近年来国家不断加快5G、人工智能和云计算等新型基础设施的建设,企业的数据不再局限于内网,互联网迎来了高速的发展和更为广阔的发展空间;但与此同时,网络安全也成为国家发展中面临的新的威胁和挑战,正所谓是“没有网络安全就没有国家安全”,为了进一步保障网络安全,小到企业大到整个国家都开始重视网络安全并不断加强网络安全建设。
自从2016年国家颁布了《网络安全法》,“网络攻防演练专项行动”已成为一年一度的惯例。从最开始只有公安部、民航局和国家电网三个事业单位参加到现如今参加队伍在不断扩大,由此可以看出从国家到企业都在不断地重视网络安全问题。随着网络安全问题不断严峻,我们也不得不重新审视网络安全问题,将视角从传统的“合规防御”转移到更高级别的“攻防对抗”上来。
云深互联陈本峰认为,“纸上谈来终觉浅,红蓝对抗得真知”,没有实际行动光有理论基础也难以提高自身实力。国家通过一年一度的“网络攻防演练”来检阅各单位的安全防护和应急处理能力,便于提高各组织机构的综合防控能力。面对安全威胁,守护好安全的最后一公里,做好安全防御,是各政企事业单位及组织应修炼的防御之道。
攻防演练的历史
提及攻防演练,首先要追溯一下它的由来,如下为大家简单介绍一下美国、北约联盟和国内攻防演练的大致情况。
1、“网络风暴”攻防演习:美国国土安全局主导,于2006年开始,60支队伍,模拟为期一周的攻击,主要攻击范围为国家、政府等关键网络基础设施。
2、“Locked Shields”攻防演习:有北约联盟在2010年启动,模拟为期5天的攻防演练,主要攻击范围为模拟的海军基地、电站等关键信息建设设备。
3、“红蓝对抗”攻防演习:于2016年在国内启动 ,模拟为期3周的攻防演练。发展也从最初的参演目标的民航系统、国家电网到2019的30个行业,118家防守单位,110支攻坚队。
防御流程及手段
从往年的网络攻防演练专项行动中我们可以了解到,对于防守方来说保证分数和得分一样重要。为了在活动中防守方可以保证得分,防守方需要制定相关的防御流程及手段,具体如下:
1、全网隐患自查修复,做到减少互联网暴露面、无弱口令、无高危漏洞、主机安全加固等一系列修补措施;
2、对企业内部员工进行安全意识培训,预备成立防御方团队,对成员进行职能、防护能力评估;
3、防御团队建立,可根据自身人员情况进行配置,主要可分为指挥、应急处置、检测组,白天黑夜轮班值守;
4、防御团队检查组,分析所检测的设备及平台产生的安全日志,挖掘入侵时间,填写《入侵、攻击时间分析报告》提交团队指挥;
5、防御团队应急处置组确认事件是否由正常业务引起,对真实攻击根据事件定级按次序进行应急,完成后编写提交《应急处置报告》,并修复业务系统;
6、团队指挥协调监测报告组和应急处置组之间的工作,准备好随时对攻击方提交的报告进行上报处理。
零信任在攻防演练中的防御思路
现如今传统基于防火墙的物理边界的防御已经不在能满足企业的需求,在此情况下新一代安全以人为中心基于“零信任”的理念的软件定义边界(SDP)于2014年由国际云安全联盟CSA提出,目前已经在国外广泛成功应用,有效地帮助企业解决上云的安全问题。不仅如此,在攻防演练中基于SDP的防御手段也为防守方提供了一份安全保障。
云深互联的CEO陈本峰认为:“网络安全得本质在对抗,对抗得本质在于攻防两端得能力较量。只有做到知己知彼才能百战不殆,在攻防演练中除了要明确自己本身的优势和劣势之外,还需要对敌方了解透彻,这样才能通过有针对性地防御手段和措施进行防御。”
做好安全防御,首先要清楚安全威胁的漏洞及威胁在哪里?渗透是黑客发起攻击,评估企业网络资产状况的重要手段。而企业也会进行一些渗透测试,通过于此,了解自身的全部网络资产状态,发现潜在的隐性安全漏洞和网络风险。而渗透测试作为一种全新的安全防护手段,让安全防护从被动转换成主动,正被越来越多企业及机构认可。如上为攻击方进行渗透攻击的四个步骤,也是常见的攻击手段。如下图所示:
对于攻击方来说,在攻防演练中攻击方并不会遵守时间规则,活动期间可能会随时发起进攻。这对防守方来说无异于增加了防守的难度,在此情况下,防守方更要及时的看清攻击方攻击的趋势,有针对性地建立起自己地防御体系,这样才有可能做到在整个活动地过程中运筹帷幄从容地面对出现的各种棘手问题。
在红方进行防守之前要明确攻击方的主要渗透思路和攻击途径,这样才可以真正的做到有计划的进行防守,进一步确保在整个过程中己方不会失利。
蓝方的主要攻击途径有以下几点:
1、CVE-2019-11510、CVE-2019-11539、CVE-2018-113379、CVE-2018-13383、0-day等漏洞途径攻击扫描;
2、企业领导人、企业管理者、企业运维管理员、IT技术人员等高权限人员进行优先攻击;
3、DNS、DHCP、OA、邮件系统、域控、IAM等重要基础设施系统攻击;
4、门户网站、企业对外系统、Github、云上系统、移动IOT设备等资产包露面进行扫描攻击。
针对蓝方的攻击思路和途径,云深互联有针对性地提供了相关的SDP防御手段。具体包括以下5个方面:
1、网络隐身技术:深云隐盾网关是服务器地隐身保护罩,隐盾默认关闭所有端口,拒绝一切链接,让服务器“隐身”,任何人都扫描不到。基于SPA协议已经动态防火墙的多层安全防护,只有合法的用户才可以连接到服务器。通过“网络隐身”技术,减少业务系统和深云SDP防御系统在互联网暴露面,防止蓝军进行对暴露面地业务系统资产收集和对深云SDP防御系统进行攻击。
图: 深云隐盾网关
2、多因子身份认证,通过多角度多方位保护用户的合法性,对员工地安全防御意识进行补充防御,防止社工、弱口令爆破等攻击手段;
图: 多因子身份认证
3、“按需授权”确定员工最小权限,组织蓝方依托员工账户进行渗透攻击。深云SDP企业浏览器在使用前需要进行用户身份和设备的验证,在合法用户成功登录浏览器之后只能看到自己权限内被授权的应用。
4、行为管控,禁止管理员代码调试、打印、复制、水印等措施,防止员工通过公网浏览中被钓鱼、泄密风险;
图:行为管控
5、通过浏览器数据地采集和分析,全局安全大数据态势感知,及时发现内部威胁,提升防御监测能力。
图: 态势感知
实践出真知,安全从来都不是泛泛之谈
网络攻防演练专项行动自推出以来,令各大企业更加重视网络安全问题,不断增加在网络安全建设方面的投入成本。以期望保护数据资产的安全,做好各类网络威胁的应对措施。
云深互联作为零信任安全SDP领域的代表性安全厂商,通过深云SDP为多家企业提供有效的防御体系,致力于让每一家企业数据安全上云并高效地互联互通,助力企业在攻防演练中做好安全防护工作,为建设网络安全贡献自己的一份力量!