域控系统、网络管理系统等集中系统以及防火墙、入侵防御系统、Web安全防护系统、主机防护系统等安全设备进行风险评估，确保其集中管理和控制。安全防护机制能够正常运行，系统本身不存在中高危安全漏洞。此外，还需要来自供应链、相关业务链、第三方人员链等第三方的安全风险，防止攻击者利用第三方进行入侵。

    3）推进风险整治

    对于资产安全评估和业务缺陷识别中发现的问题，要及时制定整改计划并进行修复。主要包括历史发现风险闭环回顾、自查发现风险跟踪检查、各类设备风险跟踪处置等三个方面。

    4）弥补防护能力的差异

    面对实际攻防演练，需要构建集预警、防护、检测、响应于一体的自适应联动响应体系。参与攻防演练的防御者可以按照下图所示的网络安全最佳实践技术体系，发现并填补空白，消除短板，提升整体安全防护能力。

    5）整体策略优化

    搭建好整体防线后，下一步就是提高攻击检测和防护的效率，优化整体策略，主要包括三个方面的优化动作。一是优化日志分析，利用事件分析、时间分析、流量包样本分析等方法，捕捉大量日志中的关键信息，区分出设备关注的关键事件；二是处理设备误报，方便业务侧及时沟通渠道，验证业务代码逻辑是否可以及时修改，解决业务误读问题；三是优化平台和设备策略。根据日志分析和误报处理的结果，对网络设备策略、安全设备策略、主机策略等做出进一步的调整和优化。

    6）意识能力训练

    在安全意识培训方面，需要在三大方向下功夫。一是加强安全意识宣传；二是加强内部安全意识培训；三是对第三方开发者、服务商人员进行安全意识宣传落实，同时签订安全保密协议和责任界定书，增强其安全敏感度。花费。

    在安全能力培训方面，首先要进行威胁分析能力培训，通过报警分析识别常见的攻击行为和结果，包括利用漏洞执行恶意代码、手动尝试弱口令、服务器被攻陷、恶意程序运行等其次，要培养应急响应能力，通过检查服务器上的木马、分析攻击者的入侵路线、登录服务器验证等方式，实现安全事件的取证分析和及时处理。的准确性 事件。

    03 战争阶段

    战前阶段也称为演练阶段，就是通过实际攻防演练来验证网络安全体系的建设成果，帮助企业建立常态化的防御机制。请保留这四个进攻和防守训练的“技巧”。

    温馨提示1 安全应急演练

    为提高对网络信息安全攻击的响应能力和应对突发安全事件的应急处置能力，有效保障防御者的网络安全，需要基于当前网络编制涵盖各类突发事件场景的重大突发事件场景。安全状况和面临的安全威胁。确保应急预案，组织开展网络安全专项应急演练，检验网络安全应急体系和工作机制运行情况，及时发现问题，完善应急预案，提高应急处置能力。

    技巧 2：网络钓鱼攻击演练

    为了模拟防御者在攻防演练中可能面临的真实攻击，并验证日常安全意识培训的有效性，在实战前进行网络钓鱼攻击演练是一个好主意。

    通过相应渠道向防御者员工发送钓鱼测试邮件，衡量员工安全意识的整体状况。在企业邮件办公环境中，还原钓鱼邮件的真实场景，让员工切实感受到钓鱼邮件的威胁，激发员工邮件办公的警惕性，弥补员工安全意识的短板。

    秘诀三：内部红蓝对抗演练

    在保证业务正常运行的前提下，建议双方攻防演练保障项目组进行实战演练，在真实网络环境下进行红蓝对抗，及时发现网络真实隐患演练成果，检验安全威胁监测发现能力、应急响应能力、安全防护能力，进一步提升保障能力。

   

    秘诀四：实战演练前特别加强安全意识

    在攻防演练正式开始前，攻防演练保障项目组需要进行战前宣传，同步前期安全意识培训和钓鱼攻击演练中发现的问题，重点针对IT技术人员和相关人员。演练中成功进行网络钓鱼，并对攻击团队进行评估。重点介绍了常用的社会工程方法和防御方法。通过实战案例的介绍，防御者可以在攻防演练中对社会工程攻击有更直观的了解，力求将人员风险降到最低。

    04保障阶段

    企业要建立以情报驱动为核心，协同研究分析、溯源应对、应急响应、产品保障等安全防护能力，实行“一点发现、全面风险闭环”的联防联控机制。构建云地一体化安全保障。支撑系统持续有效开展网络攻防演练保障工作。

    绿盟科技安全中台支持全流程

    本地安全监控：包括对外部网络资产（主机资产和网站安全）的监控，以及对安全情报、安全设备、安全行为的监控，并整理汇总日常监控记录。

    云安全监控：为网站提供完整性测试和可用性测试。完整性测试可以识别受保护网站页面是否被恶意篡改、是否挂有恶意木马、是否嵌入敏感内容等信息；可用性测试可以帮助防御者了解此时站点的开关状态和延迟状态。

    威胁分析研判：多渠道收集安全预警，线下与线上、现场与中台、智能与狩猎相结合，叠加多级网络安全专家研判体系，实现安全风险快速预警通报、安全防范事件紧急通知、可疑安全行为通知 研究确定。

    应急处置：应急预置流程全面高效启动。应急小组有序、分级处置安全事件。有节奏地完成攻击拦截、证据备份、故障恢复、汇总评估，双向链接全国跨地域、跨行业多维情报系统。多区域实时投放，技术策略实时滚动升级。

    威胁追踪与溯源：集成安全威胁检测设备、安全威胁分析平台、安全专家服务，集成平台监控、分析研判、中期应急响应能力，运用多种技术手段追踪攻击者特征，遏制攻击的蔓延。定位攻击源头，设计针对性对策，利用多重陷阱，形成团队点对点的威慑力量。

    高质量事件报告：整合中台实时情报，持续强化前线作战分析水平和报告质量，按角色、职能、角色记录攻击取证、分析、研判过程赛事层面，全面控制汇报质量和汇报效率，并结合系统的得分点分析，确保防守球队取得有效的防守结果。

    05总结阶段

    实战场景网络攻防演练的目的是发现公司现有防护体系的缺陷并寻找解决方案。因此，演练结束后，必须及时进行回顾和总结，以期全面改进。在总结阶段，需要完成三项工作：审核总结、报告输出和安全规划。

    1）审查总结

    • 安全事件汇总分析

    攻防演练防护完成后，攻防演练防护项目组将对演练过程中的数据进行汇总，从攻击事件、风险等级、攻击路径和漏洞利用四个维度进行分析。

    • 缺陷问题输出闭环

    攻防演练保障项目组将对本次保障前期需要处理的事件和中期发生的安全事件进行梳理，按照安全问题的风险等级从高到低设定处理优先级，绘制并输出安全事件追踪表，包括但不限于：问题分类、影响范围、问题描述、发现时间、处置完成时间、主要跟进人员、问题进展、是否闭环、事件优先级等

    • 防护经验总结

    攻防演练阶段结束后，召开攻防演练总结会，整理上报攻防演练总体数据，分析缺陷，提出整改建议，总结经验，编制网络安全监测应急预案支持工作指导手册。

    2）报告输出

    保障完成后，组织攻防演练保障参加人员进行总结分析，总结会议后，输出攻防演练总结报告，提交给攻防演练保障组和攻防演练保障组。总指挥进行初审和终审。

    3）安全规划

    通过本次攻防演练发现的问题，结合当前安全运行现状，有针对性地设计一体化安全运行方案，是需要改进的方向。

    网络安全攻防演练既是检验网络安全建设成果的试金石，也是下一步建设的指路明灯。企业要通过攻防演练，以系统化建设为引领，打造“全场景、可信、实用”的安全运营能力，达到“全面防护、智能分析、自动响应”的防护效果，打造“全场景、可信、实用”的安全运营能力。网络安全保障体系。提高网络安全防护能力。